4 SSL VPN

4.1 概念

4.1.1 SSL

SSL（Secure Socket Layer，安全套接层）是在传输通信协议（TCP/IP）上实现的一种安全协议，采用公开密钥技术。SSL基于TCP/IP连接的应用程序协议（如HTTP、Telenet和FTP等）提供数据加密、服务器认证、消息完整性以及可选的客户端认证。
SSL协议结构及各部分作用如图4.1所示。

图4.1 SSL协议结构及各部分作用
SSL的建立主要依靠SSL握手协议，SSL握手协议的基本设计思路：采用公钥加密算法进行密文传输。SSL通过服务器与客户端的4次握手建立连接，详细过程如图4.2所示。

图4.2 SSL握手过程

4.1.2 SSL VPN背景

SSL VPN即指采用SSL协议来实现远程接入的一种新型VPN技术。由于IPSec是基于网络层的协议，很难穿越NAT和防火墙，特别是在接入一些防护措施较为严格的个人网络和公共计算机时，往往会导致访问受阻。移动用户使用IPSec VPN需要安装专用的客户端软件，为日益增长的用户群发放、安装、配置、维护客户端软件已经使管理员不堪重负。因此，IPSec VPN在Point- to-Site远程移动通信方面并不适用。SSL VPN的出现有效解决了上述问题，在实际远程接入方案中应用十分广泛。

4.1.3 SSL VPN的应用场景

SSL VPN技术，指远程接入用户利用Web浏览器内嵌的SSL封包处理功能，连接企业内部的SSL VPN服务器，然后SSL VPN服务器可以将报文转向给特定的内部服务器，从而使得远程接入用户在通过验证后，即可访问企业内网特定的额服务器资源。其中，远程接入用户与SSL VPN服务器之间，采用标准的SSL协议对传输的数据包进行加密，这相当于远程接入用户与SSL VPN服务器之间建立起隧道。SSL VPN服务器通常部署在企业出口防火墙之后，其典型应用场景如图4.3所示。

图4.3 SSL VPN典型应用场景

4.1.4 SSL VPN的四大业务

（1）文件共享
（2）Web代理
（3）端口转发
（4）网络扩展

4.2 文件共享

4.2.1 文件共享应用场景

SSL VPN的文件共享功能，简单说就是让远程用户能够直接通过浏览器安全地访问企业内部的文件服务器，而且支持新建、修改、上传和下载等常用的文件操作，SSL VPN文件共享的应用场景如图4.4所示。

图4.4 SSL VPN文件共享的应用场景

4.2.2 文件共享流程

SSL VPN文件共享原理如图4.5所示

图4.5 SSL VPN文件共享的应用场景
图4.5中流程可以简述为：
（1）客户端向内网文件服务器发起HTTPS格式的请求，发送到USG防火墙;
（2）USG防火墙将HTTPS格式的请求报文转换为SMB格式的报文;
（3）USG防火墙发送SMB格式的请求报文给文件服务器;
（4）文件服务器接受请求报文，将请求结果发送给USG防火墙，用的是SMB报文
（5）USG防火墙将SMB应答报文转换为HTTPS格式;
（6）将请求结果(HTTPS格式的报文)发送到客户端。

4.3 Web代理

4.3.1 Web代理分类

Web代理，即是通过防火墙做代理访问内网的Web服务器资源（即URL资源）。Web代理有两种实现方式：Web改写（默认）和Web-Link。
（1）Web改写：是将内网web链接隐藏起来，起到加密的作用。即远程用户在点击虚拟网关资源列表中的链接时，虚拟网关会将用户要访问的真实URL进行加密。同时用户要访问的Web资源页面链接对象（例如Flash、PDF、Java Applet等）的URL也会被一并加密。
（2）Web-Link：不会进行加密和适配，只做单纯“转发”远程用户的Web资源请求。
两者的比结果如表4.1所示
表4.1 Web改写和Web-Link对比

4.3.2 Web代理流程

Web代理功能的基本实现原理是将远程用户访问Web Server的过程被分成了两个阶段。首先是远程用户与FW虚拟网关之间建立HTTPS会话，然后FW虚拟网关再与Web Server建立HTTP会话。虚拟网关在远程用户访问企业内网Web Server中起到了改写、转发Web请求的作用。Web代理封装报文流程如图4.6所示。

