SSL VPN

1. SSL工作过程是什么?

第一阶段:

客户端首先发送client hello消息到服务端,服务端收到client hello信息后,再发送server hello消息到客户端

SSL VPN_第1张图片

随机数:32位时间戳+28字节随机序列,用于计算摘要信息和预主密钥或主密钥的参数。会话ID:一次性会话ID,防止重放攻击。

第二阶段:

SSL VPN_第2张图片

服务器的证书:包含服务端公钥的证书,用于客户端给服务端发送信息时加密。

server key exchange服务端密钥交换:决定密钥交换的方式,比如DH,RSA,会包含密钥交换所需的一系列参数。

第三阶段:

SSL VPN_第3张图片

client key exchange客户端密钥交换:根据服务端随机数算出一个pre-master,发给服务器,服务器收到后根据pre-master密钥生成一个main-matser。

第四阶段:

2. SSL预主密钥有什么作用?

SSL预主密钥保证了客户端和服务器都参与了密钥的生成,同时通过非对称加密算法保证了密钥的安全性。最终生成的会话密钥用于加密和解密SSL/TLS握手过程中的数据,保证了通信的机密性和完整性。

3. SSL VPN主要用于那些场景?

  1. 远程办公:SSL VPN允许员工在任何地方通过互联网安全地访问企业内部资源,如文件、应用程序、内部网站等。

  2. 分支机构连接:对于跨地区或分布式企业,SSL VPN可以连接不同地点的分支机构,实现安全的网络通信。

  3. 供应商和合作伙伴访问:SSL VPN可以提供安全的远程访问,使供应商、合作伙伴或第三方可以安全地连接到企业内部网络,以便共享资源和进行合作。

  4. 移动设备访问:随着移动设备的普及,员工经常使用手机、平板电脑等设备进行工作。SSL VPN可以提供安全的远程访问,使员工可以使用移动设备安全地连接到企业网络,访问资源和应用程序。

  5. 临时员工或承包商访问:对于临时员工或承包商,企业可以通过SSL VPN提供临时的安全访问权限,以便他们可以访问所需的资源,同时保持网络的安全性。

4. SSL VPN的实现方式有哪些?详细说明

(1)WEB代理:

SSL VPN_第4张图片

实现方式:

  • web-link:使用activeX控件方式,对页面进行请求

  • web改写:将所请求页面上链接进行改写,其他内容不变

实现结果:

实现对内网web资源的安全访问,即,内网用户使用HTTP访问,外网用户使用HTTPS访问;

  • 内网web资源只有私网地址,在不做NAT的情况下,可以通过SSL VPN实现对其的代理安全访问

  • 内网web 资源只有私网地址,在做NAT的情况下,公网用户可以实现对其的访问,但是web资源没有使用安全传输协议,SSL VPN可以实现对其https安全访问

(2)文件共享:

实现过程:

SSL VPN_第5张图片

实现原理:

协议转换技术:无需客户端,直接通过浏览器安全访问转换为内网文件共享的相应协议格式,使用activeX控件

支持的协议:

  • SMB windows

  • NFS linux

(3)端口转发(TCP应用)

实现过程:

SSL VPN_第6张图片

实现原理:安装activeX控件,本质是NAT过程

提供了内网TCP资源得到访问,C/S资源

  • 提供丰富的静态端口的TCP应用

    • 单端口单服务:telent、SSH、MS RDP VNC

    • 单端口多服务:notes

    • 多端口多服务:outlook

  • 动态端口TCP应用

    • 动态端口:FTP

  • 提供端口级访问控制

特点:

SSL VPN_第7张图片

(4)网络扩展(UDP)

实现过程:

SSL VPN_第8张图片

访问模式:

三种流量:去对方内网流量,去互联网流量,去本地局域网流量

  • 全路由模式:三种流量都走隧道,意味本地不能访问互联网,也可以通过隧道访问,也能补访问本地局域网

  • 分离模式:对方内网流量走隧道,本地局域网流量走物理网卡,互联网流量不能走。意味着,能访问对方内网,能访问本地局域网,不能访问互联网。

  • 手动模式:对方内网流量走隧道,本地局域网络流量和互联网流量走物理网卡。意味着,都能访问,并且互联网走本地。

5.  SSL VPN客户端安全要求有哪些?

终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查,缓存清除。

主机检查:

  • 杀毒软件检查

  • 防火墙设置检查

  • 注册表检查

  • 端口检查

  • 进程检查

  • 操作系统检查

缓存清除:

  • internet临时文件

  • 浏览器自动保存密码

  • cookie记录

  • 浏览器访问历史记录收回站和最近打开的文件

  • 指定文件或者文件夹

认证授权

  • db认证授权

  • 第三方服务认证授权

  • 数字证书的认证

  • 短信辅助认证

6. SSL VPN的实现,防火墙需要放行哪些流量?

  1. SSL VPN协议流量:防火墙需要允许SSL VPN协议(通常是HTTPS)的流量通过。这是实现SSL VPN所必需的基本流量。

  2. 用户认证流量:防火墙需要允许与用户认证相关的流量通过,以便用户可以通过SSL VPN进行身份验证。

  3. 数据传输流量:一旦用户通过身份验证,防火墙需要允许SSL VPN数据传输流量通过,以便用户可以访问内部网络资源。

  4. DNS流量:防火墙需要允许DNS流量通过,以便SSL VPN客户端可以解析主机名和域名。

  5. 授权流量:防火墙需要允许与授权相关的流量通过,以便SSL VPN可以验证用户的访问权限。

你可能感兴趣的:(安全,防御,网络,ssl,服务器,网络协议,网络安全,网络,安全)