SSL VPN

这篇具有很好参考价值的文章主要介绍了SSL VPN。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

SSL工作过程

SSL(Secure Sockets Layer,安全套接层)是一种常用的加密协议

  1. 客户端发起连接请求:客户端向服务器发送连接请求,请求建立一个安全的SSL连接。

  2. 服务器响应:服务器接收到客户端的连接请求后,如果支持SSL协议,就会返回一个数字证书。数字证书包含了服务器的公钥以及其他相关信息,用于证明服务器的身份。

  3. 客户端验证服务器的证书:客户端会验证服务器返回的证书的有效性和合法性。验证过程包括检查证书的签名是否可信、证书是否过期、域名是否匹配等。如果验证失败,客户端会中止连接,或者提示用户关于证书不受信任的信息。

  4. 客户端生成随机数和密钥:客户端会生成一个随机数作为对称加密算法的密钥,并使用服务器的公钥对该密钥进行加密。

  5. 服务器解密密钥:服务器使用自己的私钥来解密客户端发来的密钥。

  6. 确立加密算法和参数:客户端和服务器根据各自支持的加密算法列表,选择一个适用的对称加密算法和参数,用于之后的数据加密。之后,客户端和服务器都知道使用同一个对称密钥进行通信。

  7. 建立SSL连接:客户端通过对称密钥加密算法加密一条消息,并发送给服务器。服务器收到消息后,使用对称密钥解密,确认连接建立成功。此后,客户端和服务器之间的通信将使用对称密钥进行加密和解密。

  8. 安全通信:客户端和服务器使用对称密钥进行加密和解密,保证通信的机密性和完整性。加密数据在传输过程中,即使被截获,也无法理解其中的内容。

SSL中的预主密钥

SSL协商过程中生成的一个随机数,它在SSL连接建立过程中起着重要的作用。下面是预主密钥的几个作用:

  1. 密钥交换:预主密钥用于安全地交换会话密钥(session key)。在SSL握手阶段,客户端和服务器会使用各自的长期私钥和对方的公钥来生成预主密钥,并通过安全通道进行传输。预主密钥能够保证在无安全通道的情况下,仍能安全地交换会话密钥,从而保证后续通信的机密性。

  2. 密钥派生:预主密钥是派生生成会话密钥的基础。在握手阶段,客户端和服务器都使用预主密钥作为输入,通过复杂的密钥派生函数(key derivation function)生成会话密钥。会话密钥是对称密钥,用于加密和解密实际的通信数据。

  3. 完美前向保密性(Perfect Forward Secrecy,PFS):预主密钥的使用还能够实现完美前向保密性。如果攻击者获取了之前的会话数据或长期私钥,他们也无法还原预主密钥。这是因为预主密钥是每个会话都通过随机数生成的,不会长期存储。即使之前的会话密钥被破解,后续会话的安全仍然得到保护。

SSL实现 虚拟网关

SSL VPN,ssl,网络协议,网络

 SSL实现 web代理

 SSL VPN,ssl,网络协议,网络

 SSL实现文件共享

 

实现原理

协议转换技术:无需客户端,直接通过浏览器安全访问转换为内网文件共享的相应协议格式。使用
activeX控件。


支持协议

  • ·SMB (windows)
  • ·NFS (linux)

 

SSL实现端口转发

SSL VPN,ssl,网络协议,网络 

 实现原理: 安装activeX控件,本质是NAT过程

 SSL VPN,ssl,网络协议,网络

 

 提供内网TCP资源的访问,C/S资源

提供丰富的静态端口的TCP应用

单端口单服务:telent、SSH、MS RDP VNC

单端口多服务:notes

多端口多服务:outlook

动态端口TCP应用   动态端口:FTP

提供端口级访问控制

自动安装运行一个 ActiveX控件,获取到管理端配置的端口转发资源列表(目的服务器IP、端口)。控件 将客户端发起的TCP报文与资源列表进行比对,当发现报文的目的IP/Port与资源列表中的表项匹配,则 截获报文,开启侦听端口(目的端口经过特定算法得出),并将目的地址改写为回环地址,转发到侦听 端口。对该报文加密封装,添加私有报文头,将目的地址设为USG的IP地址,经由侦听端口发往USG。 USG收到报文进行解密,发往真实的目的服务器端口。USG收到服务器的响应后,再加密封装回传给用 户终端的侦听端口。

SSL VPN,ssl,网络协议,网络 

 网络扩展

SSL VPN,ssl,网络协议,网络

SSL VPN,ssl,网络协议,网络 

 SSL VPN要求的终端安全

终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查,缓存清 除。

主机检查:

  • 杀毒软件检查
  • 防火墙设置检查
  • 注册表检查
  • 端口检查
  • 进程检查
  • 操作系统检查

缓存清除:

  • internet临时文件
  • 浏览器自动保存密码
  • cookie记录
  • 浏览器访问历史记录
  • 回收站和最近打开的文件
  • 指定文件或者文件夹

认证授权

  • vpndb认证授权
  • 第三方服务认证授权
  • 数字证书的认证
  • 短信辅助认证

SSL VPN,ssl,网络协议,网络 

 

在实现SSL VPN时,防火墙需要放行以下几类流量:

