SSL VPN 安全防御详解

目录

SSL VPN 技术

 IP SEC缺陷

SSL握手协议的第一阶段

SSL握手协议的第二阶段

SSL握手协议的第三阶段

SSL握手协议的第四阶段

​编辑

SSL VPN的实现 

WEB代理

文件共享

端口转发

网络扩展 

访问模式 

SSL VPN要求的终端安全

SSL VPN 功能总结


SSL VPN 技术

SSL和 IP SEC 安全防护做对比

SSL VPN 安全防御详解_第1张图片

 IP SEC缺陷

由于IPSEc是基于网络层的协议,很难穿越NAT 和防火墙,特别是在接入一些防护措施较为严格的个人网络和公共计算机时,往往会导致访问受阻。移动用户使用IPSec VPN需要安装专用的客户端软件,为日益增长的用户群发放、安装、配置、维护客户端软件已经使管理员不堪重负。因此,IPSec VPN在Point- to-Site远程移动通信方面并不适用。
 

SSL握手协议的第一阶段

客户端首先发送client hello 消息到服务端,服务端收到client hello信息后,再发送server hello 到客户端

SSL VPN 安全防御详解_第2张图片

 随机数: 32位时间戳 +28 字节随机序列,用于计算机摘要信息和预主密钥或者主密钥的参数

会话ID: 一次性会话ID,防止重放攻击

SSL握手协议的第二阶段

服务器的证书:包含服务器公钥的证书,用于客户端给服务器发送信息时加密

server key exchange服务端密钥交换:决定密钥交换的方式,比如DH,RSA,会包含密钥交换所需的一 系列参数。 

SSL握手协议的第三阶段

client key exchange客户端密钥交换:根据服务端随机数算出一个pre-master,发给服务器,服务器收 到后根据pre-master密钥生成一个main-matser。

预主密钥和主密钥的关系

SSL VPN 安全防御详解_第3张图片

初始化向量的用途

 SSL VPN 安全防御详解_第4张图片

SSL握手协议的第四阶段

SSL VPN 安全防御详解_第5张图片

SSL VPN 安全防御详解_第6张图片

SSL VPN的实现 

虚拟网关

SSL VPN 安全防御详解_第7张图片

 SSL VPN每个虚拟网关可以独立管理,可以配置各自的资源,用户、认证方式,访问控制以及管理员。 并且相互隔离。

WEB代理

SSL VPN 安全防御详解_第8张图片

 实现方式

web-link:使用active X控件方式,对页面进行请求

web改写: 将所请求页面上链接进行改写,其他内容不变

实现结果

实现对内网web资源的安全访问

1. 内网web资源只有私网地址,在不做NAT的情况下,可以通过SSL VPN实现对其的代理安全访问

2. 内网web资源只有私网地址,在做NAT的情况下,公网用户可以实现对其访问,但是web资源没有使用安全传输协议,SSL VPN可以实现对其http安全访问

文件共享

实现过程

SSL VPN 安全防御详解_第9张图片

实现原理

 协议转化技术:无需客户端,直接通过浏览器安全访问转换为内网文件共享的相应协议格式,使用activeX控件

支持协议 

SMB windows

NFS linux

端口转发

实现过程        

SSL VPN 安全防御详解_第10张图片

实现原理: 安装activeX控件 ,本质就是NAT过程

SSL VPN 安全防御详解_第11张图片

提供内网TCP资源的访问,C/S资源

提供丰富的静态端口的TCP应用

单端口单服务:telent、SSH、MS RDP VNC

单端口多服务:notes

多端口多服务:outlook

动态端口TCP应用

动态端口:FTP

提供端口级访问控制

自动安装运行一个 ActiveX控件,获取到管理端配置的端口转发资源列表(目的服务器IP、端口)。控件 将客户端发起的TCP报文与资源列表进行比对,当发现报文的目的IP/Port与资源列表中的表项匹配,则 截获报文,开启侦听端口(目的端口经过特定算法得出),并将目的地址改写为回环地址,转发到侦听 端口。对该报文加密封装,添加私有报文头,将目的地址设为USG的IP地址,经由侦听端口发往USG。 USG收到报文进行解密,发往真实的目的服务器端口。USG收到服务器的响应后,再加密封装回传给用 户终端的侦听端口。

特点

SSL VPN 安全防御详解_第12张图片

网络扩展 

实现过程

SSL VPN 安全防御详解_第13张图片

访问模式 

三种流量:去对方内网流量,去互联网流量,去本地局域网络流量

1. 全路由模式: 三种流量都走隧道,意味着本地不能访问互联网,也可以通过隧道访问,也能补访问本地局域网

2. 分离模式: 对方内网流量走隧道,本地局域网流量走物理网卡,互联网流量不能走。意味着,能访 问对方内网,能访问本地局域网,不能访问互联网。

3. 手动模式:对方内网流量走隧道,本地局域网络流量和互联网流量走物理网卡。意味着,都能访 问,并且互联网走本地。

SSL VPN要求的终端安全

 终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查,缓存清 除。

主机检查:

杀毒软件检查

防火墙设置检查

注册表检查

端口检查

进程检查

操作系统检查

缓存清除

internet临时文件

浏览器自动保存密码

cookie记录

浏览器访问历史记录

收回站和最近打开的文件

指定文件或者文件夹

认证授权

db认证授权

第三方服务认证授权

数字证书的认证

短信辅助认证

SSL VPN 功能总结

SSL VPN 安全防御详解_第14张图片

配置

SSL VPN 安全防御详解_第15张图片

你可能感兴趣的:(安全,ssl,网络)