数据传输安全--SSL VPN
目录
SSL握手协议、SSL密码变化协议、SSL警告协议三个协议作用
SSL现在叫TLS协议
IPSEC在Client to LAN场景下比较吃力的表现
1、在用户认证方面比较薄弱,IKE V1不支持用户接入认证,V2的EAP认证没有大范围铺设开
2、因为双方要去协商参数,所以客户端需要额外安装支持IPSec的应用或者程序,对于客户不是一个很好的体验
3、因为IPSec可以基于感兴趣流进行选择性保护,所以策略需要进行调整不太方便
4、因为IPSec是基于网络层的,可以基于网络和传输层基于权限管理,但是我们需要一款针对应用层面需要一个更细颗粒度的,IPSec很难在应用层做一个很精细的控制
SSL VPV
基于上面的IPSec在Client to LAN场景下的缺点可以使用SSL VPN技术,下面看一下SSL VPN和IPSec VPN的优势
SSL VPN优势
1、SSL VPN是基于应用层封装在传输层和应用层之间,他不影响网络层的东西,所以组网灵活
2、SSL VPN采用的是一种基于B/S架构的模式,所以,只要客户拥有浏览器就可以访问,方便快捷
3、最主要的是,和IPSEC VPN针对网络层的控制相比,SSL VPN可以基于应用层做更细颗粒度的控制
SSL协议
SSL协议可以和很多协议结合例如SSL+HTTP=HTTPS、SSL+Telnet=SSH、SSL+FTP=FTPS
(注:SSL协议只能保证基于TCP协议的应用层安全,不可以保证基于UDP协议的应用层安全,但是SSL VPN可以保证基于UDP协议的应用层安全)
SSL所在层次
在应用层和传输层之间
SSL工作原理
SSL分了两层协议
SSL记录协议用于封装高层协议的数据,对应用层数据加密之后,放置在记录中
SSL握手协议、SSL密码变化协议、SSL警告协议是进行数据协商的时候用的,在进行数据传输的时候就看不见了
SSL握手协议、SSL密码变化协议、SSL警告协议三个协议作用
1、通过SSL握手协议,允许服务器和客户端相互认证,并在应用层协议传输数据之前协商出加密算法哈希算法加密密钥和会话密钥,构建SSL会话
2、SSL密码变化协议这个协议只包含一条消息就是changecipherspec,告诉对方我要使用新协商的算法和密钥进行加密传输,客户端和服务端都可以发送
3、SSL告警协议,出现故障啥的,告诉对方,告警机制
工作过程
在进行完成三次握手后的步骤
1、进行TCP三次握手、建立网络连接会话
2、客户端先发送Client HELLO包,下图是包的内容
客户端的随机数:客户端携带的随机数是成成会话密钥的一个参数,这个会话密钥需要通过三个参数共同计算,这是其中之一
加密套件:将加密算法和哈希算法等等一些算法搭配一下,类比餐馆里面的套餐
支持的压缩算法:可有可无看你是否需要
TLS的版本不同是客户端现在使用的TLS,和自己支持的TLS
例子
3、SSL服务器回复消息
例子
合在一起发送
4、客户端的回应
例子
5、服务器最后的回应
例子
session ticket会话票据,这个东西用于会话复用这个里面记录了整个身份认证的信息,这个在以后客户端还想找的话,可以省略身份认证,但是密钥还需要重新协商。这个东西在第一个client hello包中是有这个字段的,如下图,但是下图中由于是第一次建立SSL通道所以没有携带这个字段的值,如果携带了就可以不用身份认证了。
三种场景
无客户端认证的握手过程
有客户端认证
会话复用场景
SSL协议数据传输流程
开始收发数据SSL如何做,如下图
SSL分片是为了加密,分组加密要分组。不要理解为TCP或IP的分片
先压缩再加密,这样更节省资源,如果定义了压缩算法就压缩,没定义就不压缩
增加HMAC。是增加密钥的HMAC算法,是要做完整性校验的,进行完整性校验生成的hash会放在后面的黑色部分
加密,加密是将数据和完整性校验的值一起加密
增加SSL头部
之后的工作就与SSL没关系了
SSL协议缺点
SSL VPN
SSL VPN又被称为虚拟网管技术
SSL VPN的总体流程
角色授权用来关联用户认证和资源访问,类似于防火墙管理员角色
用户认证
本地认证:本地认证就是用户名和密码信息在防火墙本地存储,登陆时在防火墙本地进行比对验证,由防火墙进行判断
服务器认证:用户名和密码信息存储在服务器上,防火墙需要将登录信息发送给服务器,由服务器进行判断,之后将结果返回给防火墙,做出对应的动作
