赞
踩
1、SSL协议简介
(1)基本概念
SSL是一个安全协议,为基于TCP的应用层协议提供安全连接,SSL介于TCP/IP协议栈第四层和第七层之间。SSL可以为HTTP协议提供安全连接。安全套接字(SSL)是一种在两台机器之间提供安全通信的协议。
(2)SSL协议结构分为两层
1)底层为SSL记录协议
主要对上层的数据进行分块、压缩、计算并添加MAC、加密,最后把记录块传输给对方。
2)上层为:
SSL握手协议------客户端和服务器通过握手协议建立一个会话。会话包含一组参数,主要有会话ID、对方的证书、加密算法列表(包括密钥交换算法、数据加密算法和MAC算法)、压缩算法以及主密钥。SSL会话可以被多个连接共享,以减少会话协商开销。
SSL密码变化协议------客户端和服务器通过密码变化协议通知接收方,随后的报文都将使用新协商的加密算法列表和密钥进行保护和传输。
SSL警告协议------用来允许一方向另一方报告告警信息。消息中包含告警的严重级别和描述。
2、SSL VPN概述
(1)SSL和IPSec安全防护对比
(2)SSL VPN技术优势
1)无客户端的便捷部署
a、无需改变内网网络结构即可实现快速部署。
b、节省投资,技术支持和管理成本。
c、不存在网络地址转换(NAT)穿越问题。
2)应用层接入的安全保护
a、用户只能通过SSL VPN接入企业应用资源,一定程度遏制了网络病毒的传播。
b、针对具体的应用资源的细粒度访问控制
3)企业的效率提升
a、灵活安全接入
b、企业移动/远程员工可以随时安全接入企业内网
c、分支机构安全连接,合作伙伴业务流整合,用户远程支持。
(3)SSL协议从以下方面确保了数据通信的安全
身份认证、机密性、完整性
3、SSL VPN功能与实现
功能:
(1)领先的虚拟网关
(2)Web代理
1)实现对内网Web资源的安全访问
a、Web代理实现了无客户端的页面访问
b、Web代理有两种实现方式:Web-link和Web改写
2)实现过程
a、远程接入用户通过USG网关对企业内网某一web页面发起访问请求。
b、内网服务器将请求结果返回给USG,由USG将获取的页面返回给用户
c、对用户来说,USG相当于web服务器,而对内部服务器来说,USG又充当了客户端的角色。
3)两种实现方式
a、Web-link采用ActiveX控件方式,对页面进行转发。
b、Web改写方式采用脚本改写方式,将请求所得页面上的链接进行改写,其他网页内容不作修改。
(3)文件共享
1)主要功能
是将不同的系统服务器(SMB,NFS)的共享资源以网页的形式提供给用户访问。
2)实现过程
a、客户端向内网文件服务器发起HTTPS格式的请求,发送到USG防火墙。
b、USG防火墙将HTTPS格式的请求报文转换为SMB格式的报文。
c、USG防火墙发送SMB格式的请求报文给文件服务器。
d、文件服务器接受请求报文,将请求结果发送给USG防火墙,用的是SMB报文
e、USG防火墙将SMB应答报文转换为HTTPS格式
f、将请求结果(HTTPS格式的报文)发送到客户端。
(4)端口转发
1)主要功能
主要用于C/S不能使用web技术访问的应用
2)支持静态端口的TCP应用
a、单端口单服务
一个服务对应一个端口。例如Telnet、SSH、VNC
b、单端口多服务
多个服务对应一个端口。例如Notes(多个数据库服务器对应一个端口)
c、多端口单服务
一个服务对应多个端口。例如POP3、Email。
3)支持动态端口的TCP应用
动态端口服务
一个服务对应多个动态变化的端口。例如FTP被动模式
4)实现原理
a、用户点击客户端页面“启动端口转发功能”按钮,自动安装运行一个WindowsActiveX控件,获取到管理端配置的端口转发资源列表(目的服务器IP、端口)。控件将客户端发起的TCP报文与资源列表进行比对,当发现报文的目的IP/Port与资源列表中的表项匹配,则截获报文,开启侦听端口(目的端口经过特定算法得出),并将目的地址改写为回环地址,转发到侦听端口。
b、对该报文加密封装,添加私有报文头,将目的地址设为USG的IP地址,经由侦听端口发往USG。
c、USG收到报文进行解密,发往真实的目的服务器端口。
d、USG收到服务器的响应后,再加密封装回传给用户终端的侦听端口。
(5)网络扩展
1)访问方式
a、全路由模式
用户可以访问远端企业内网(通过虚拟网卡)和本地局域网(通过实际网卡),不能访问Internet。
b、分离模式
用户只允许访问远端企业内网(通过虚拟网卡),不能访问Internet和本地局域网
c、手工模式
用户可以访问远端企业内网特定网段的资源(通过虚拟网卡),对其它Internet和本地局域网的访问不受影响(通过实际网卡)。网段冲突时优先访问远端企业内网。
2)实现过程
a、远程用户通过IE浏览器登录虚拟网关,建立HTTPS会话。
b、远程用户在虚拟网关上启动网络扩展功能。
c、.远程用户向企业内网的Server发送IP报文。该IP报文首先流向虚拟网卡,经过虚拟网卡后再进入SSL隧道。
d、进入SSL隧道的IP报文被加密保护,并送往虚拟网关。
e、虚拟网关解密远程用户发来的IP报文,并将解密后的IP报文发送给企业内网Server。
f、企业内网Server回复远程用户的资源请求,回复报文到达虚拟网关后,经过虚拟网关进入SSL隧道。
g、进入SSL隧道的IP报文被加密保护,并送往远程用户。
h、远程用户解密虚拟网关发来的IP报文。
(6)用户安全控制
1)主机检查
2)缓存清理
3)认证授权
(7)完善的日志功能
1)系统日志
2)用户日志
3)虚拟网关管理员日志
4)日志导出
5)日志查询
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。