当前位置:   article > 正文

隧道技术(三)_sdp隧道

sdp隧道

SSL VPN

1、SSL协议简介

(1)基本概念
SSL是一个安全协议,为基于TCP的应用层协议提供安全连接,SSL介于TCP/IP协议栈第四层和第七层之间。SSL可以为HTTP协议提供安全连接。安全套接字(SSL)是一种在两台机器之间提供安全通信的协议。

(2)SSL协议结构分为两层在这里插入图片描述

1)底层为SSL记录协议

主要对上层的数据进行分块、压缩、计算并添加MAC、加密,最后把记录块传输给对方。

2)上层为:
SSL握手协议------客户端和服务器通过握手协议建立一个会话。会话包含一组参数,主要有会话ID、对方的证书、加密算法列表(包括密钥交换算法、数据加密算法和MAC算法)、压缩算法以及主密钥。SSL会话可以被多个连接共享,以减少会话协商开销。

SSL密码变化协议------客户端和服务器通过密码变化协议通知接收方,随后的报文都将使用新协商的加密算法列表和密钥进行保护和传输。

SSL警告协议------用来允许一方向另一方报告告警信息。消息中包含告警的严重级别和描述。

2、SSL VPN概述
(1)SSL和IPSec安全防护对比
在这里插入图片描述

(2)SSL VPN技术优势
在这里插入图片描述

1)无客户端的便捷部署
a、无需改变内网网络结构即可实现快速部署。
b、节省投资,技术支持和管理成本。
c、不存在网络地址转换(NAT)穿越问题。

2)应用层接入的安全保护
a、用户只能通过SSL VPN接入企业应用资源,一定程度遏制了网络病毒的传播。
b、针对具体的应用资源的细粒度访问控制

3)企业的效率提升
a、灵活安全接入
b、企业移动/远程员工可以随时安全接入企业内网
c、分支机构安全连接,合作伙伴业务流整合,用户远程支持。

(3)SSL协议从以下方面确保了数据通信的安全
身份认证、机密性、完整性

3、SSL VPN功能与实现

功能:
(1)领先的虚拟网关

在这里插入图片描述

(2)Web代理
1)实现对内网Web资源的安全访问
a、Web代理实现了无客户端的页面访问
b、Web代理有两种实现方式:Web-link和Web改写

2)实现过程
a、远程接入用户通过USG网关对企业内网某一web页面发起访问请求。
b、内网服务器将请求结果返回给USG,由USG将获取的页面返回给用户
c、对用户来说,USG相当于web服务器,而对内部服务器来说,USG又充当了客户端的角色。
在这里插入图片描述

3)两种实现方式
a、Web-link采用ActiveX控件方式,对页面进行转发。
b、Web改写方式采用脚本改写方式,将请求所得页面上的链接进行改写,其他网页内容不作修改。

(3)文件共享

1)主要功能
是将不同的系统服务器(SMB,NFS)的共享资源以网页的形式提供给用户访问。
在这里插入图片描述

2)实现过程
a、客户端向内网文件服务器发起HTTPS格式的请求,发送到USG防火墙。
b、USG防火墙将HTTPS格式的请求报文转换为SMB格式的报文。
c、USG防火墙发送SMB格式的请求报文给文件服务器。
d、文件服务器接受请求报文,将请求结果发送给USG防火墙,用的是SMB报文
e、USG防火墙将SMB应答报文转换为HTTPS格式
f、将请求结果(HTTPS格式的报文)发送到客户端。

(4)端口转发
1)主要功能
主要用于C/S不能使用web技术访问的应用

2)支持静态端口的TCP应用
a、单端口单服务
一个服务对应一个端口。例如Telnet、SSH、VNC

b、单端口多服务
多个服务对应一个端口。例如Notes(多个数据库服务器对应一个端口)

c、多端口单服务
一个服务对应多个端口。例如POP3、Email。

3)支持动态端口的TCP应用
动态端口服务
一个服务对应多个动态变化的端口。例如FTP被动模式

4)实现原理
a、用户点击客户端页面“启动端口转发功能”按钮,自动安装运行一个WindowsActiveX控件,获取到管理端配置的端口转发资源列表(目的服务器IP、端口)。控件将客户端发起的TCP报文与资源列表进行比对,当发现报文的目的IP/Port与资源列表中的表项匹配,则截获报文,开启侦听端口(目的端口经过特定算法得出),并将目的地址改写为回环地址,转发到侦听端口。

b、对该报文加密封装,添加私有报文头,将目的地址设为USG的IP地址,经由侦听端口发往USG。
c、USG收到报文进行解密,发往真实的目的服务器端口。
d、USG收到服务器的响应后,再加密封装回传给用户终端的侦听端口。

在这里插入图片描述

(5)网络扩展
1)访问方式
a、全路由模式
用户可以访问远端企业内网(通过虚拟网卡)和本地局域网(通过实际网卡),不能访问Internet。

b、分离模式
用户只允许访问远端企业内网(通过虚拟网卡),不能访问Internet和本地局域网

c、手工模式
用户可以访问远端企业内网特定网段的资源(通过虚拟网卡),对其它Internet和本地局域网的访问不受影响(通过实际网卡)。网段冲突时优先访问远端企业内网。

2)实现过程
a、远程用户通过IE浏览器登录虚拟网关,建立HTTPS会话。
b、远程用户在虚拟网关上启动网络扩展功能。
c、.远程用户向企业内网的Server发送IP报文。该IP报文首先流向虚拟网卡,经过虚拟网卡后再进入SSL隧道。
d、进入SSL隧道的IP报文被加密保护,并送往虚拟网关。
e、虚拟网关解密远程用户发来的IP报文,并将解密后的IP报文发送给企业内网Server。
f、企业内网Server回复远程用户的资源请求,回复报文到达虚拟网关后,经过虚拟网关进入SSL隧道。
g、进入SSL隧道的IP报文被加密保护,并送往远程用户。
h、远程用户解密虚拟网关发来的IP报文。
在这里插入图片描述

(6)用户安全控制
1)主机检查
2)缓存清理
3)认证授权

(7)完善的日志功能
1)系统日志
2)用户日志
3)虚拟网关管理员日志
4)日志导出
5)日志查询

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/AllinToyou/article/detail/423878
推荐阅读
相关标签
  

闽ICP备14008679号