证书认证:需要客户端提交证书,防火墙通过验证客户端的证书来认证用户
证书匿名:
证书匿名认证流程
首先CA证书给用户颁发一个客户端证书,再给服务器颁发一个客户端CA证书(这个相当于一个CA公钥,证明CA身份的一个证书),用户把客户端证书发送给防火墙,然后服务器使用客户端CA证书的公钥解密客户端证书,获取客户端的信息和公钥,进行身份校验和身份认证。挑战密码认证在进行证书认证的情况下还要进行密码认证
证书匿名认证的要求
资源发布
web代理
防火墙在自身发布资源的时候不是原本的URL,而是改写后的(如上图第二步的URL),然后用户点击连接,用户就先和虚拟网关通信,然后虚拟网关收到后会解析收到的URL将头部去掉,在内网中寻早对应资源服务器,对应资源服务器收到请求后将资源页面返回给虚拟网关,虚拟网关将资源返回给用户
文件共享
SMB:windows下的一款文件共享协议
NFS:Linux下的一款文件共享协议
上图文件共享的过程中防火墙还是一个代理的身份,不过多做了一个翻译的工作,将SMB内容转化为HTTP的内容将HTTP的请求内容转换为SMB的请求
端口转发
流程
首先本地登陆SSL VPN,下载ActivX控件,下载资源信息(这个可以手动下发,也可以自动下发),然后这个ActivX会监听只要监听到了客户端发起telnet连接,客护端就会创建一个TCP环回连接(这样做的原因是,如果说没有创建这个连接,Telnet每做一个指令,这个流量就会推到虚拟网关,然后再推到服务器上,每次推送都要创建一个新的连接这样很耗费资源,所以先创建一个和自己的TCP连接,将请求攒一会,攒了一会以后一块往虚拟网关推送),然后客户端构建私有报文头(构建私有报文头就是将这个东西以HTTPS信息发送,相当于一个将Telnet命令转化为HTTPS的格式的过程)建立SSL连接,将信息发送给虚拟网关,虚拟网关和对应资源服务器建立TCP连接,然后服务器做响应,然后虚拟网关再将资源发送给客户端。
网络拓展
可以针对UDP资源进行传输
过程
下图是一个语言服务的例子,语音服务使用的是UDP
注:这个东西需要在用户客户端上安装一张虚拟网卡,会下发一个私网的IP地址和路由
首先登陆到虚拟网关,就是建立SSL连接过程,然后就可以进行安全加密传输,虚拟网关会先下发IP地址(私网地址)和路由,只要访问私网的任何一个资源,就可以让客户端走这个虚拟网卡,让客户端走SSL VPN,然后就是业务请求过程了。那么如何通过私网的IP地址,引导虚拟网卡后通过公网传递给内网,如下图通过不同的封装方式来解决问题。
可靠模式
这个封装是新加一个头部并且将IP UDP SIP全部封装到SSL加密里面,然后跨越公网找虚拟网关
快熟传输模式
封装协议变成了QUIC,变的更快
配置
用户认证
选项说明
类型
独占型
防火墙可以分多个虚拟系统,独占型就是只给某个虚拟系统用
共享型
防火墙可以分多个虚拟系统,共享型就是给多个虚拟系统用
资源发布
创建web代理
选项解释
Web改写和Web-Link区别
门互连接
勾选后虚拟网关中资源列表会显示
创建文件共享资源
选项解释
资源路径就是内网中资源共享的路径
类型就是SMB或者NFS
创建端口转发
选项解释
客户端自动启用
这个就是下载相关资源信息,开启这个就是自动下载,虚拟网关将相关资源信息自动推到客户端,推到客户端后,客户端就可以监听这个资源
保持连接
SSL会话长时间没有数据通过的话会自动断开,就比如说Telnet,你敲完几个指令没有动作了,SSL因为时间长了没有动作,将连接断开以后,再去Telnet的话就得重新去连,体验不好,保持连接的话就可以一直保持这个SSL会话
要发布那个端口就发布那个端口
所有服务通过端口号发布
网络拓展创建
选项解释
隧道保活间隔
间隔多长时间发送一次保活包
可分配IP地址池范围
给虚拟网卡下发的地址范围
可访问网段
可以访问的内网网段
角色授权中关联资源
然后这个角色的用户就可访问该资源
注:网络拓展只要勾选上就可以使用
终端安全
在用户登陆虚拟网关的时候,我们可以做一些检查,检查客户端有没有安装杀毒软件,有没有防护
页面定制
可以定制登陆进去的页面样式
原文地址:https://blog.csdn.net/banliyaoguai/article/details/140654894
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!