图4.6 SSL VPN Web代理报文封装流程
图4.6中，远程用户与虚拟网关建立HTTPS会话时，使用的源端口为6293，这个源端口是一个随机端口；目的端口是443。虚拟网关与Web Server建立HTTP会话时，源端口是10091，这个源端口也是随机端口，目的端口为80。

4.4 端口转发

4.4.1 端口转发应用场景

端口转发，即使用专门的端口转发客户端程序，在远程用户侧获取用户的访问请求，再通过虚拟网关转发到内网相应的服务器。端口转发的应用场景如图4.7所示。

图4.7 SSL VPN端口转发的应用场景

4.4.2 端口转发流程

端口转发的原理如图4.8所示。

图4.8 SSL VPN端口转发流程

4.4.3 特点

端口转发具有以下特点：
（1）实现对内网TCP应用的广泛支持
（2）远程桌面、outlook、Notes、FTP等
（3）所有数据流都经过加密认证
（4）对用户进行统一的授权、认证
（5）提供对TCP应用的访问控制
（6）只需标准浏览器，不用安装客户端

4.5 网络扩展

4.5.1 网络扩展应用场景

网络扩展用于实现对内网所有复杂应用的全网访问。如图4.9所示，远程用户访问企业内部的的语音服务器（SIP Sever）参加电话会议。

图4.9 SSL VPN网络扩展的应用场景

4.5.2 网络扩展流程

远程用户使用网络扩展功能访问内网资源时，其内部交互过程如图4.10所示。

图 4.10 SSL VPN网络扩展流程
详细过程为：
（1）远程用户通过IE浏览器登录虚拟网关；
（2）远程用户成功登录虚拟网关后启动网络扩展功能，远程用户启动网络扩展功能后会触发以下几个动作:
1）远程用户与虚拟网关之间建立一条新的SSL VPN隧道；
2）远程用户本地PC会自动生成一个虚拟网卡，虚拟网关从地址池中随机选择一个IP地址，分配给远程用户的虚拟网卡，该地址作为远程用户与企业内网之间通信之用。有了这个私网地址，远程用户就如同企业内网用户一样可以方便访问内网IP资源。
3）虚拟网关向远程用户下发到达企业内网Sever的路由信息；
（3）远程用户向企业内网Sever发送业务请求报文，该报文通过SSL VPN隧道到达虚拟网关；
（4）虚拟网关收到报文后进行解封装，并将解封装后的业务请求报文发送给内网Sever；
（5）内网Sever响应远程用户的业务请求；
（6）响应报文到达虚拟网关后进入SSL VPN隧道；
（7）远程用户收到业务响应报文后进行解封装，并将解封装后的业务请求报文发送给内网Sever。

4.5.3 两种传输模式

网络扩展建立SSL VPN隧道的方式有两种：可靠模式和快速传输模式。可靠模式下，SSL VPN采用SSL协议封装报文，并以TCP协议作为传输协议；快速模式下，SSL VPN采用QUIC（Quick UDP Internet Connections）协议封装报文，并以UDP协议作为传输协议。QUIC也是基于TLS/SSL协议实现的数据加密协议，他的作用和SSL一致，只是经它封装的报文要基于UDP协议传输。可靠模式和快速模式下报文封装过程如图4.11所示。

（a）可靠模式

（b）快速模式
图4.11 两种模式下报文封装过程

4.6 四种业务对比

Web代理只支持基于HTTP协议的应用；文件共享只支持SMB、NFS协议的应用；端口转发只支持基于TCP协议的应用，但是不支持基于UDP协议的应用（例如用户的电话会议系统使用的SIP协议即基于UDP）。而网络扩展则一步到位直接支持到了IP层。其中，四种业务支持的网络层次如图4.12所示。

图4.12 SSL VPN四种业务支持的网络层次

SSL VPN四大功能的业务规划如图表4.2所示。
表4.2 SSL VPN业务规划

四、SSL 虚拟私有网络相关推荐

1. HCIE-Security Day43：SSL 虚拟私有网络技术

   概念 SSL 虚拟私有网络是通过SSL协议实现远程安全接入的虚拟私有网络技术. 安全套接层俗称secure socket layer(SSL)是网景公司1990年开发,用于保障www通讯的安全.主要任 ...