  1. SSL/TLS流量:防火墙需要允许SSL/TLS协议的流量通过,以确保SSL VPN连接能够建立和正常运行。这包括标准的SSL端口(例如443端口)和其他配置的SSL VPN使用的端口。

  2. VPN协议流量:根据所选择的SSL VPN解决方案,防火墙需要放行相应的VPN协议流量。常见的SSL VPN协议有OpenVPN、IPsec、L2TP等。

  3. 认证流量:SSL VPN通常涉及用户身份验证,防火墙需要放行与认证相关的流量。这可能包括基于用户名和密码的身份验证流量或其他类型的身份验证流量(如证书、令牌等)。

  4. 内部资源访问流量:一旦SSL VPN连接建立成功,防火墙需要允许SSL VPN客户端通过SSL VPN隧道访问内部受限资源的流量。这可能涉及到内部服务器、数据库、文件共享等的流量。

  5. DNS流量:SSL VPN通常需要进行域名解析,以便将主机名转换为IP地址。防火墙需要允许出站的DNS流量,以确保SSL VPN客户端能够正确解析域名。

注意:具体需要放行哪些流量取决于使用的SSL VPN解决方案和网络架构。此外,在配置防火墙规则时,也要确保仅放行必要的流量以减少潜在的安全风险。文章来源地址https://www.toymoban.com/news/detail-633980.html

到了这里,关于SSL VPN的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全防御 --- SSL VPN

    有浏览器的设备就可以使用 SSL ,进而使用 SSL VPN 。无需担心客户端问题,所以SSL VPN也称为无客户端VPN。SSL VPN在client to lan场景下特别有优势。 实际实现过程( 基于TCP实现 ) 握手阶段 SSL协议握手第一阶段 客户端首先发送client hello消息到服务端,服务端收到client hello消息后

    2024年02月12日
    浏览(40)
  • SSL VPN简介

    SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。 作为一种轻量级VPN 技术,SSL VPN安全性

    2024年01月17日
    浏览(76)
  • SSL VPN

    SSL工作过程 SSL(Secure Sockets Layer,安全套接层)是一种常用的加密协议 客户端发起连接请求:客户端向服务器发送连接请求,请求建立一个安全的SSL连接。 服务器响应:服务器接收到客户端的连接请求后,如果支持SSL协议,就会返回一个数字证书。数字证书包含了服务器的

    2024年02月14日
    浏览(35)
  • 深入理解SSL VPN

    名词解析: SSL ( Secure Socket Layer ,安全套接字层 ) TLS(Transport Layer Security ,传输层安全协议 )      TLS 1.0 是 IETF ( Internet Engineering Task Force , Internet 工程任务组)制定的一种新的协议,它建立在 SSL 3.0 协议规范之上,是 SSL 3.0 的后续版本 采用B/S架构,远程用户无需安装

    2024年02月10日
    浏览(53)
  • 安全防御------SSL VPN篇

    目录 一、SSL工作过程 1.SSL握手协议的第一阶段 2.SSL握手协议的第二阶段 3.SSL握手协议的第三阶段​编辑 4.SSL握手协议的第四阶段​编辑 二、SSL预主密钥有什么作用? 三、SSL VPN主要用于那些场景? 四、SSL VPN的实现方式有哪些? 1.虚拟网关 2.WEB代理 3.文件共享 4.端口转发 5.网

    2024年02月06日
    浏览(36)
  • 安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量

    目录 一、SSL工作过程 1.SSL握手协议的第一阶段 2.SSL握手协议的第二阶段 3.SSL握手协议的第三阶段​编辑 4.SSL握手协议的第四阶段​编辑 二、SSL预主密钥有什么作用? 三、SSL VPN主要用于那些场景? 四、SSL VPN的实现方式有哪些? 1.虚拟网关 2.WEB代理 3.文件共享 4.端口转发 5.网

    2024年01月25日
    浏览(50)
  • SSL/VPN远程接入技术架构

    SSL VPN (Secure Sockets Layer Virtual Private Network) 通过SSL协议进行加密传输的VPN即可称之为SSL VPN,可通过Web浏览器或重型客户端(OpenVPN,AnyConnect)访问。它允许用户使用正确的Web浏览器或客户端从任何计算机建立与Intranet的安全连接。 最初的SSL VPN,其实是指纯web、免客户端(client

    2024年04月11日
    浏览(31)
  • 奇安信VPN(网神SSL3600)配置

    1.SSL VPN设备入网 2.配置SSL VPN内网应用 3.特别注意事项,路由分离 1.分配一个内部IP地址192.168.x.x, 2.给设备添加一条默认路由,配置完成后,设备就可以正常访问内部网络。 1.添加内部网络访问资源,可以是一个服务器IP,或者一个网段。 2.添加一条NC配置,注意IP地址池创建,

    2024年01月17日
    浏览(37)
  • 奇安信SSL VPN详细配置步骤

    1、网络接口配置(GE2接口配置,GE1调试接口)  2、静态路由配置(网络配置-网络路由-IPv4路由)  3、NC的IP地址池添加(SSL-VPN-应用设置-IP地址池-虚拟地址池添加) 4、用户和组的添加 5、NC设置    6、网段添加    7、NAT管理(系统设置-网络配置-NAT管理)    8、License配置许

    2024年02月11日
    浏览(38)
  • 华为 ensp SSL VPN 史诗级配置

    最初的实验路由器为边界,路由器做nat访问sw1上的两个三次vlanif,后期客户要求在该拓扑上部署ssl vpn,更改拓扑,让防火墙作为边界设备,在sw1下桥接虚拟机,让虚拟机的地址和防火墙G1/0/2的外网口地址互通(甭管用啥协议,目的就是打通) SSL VPN配置开始 1、桥接虚拟机 在

    2024年02月05日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包