HQY 一个和谐有爱的空间

附：无线项目介绍

一、SSL工作过程

SSL（Secure Sockets Layer）是一种用于保护网络通信安全的协议。SSL的工作过程如下：

客户端发起连接请求：客户端向服务器发送连接请求，请求建立一个安全的SSL连接。

服务器响应：服务器接收到客户端的连接请求后，如果支持SSL协议，就会返回一个数字证书。数字证书包含了服务器的公钥以及其他相关信息，用于证明服务器的身份。

客户端验证服务器的证书：客户端会验证服务器返回的证书的有效性和合法性。验证过程包括检查证书的签名是否可信、证书是否过期、域名是否匹配等。如果验证失败，客户端会中止连接，或者提示用户关于证书不受信任的信息。

客户端生成随机数和密钥：客户端会生成一个随机数作为对称加密算法的密钥，并使用服务器的公钥对该密钥进行加密。

服务器解密密钥：服务器使用自己的私钥来解密客户端发来的密钥。

确立加密算法和参数：客户端和服务器根据各自支持的加密算法列表，选择一个适用的对称加密算法和参数，用于之后的数据加密。之后，客户端和服务器都知道使用同一个对称密钥进行通信。

建立SSL连接：客户端通过对称密钥加密算法加密一条消息，并发送给服务器。服务器收到消息后，使用对称密钥解密，确认连接建立成功。此后，客户端和服务器之间的通信将使用对称密钥进行加密和解密。

安全通信：客户端和服务器使用对称密钥进行加密和解密，保证通信的机密性和完整性。加密数据在传输过程中，即使被截获，也无法理解其中的内容。

SSL VPN

有浏览器的设备就可以使用SSL，进而使用SSL VPN。无需担心客户端问题，所以SSL VPN也称为无客户端VPN。SSL VPN在client to lan场景下特别有优势。

实际实现过程（基于TCP实现）

（1）SSL协议握手实现

握手阶段

SSL协议握手第一阶段

客户端首先发送client hello消息到服务端，服务端收到client hello消息后，再发送server hello消息到客户端

• 随机数：32位时间戳 + 28字节随机序列，用于计算摘要信息和预主密钥或主密钥的参数

• 会话ID：一次性会话ID，防止重放攻击

SSL协议握手第二阶段

• 服务器的证书：包含服务端公钥的证书，用于客户端给服务端发送信息时加密

• server key exchange 服务端密钥交换：决定密钥的交换形式，比如DH、RSA，包含密钥交换所需的一系列参数

SSL协议握手第三阶段

client key exchange 客户端密钥交换：根据服务端随机数算出一个pre-master，发给服务器，服务器收到后根据pre-master密钥生成一个main-master

附：预主密钥和主密钥的关系

初始化向量用途

SSL协议握手第四阶段

会话恢复阶段

（2）SSL记录协议

记录协议主要实现对数据的分块、加密解密、压缩解压缩、完整性校验、封装

SSL记录协议包含信息：

• 内容类型

• 协议版本号

• 数据长度

• 数据的有效载荷

• 散列算法的认证代码

（3）SSL与IPSEC的对比

区别：

• IPSec是网络层保证IP通讯而提供的协议族，以网络层为中心

• SSL是套接字层保护HTTP通讯的协议，以应用层为中心

SSL VPN的优势

（4）SSL VPN实现

[1] 虚拟网关

SSL VPN每个虚拟网关可以独立管理，可以配置各自的资源，用户、认证方式，访问控制及管理员，并且相互隔离。

[2] web代理

实现过程

实现方式

• web-link：使用activeX控件方式，对页面进行请求

• web列表：将所请求页面上的链接进行改写，其他内容不变

ActiveX是Microsoft对于一系列策略性面向对象程序技术和工具的称呼，其中主要的技术是组件对象模型（COM）。在有目录和其它支持的网络中，COM变成了分布式COM（DCOM）

实现结果（实现对内网web资源的访问）

• 内网web资源只有私网地址，不做NAT的情况下，可通过SSL VPN实现对其代理的安全访问

• 内网web资源只有私网地址，做NAT情况下，公网用户可实现安全访问，但是web资源未使用安全传输协议，SSL VPN可实现对https的安全访问

[3] 文件共享

实现过程

实现原理

• 协议转换：无需客户端，直接通过浏览器访问转为内网文件共享的相应协议格式，使用activeX控件。

支持协议

• SMB  windows

• NFS  linux

[4] 端口转发

实现过程

实现原理：安装activeX控件，本质是NAT过程

提供内网TCP资源的访问，C/S资源

• 提供丰富的静态端口的TCP应用

单端口单服务：telnet、SSH、MS、RDP、VNC
单端口多服务：notes
多端口多服务：outlook

• 动态端口TCP应用

• 提供端口的访问控制

自动安装运行一个 ActiveX控件，获取到管理端配置的端口转发资源列表（目的服务器IP、端口）。控件将客户端发起的TCP报文与资源列表进行比对，当发现报文的目的IP/Port与资源列表中的表项匹配，则截获报文，开启侦听端口（目的端口经过特定算法得出），并将目的地址改写为回环地址，转发到侦听端口。对该报文加密封装，添加私有报文头，将目的地址设为USG的IP地址，经由侦听端口发往USG。USG收到报文进行解密，发往真实的目的服务器端口。USG收到服务器的响应后，再加密封装回传给用户终端的侦听端口。

特点

[5] 网络扩展

实现过程

访问模式

三种流量：去对方内网；去互联网；去本地局域网

• 全路由模式：三种流量都走隧道，代表本地不能访问互联网，也可通过隧道访问，也可访问本地局域网

• 分离模式：对方内网流量走隧道，本地局域网流量走物理网卡，互联网流量不能走。意味着能访问对方内网，能访问本地局域网，不能访问互联网。

• 手动模式：对方内网流量走隧道，本地局域网流量和互联网流量走物理网卡。意味着都能访问，互联网走本地

（5）SSL VPN要求的终端安全

终端安全是在请求内网主机上部署一个软件，通过该软件检查终端的安全性包括：主机检查、缓存清除、认证授权。

[1] 主机检查

• 杀毒软件检查

• 防火墙设置检查

• 注册表检查

• 端口检查

• 进程检查

• 操作系统检查

[2] 缓存清除

• internet临时文件

• 浏览器自动保存密码

• cookie记录

• 浏览器访问历史记录

• 回收站和最近打开的文件

• 指定文件或文件夹

[3] 认证授权

• vpndb的认证授权

• 第三方服务认证授权

• 数字证书的认证

• 短信辅助认证

SSL VPN功能总结

推荐本站淘宝优惠价购买喜欢的宝贝:

本文链接：https://hqyman.cn/post/4797.html 非本站原创文章欢迎转载，原创文章需保留本站地址！

休息一下~~