安全防御 --- SSL VPN
附:无线项目介绍
SSL VPN
有浏览器的设备就可以使用SSL,进而使用SSL VPN。无需担心客户端问题,所以SSL VPN也称为无客户端VPN。SSL VPN在client to lan场景下特别有优势。
实际实现过程(基于TCP实现)
(1)SSL协议握手实现
握手阶段
SSL协议握手第一阶段
客户端首先发送client hello消息到服务端,服务端收到client hello消息后,再发送server hello消息到客户端
- 随机数:32位时间戳 + 28字节随机序列,用于计算摘要信息和预主密钥或主密钥的参数
- 会话ID:一次性会话ID,防止重放攻击
SSL协议握手第二阶段
- 服务器的证书:包含服务端公钥的证书,用于客户端给服务端发送信息时加密
- server key exchange 服务端密钥交换:决定密钥的交换形式,比如DH、RSA,包含密钥交换所需的一系列参数
SSL协议握手第三阶段
client key exchange 客户端密钥交换:根据服务端随机数算出一个pre-master,发给服务器,服务器收到后根据pre-master密钥生成一个main-master
附:预主密钥和主密钥的关系
初始化向量用途
SSL协议握手第四阶段
会话恢复阶段
(2)SSL记录协议
记录协议主要实现对数据的分块、加密解密、压缩解压缩、完整性校验、封装
SSL记录协议包含信息:
- 内容类型
- 协议版本号
- 数据长度
- 数据的有效载荷
- 散列算法的认证代码
(3)SSL与IPSEC的对比
区别:
- IPSec是网络层保证IP通讯而提供的协议族,以网络层为中心
- SSL是套接字层保护HTTP通讯的协议,以应用层为中心
SSL VPN的优势
(4)SSL VPN实现
[1] 虚拟网关
SSL VPN每个虚拟网关可以独立管理,可以配置各自的资源,用户、认证方式,访问控制及管理员,并且相互隔离。
[2] web代理
实现过程
实现方式
- web-link:使用activeX控件方式,对页面进行请求
- web列表:将所请求页面上的链接进行改写,其他内容不变
ActiveX是Microsoft对于一系列策略性面向对象程序技术和工具的称呼,其中主要的技术是组件对象模型(COM)。在有目录和其它支持的网络中,COM变成了分布式COM(DCOM)
实现结果(实现对内网web资源的访问)
- 内网web资源只有私网地址,不做NAT的情况下,可通过SSL VPN实现对其代理的安全访问
- 内网web资源只有私网地址,做NAT情况下,公网用户可实现安全访问,但是web资源未使用安全传输协议,SSL VPN可实现对https的安全访问
[3] 文件共享
实现过程
实现原理
- 协议转换:无需客户端,直接通过浏览器访问转为内网文件共享的相应协议格式,使用activeX控件。
支持协议
- SMB windows
- NFS linux
[4] 端口转发
实现过程
实现原理:安装activeX控件,本质是NAT过程
提供内网TCP资源的访问,C/S资源
- 提供丰富的静态端口的TCP应用
单端口单服务:telnet、SSH、MS、RDP、VNC
单端口多服务:notes
多端口多服务:outlook
- 动态端口TCP应用
- 提供端口的访问控制
自动安装运行一个 ActiveX控件,获取到管理端配置的端口转发资源列表(目的服务器IP、端口)。控件将客户端发起的TCP报文与资源列表进行比对,当发现报文的目的IP/Port与资源列表中的表项匹配,则截获报文,开启侦听端口(目的端口经过特定算法得出),并将目的地址改写为回环地址,转发到侦听端口。对该报文加密封装,添加私有报文头,将目的地址设为USG的IP地址,经由侦听端口发往USG。USG收到报文进行解密,发往真实的目的服务器端口。USG收到服务器的响应后,再加密封装回传给用户终端的侦听端口。
特点
[5] 网络扩展
实现过程
访问模式
三种流量:去对方内网;去互联网;去本地局域网
- 全路由模式:三种流量都走隧道,代表本地不能访问互联网,也可通过隧道访问,也可访问本地局域网
- 分离模式:对方内网流量走隧道,本地局域网流量走物理网卡,互联网流量不能走。意味着能访问对方内网,能访问本地局域网,不能访问互联网。
- 手动模式:对方内网流量走隧道,本地局域网流量和互联网流量走物理网卡。意味着都能访问,互联网走本地
(5)SSL VPN要求的终端安全
终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查、缓存清除、认证授权。
[1] 主机检查
- 杀毒软件检查
- 防火墙设置检查
- 注册表检查
- 端口检查
- 进程检查
- 操作系统检查
[2] 缓存清除
- internet临时文件
- 浏览器自动保存密码
- cookie记录
- 浏览器访问历史记录
- 回收站和最近打开的文件
- 指定文件或文件夹
[3] 认证授权
- vpndb的认证授权
- 第三方服务认证授权
- 数字证书的认证
- 短信辅助认证
SSL VPN功能总结
安全防御 --- SSL VPN相关推荐
- ssl vpn 与 ipsec vpn 区别
VPN 安全协议有两种主要类型,IPsec 和 SSL,了解它们之间的区别对于确保客户的安全至关重要.在本文中,我们将解释IPsec 和 SSL VPN 协议之间的区别,以及如何选择合适的协议来满足客 ...
