SSL VPN相关知识

1. SSL工作过程是什么？

1. 客户端向服务器发起SSL连接请求，请求连接通过一个特殊的端口（默认为443）进行。
2. 服务器收到客户端的SSL连接请求后，会将自己的数字证书发送给客户端。证书包含了服务器的公钥、证书的颁发机构、证书的有效期等信息。
3. 客户端收到服务器发送的证书后，会进行证书验证。这一步主要包括验证证书的合法性、颁发机构的可信度以及证书是否过期等。如果证书验证通过，客户端会生成一个随机数。客户端使用从证书中获取的服务器公钥，对随机数进行加密，并将加密后的数据发送给服务器。
4. 服务器收到加密数据后，使用自己的私钥进行解密，获取到客户端生成的随机数。
5. 客户端和服务器使用已经获得的随机数作为种子，通过协商确定用于后续数据传输的加密算法和密钥。客户端和服务器使用协商得到的加密算法和密钥，对后续的数据进行加密和解密，实现安全的数据传输。

2. SSL预主密钥有什么作用？

SSL预主密钥的作用是在SSL握手过程中协商生成会话密钥，确保密钥的安全性和会话的独立性。它是SSL/TLS协议中重要的一部分，用于建立安全的数据传输通道。

3. SSL VPN主要用于那些场景？

1. 远程访问：SSL VPN可用于远程工作者或移动用户远程访问企业内部网络资源。员工可以通过SSL VPN连接到企业的VPN网关，安全地访问内部文件、应用程序和其他资源，实现远程办公。

2. 分支机构连接：对于跨越多个地理分支机构的企业，SSL VPN可用于安全的分支机构连接。分支机构可以通过SSL VPN连接到总部或其他分支机构，共享数据和资源，建立可信赖的网络连接。

3. 合作伙伴接入：SSL VPN使得合作伙伴或供应商能够在安全的环境下与企业进行连接。合作伙伴可以通过SSL VPN隧道安全地访问企业的特定资源，以便进行合作和信息共享。

4. 移动设备安全接入：随着移动设备的普及，SSL VPN提供了移动设备安全接入的解决方案。用户可以通过SSL VPN连接到企业网络，安全地访问内部资源，并确保数据的安全传输。

5. 加密通信：除了提供远程访问和连接功能，SSL VPN还用于加密通信。无论是通过公共Wi-Fi网络、互联网咖啡厅还是其他不受信任的网络，SSL VPN可以加密通信数据，防止数据被窃取或篡改。

4. SSL VPN的实现方式有哪些？详细说明

  1.虚拟网关

SSL VPN每个虚拟网关可以独立管理，可以配置各自的资源，用户、认证方式，访问控制以及管理员。 并且相互隔离。

  2.web代理

实现过程：

实现方式：

1. web-link：使用activeX控件方式，对页面进行请求
2. web改写：将所请求页面上链接进行改写，其他内容不变。

实现结果：实现对内网web 资源的安全访问

1. 内网web资源只有私网地址，在不做NAT的情况下，可以通过SSL VPN实现对其的代理安全访问。
2. 内网web资源只有私网地址，在做NAT的情况下，公网用户可以实现对其访问，但是web资源没有使用安全传输协议，SSL VPN可以实现对其https安全访问。

  3.文件共享：

实现过程

实现原理

1. 协议转换技术：无需客户端，直接通过浏览器安全访问转换为内网文件共享的相应协议格式。使用 activeX控件。

支持协议：

1. SMB windows
2. NFS linux

  4.端口转发：

实现过程：

实现原理：安装activeX控件，本质是NAT过程

 

提供内网 TCP 资源的访问， C/S 资源

 

1.提供丰富的静态端口的 TCP 应用

1. 单端口单服务：telent、SSH、MS RDP VNC
2. 单端口多服务：notes
3. 多端口多服务：outlook

 2.动态端口 TCP 应用

1. 动态端口：FTP

3.提供端口级访问控制

特点：

 

  5.网络拓展：

实现过程：

访问模式：

三种流量：去对方内网流量，去互联网流量，去本地局域网流量

1. 全路由模式：三种流量都走隧道，意味本地不能访问互联网，也可以通过隧道访问，也能补访问本地局域网
2. 分离模式：对方内网流量走隧道，本地局域网流量走物理网卡，互联网流量不能走。意味着，能访问对方内网，能访问本地局域网，不能访问互联网。
3. 手动模式：对方内网流量走隧道，本地局域网络流量和互联网流量走物理网卡。意味着，都能访 问，并且互联网走本地。

5. 5. SSL VPN客户端安全要求有哪些？

终端安全是在请求内网主机上部署一个软件，通过该软件检查终端的安全性包括：主机检查，缓存清除。

1.主机检查：

1. 杀毒软件检查
2. 防火墙设置检查
3. 注册表检查
4. 端口检查
5. 进程检查
6. 操作系统检查

2.缓存清除：

1. internet临时文件
2. 浏览器自动保存密码
3. cookie记录
4. 浏览器访问历史记录收回站和最近打开的文件
5. 指定文件或者文件夹

3.认证授权

1. db认证授权
2. 第三方服务认证授权
3. 数字证书的认证
4. 短信辅助认证

6. SSL VPN的实现，防火墙需要放行哪些流量？

1. SSL/TLS协议流量：防火墙需要允许SSL/TLS协议的流量通过，这包括SSL握手、密钥交换、加密和解密等操作。

2. VPN控制流量：SSL VPN使用一些特定的控制流量来建立和管理VPN连接。例如，常见的是使用HTTPS协议进行控制通信，防火墙需要允许客户端和SSL VPN服务器之间的HTTPS流量通过。

3. 用户认证流量：SSL VPN通常包括用户身份验证功能。在用户登录时，防火墙需要允许与用户认证相关的流量通过，例如使用用户名和密码进行身份验证的流量。

4. 数据流量：一旦SSL VPN连接建立，防火墙需要允许经过SSL加密的数据流量通过。这样，用户可以通过SSL VPN安全地传输数据