H3CSE20200603班-SSL V*N

引言：随着接入技术和移动技术的发展，如今的人们可以随时随地以多种接入方式接入Internet。企业的员工要求随时可以在家中、网吧、旅馆，使用自己的、别人的、公用的计算机访问公司的信息系统。这些多种多样的远程接入都是动态建立的，远程主机的安全性得不到保证，并且远程终端的多样性也要求VPN的客户端具有跨平台、易于升级和维护等特点。另外，随着企业经营模式的改变，企业需要建立Extranet与合作伙伴共享某些信息资源，以便提高企业的运作效率。在这种Extranet中，为了保证企业信息系统的安全，对合作伙伴的访问必须进行严格有效的控制。面对这些新的挑战，SSL VPN便运营而生了。SSL VPN以其简单易用的安全接入方式、丰富有效的权限管理，跨平台、免安装、免维护的客户端而成为远程接入市场上的新贵。

一、什么是SSL VPN

SSL VPN是一种远程安全接入技术，因为采用SSL协议而得名。因为Web浏览器内嵌支持SSL协议，使得SSL VPN可以做到“无客户端”部署，从而使得远程安全接入的使用非常简单，而且整个系统更加易于维护。SSL VPN一般采用插件系统来支持各种TCP和UDP的非Web应用，使得SSL VPN真正称得上是一种VPN，并相对IPSec VPN更符合应用安全的需求，成为远程安全接入主要手段和选择。

1、SSL
SSL（Secure Sockets Layer）安全套接层，是一个安全协议，为基于TCP的应用层协议提供安全连接，如SSL可以为HTTP协议提供安全连接。SSL协议广泛应用于电子商务、网上银行等领域，为网络数据的传输提供安全性保证。SSL协议采用C/S结构的通信模式，SSL服务器端口为TCP的443端口，SSL协议的通信实体一般分为两层：握手层和协议层。
（1）握手层
握手层包括握手协议、告警协议、密钥改变协议三个协议模块。
1、SSL握手协议：SSL握手协议被封装在记录协议中，该协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建立SSL连接时，服务器与客户机交换一系列消息。
2、SSL修改密码协议：保证SSL传输过程的安全性，客户端和服务器双方应该每个一段时间改变加密规范
3、SSL报警协议：SSL报警协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常，就需要给对方发送一条警示消息通告
（2）记录层
SSL记录层用于封装传输报文，加密传输数据，为上层通信提供了一下的服务
1、保护传输数据的私密性，对数据进行加密和解密
2、验证传输数据的完整性，计算报文的摘要
3、提高数据的传输
4、保证数据传输的有序性和可靠性

二、什么是SSL VPN

SSL VPN其实就是采用SSL加密协议建立远程隧道连接的一种VPN。客户端和SSL VPN网关之间的数据是通过SSL协议进行加密的，而SSL VPN网关和内网服务器之间则是明文传送的。SSL本身的一些特性使SSL VPN具有一些独特的优势。可以保证数据的完整性、保密性，以及支持目前大多数软件平台的支持，并且还提供了丰富的接入手段，包括Web接入、TCP接入和IP接入，且客户端维护简单。下图是对SSL VPN的一个技术优势的描述。

看到这里，有同学可能会问到。前面讲解得IPSec VPN需要通过IKE进行密钥、加密算法、散列算法等参数的协商，那SSL VPN需不需要呢？答案是需要，SSL是一种加密协议，需要通过握手过程来协商加密套件、压缩算法、会话ID、协议版本等信息。

其实SSL握手协议规定了三种握手过程，分别是有客户端认证的全握手过程、无客户端认证的全握手过程、会话恢复过程。上图为有客户端的全握手过程，服务器需要向客户端索取证书，客户端也要向服务器发送自己的证书，而无客户的认证的全握手过程，则不必索取客户端的证书。会话过恢复过程是避免重复的SSL连接建立过程，会话过程较为简单，通信双方不用互相发送证书以及密钥参数。

今天的技术分享到此结束，晚安