2. 基于 softether 搭建虚拟私有网络

   文章目录 虚拟私有网络简介 部署配置服务器端 使用管理软件管理vpn服务器 安装客户端并进行连接测试 虚拟私有网络简介 详细介绍参见 虚拟私有网络学习笔记 虚拟私有网络分类 按协议分类: 虚拟私有网络 ...

3. 六、SSL开源项目-Open虚拟私有网络

   6 SSL开源项目-OpenVPN 6.1 简介 VPN技术通过密钥交换.封装.认证.加密手段在公共网络上建立起私密的隧道,保障传输数据的完整性.私密性和有效性.OpenVPN是近年来新出现的开放源码 ...

4. wireguard实现虚拟私有网络搭建

   1.准备条件 一台阿里云ECS服务器有公网IP,centos7系统 一台实验室内网服务器,可以ping通外网,centos7系统 自己的pc可以正常上网,Windows11系统 实现在自己PC上通过隧 ...

5. 虚拟私有云网络VPC

   虚拟私有云网络VPC 1 VPC基础 2 AWS默认VPC 3 用户创建的VPC 4 NAT实例 5 NAT网关 6 NACL网络访问控制列表 7 在VPC中使用DNS域名解析 8 对等互联peeri ...

6. 网络安全技术虚拟私有网（IPSec Sangfor）详解及解决方案

   定义(Vitual Private Network,虚拟私有网):是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的安全数据通信网络,只不过这个专线网络是逻辑上的而不是物理的,所以称为虚拟专 ...

7. 华为防火墙SSL虚拟专网配置客户端所有访问流量路由全部走公司网络

   一.SSL配置请参考华为案例: 组网需求 企业网络如图1所示,企业希望公司外的移动办公用户能够通过SSL**隧道访问公司内网的各种资源. 图1 移动办公用户使用SecoClient通过SSL **隧道 ...

8. openstack第四章：neutron— 网络服务

   第四篇neutron- 网络服务 一.neutron 介绍:   Neutron 概述 传统的网络管理方式很大程度上依赖于管理员手工配置和维护各种网络硬件设备:而云环境下的网络已经变得非常复杂,特别是 ...

9. 如何通过虚拟私有云保障服务安全【华为云分享】

   在第十六课的时候,我们一起学习了如何规划网络,部署云上业务.当您在云上部署了自己的服务后,接下来就要考虑如何保障服务的安全性了. 比如说,绑定了EIP的ECS仅允许访问公网,但不允许被公网用户访问. ...

最新文章

1. eclipse 3.55安装j2ee开发工具
2. 如何统计各个班级的相关数据（如班级排名、最高分等）呢？
3. countDownLatch 与 CyclicBarrier 区别
4. 代码质量随想录（五）注得多不如注得巧
5. mysql 安装完成后需要做的配置
6. ToolStrip和ToolStripButton的用法
7. scala java maven项目_IntelliJ IDEA下Maven创建Scala项目的方法步骤
8. 配置dns的三种方式
9. 隔空互撕！李想炮轰团车造车是“骗子”，团车CEO回怼：别把自己当先知
10. 韩国两名男子因偷拍汽车旅馆视频被捕 1600名房客受害
11. c语言银行系统个人心得,c,,银行管理实验报告心得体会.docx
12. Solr查询参数sort（排序）
13. iOS - OC NSFileManager 文件管理
14. ai画面怎么调大小_AI人脸抓拍摄像机安装指导，这样安装抓拍更准
15. 【欢迎白嫖】新·vbs表白代码
16. 汇编语言 查看存储器中的数据
17. 从餐具的生产说到抽象工厂
18. 编辑中的word变成只读_word只读模式怎么取消,word只读模式怎么改
19. css3 transtion 从右向左过渡 从下到上过渡
20. word中logo如何与文字对齐

热门文章

1. 99.9％的努力毁于0.1％的失误
2. 装修房子流程步骤详解图
3. 冲破服务机器人赛道“不可能三角”，科沃斯展现行业第一的统治力
4. 美国陆军正在考虑建立人工智能任务组
5. SPARK SHUFFLE中 ShuffleId BlockManagerId 以及 与ESS（External Shuffle Server）交互
6. 翻译 | Qt for Python的技术愿景前瞻
7. 爬虫系列：读取 CSV、PDF、Word 文档
8. android 魅族日历,GitHub - yhyonghao/CalendarView: CalenderView_Meizu 魅族风格日历
9. what‘s a work you can not do
10. java 手绘_用普通照片生成手绘素描