- 「安全狗漏洞通告」Fortinet SSL VPN远程代码执行漏洞解决方案
安全狗应急响应中心监测到,Fortinet发布了FortiOS SSL-VPN的风险通告,漏洞等级:高危,漏洞评分:9.3.漏洞编号:CVE-2022-42475. 安全狗应急响应中心建议广大用户做好 ...
- SSL VPN 与 IPsec VPN
安全套接层(Secure Sockets Layer) 网际协议安全(Internet Protocol Security) 封装位置: IPSEC和SSL两种不同的加密协议可以加密数据包,以防止中间 ...
- 飞塔Fortinet防火墙SSL VPN双因素身份认证(2FA)方案
作为行业领先的防火墙厂商,飞塔Fortinet结合了高性能 VPN 功能,代表了网络安全的新概念.其中飞塔Fortinet防火墙 SSL VPN 因其突出的安全性能而被广泛应用在远程办公场景中.但在 ...
- SD-WAN与MPLS VPN,MSTP,IPSEC VPN,SSL VPN有什么区别?
对于目前市场上主流的SD-WAN.MPLS VPN.SSL VPN.IPSec VPN和MSTP等企业组网技术,想必大家一定不陌生.其实,MPLS VPN,IPSec VPN,SSL VPN都属于采用 ...
- 华为防火墙SSL VPN隧道连接实验配置
远程拨号用户发起SSL VPN隧道连接实验配置 文章目录 远程拨号用户发起SSL VPN隧道连接实验配置 前言 一.实验拓扑 二.实验步骤: 1.AR1 2.LNS 三.Web登录防火墙配置 总结测试 ...
- 深入理解SSL VPN
名词解析: SSL (Secure Socket Layer,安全套接字层 ) TLS(Transport Layer Security,传输层安全协议) TLS 1.0是IETF(Internet ...
- 登录华为ssl vpn secoclient客户端时,接收返回码超时解决方案
ssl vpn secoclient接收返回码超时,如下图: 接收返回码 ...
- 安全防御 IPsec VPN
目录 1.什么是数据认证,有什么用,有哪些实现的技术手段? 2.什么是身份认证,有什么用,有哪些实现的技术手段? 3.什么是VPN技术? 4.VPN技术有哪些分类? 5.IPsec技术能够提供哪些安全 ...
最新文章
- org.apache.tomcat.util.bcel.classfile.ClassFormatException: Invalid byte tag in constant pool: 19
- c#,winform,验证输入内容,文本框,长度,errorprovider组件,方便,快捷
- 为什么地磅的读数有进制么_谈谈二进制(三)——位运算及其应用
- 「Codeforces」598E (区间dp)
- 年底了,给想进阶的的前端朋友一些福利
- 用python可以处理xml文件怎么打开_Python大神都是这样处理xml文件的!
- 一个穷人是从什么时候开始有钱的?
- breadcrumb 根据路由_简单的vue-router面包屑转化
- 【代码笔记】iOS-竖状图
- java 补丁_java SP3补丁说明
- Longstick的学习周记——第二周
- cisco设备的mib库
- 聚合数据--汇率接口调用
- ubuntu上安装微信教程
- caj 格式的文件转换为word
- 论文翻译:搜索人脸活体检测的中心差异卷积网络及实现代码
- 【第一章 走进数据科学】袁博《数据挖掘:理论与算法》
- Aegisub无法打开视频
- 复杂网络分析(三)(UCINET)
- 逆向分析工具有哪些?
热门文章
- 字节跳动已经 10 万人了?Java 程序员也太香了!
- C - Book Note
- bzoj 1228 [SDOI2009]ED 博弈论
- 2020年Vue、React 和 Angular:该选择哪个框架?
- 织梦生成栏目html无反应,排除法解决[织梦dedecms生成栏目没反应]问题 揪出罪魁祸首GetTopTypename()!...
- 11n/ac/ax对比
- 看Java、C#大比拚(转帖)
- 计算机应用基础与操作,计算机应用基础教程与操作实例(Windows7+Office2010)/21世纪高等职业教育规划教材·计算机公共课系列...
- 禅道项目管理软件,敏捷开发团队不可或缺的工具
- python控制浏览器模块_Pamie模块详解 python操作ie浏览器