SSLVPN:是安全套接层协议,为基于TCP的应用层协议提供安全连接,端口443。保护传输数据和识别通信机器
握手协议:用于实际传输数据之前,通信双方进行身份认证、协议加密算法、交换加密秘钥等。
记录协议:建立在可靠的传输协议(TCP/443)之上,负责把上层的数据分块进行压缩,并在尾部加HMAC(HASH校验值),最后使用握手协议协商好的密钥对数据进行加密
Client Hello:客户端向服务器发送:
1.支持的协议版本,如TLS1.0
2.客户端生成的随机数(稍后用于生成“会话秘钥”)
3.会话ID,服务端检测到传来的session ID是空或检查Session列表没有发现传来的session ID就会建立一个可以防重放攻击
4.支持的加密套件(包括数据加密算法等,按照客户端优先原则排序)
5.支持的压缩方法(0为空)
Server Hello:服务器向客户端发送: 1.确认使用的协议版本
2.一个服务器生成的随机数
3.会话ID
4.确认加密套件
5.服务器从客户建议的压缩方式中挑选一个压缩算法
6.服务器证书,装有服务器公钥
客户端:验证服务器证书,如果证书不可信,警告提示访问者。
如证书无误,客户端就会从证书中取出服务器的公钥,然后向服务器发送:
- 一个随机数pre-maskter-key,用于服务器公钥加密,稍后用于“会话密钥”
- 密码改变通知,表示随后的信息都将用双方协定的加密方法和密钥方法
- 客户端握手结束通知
服务器最后回应:服务器收到随机数pre-master-key后,计算本次会话所用的“会话密钥”,随后发送
- 密码改变通知
- 服务器握手结束通知
全路由模式 | 客户端和防火墙建立连接,只能访问对端局域网 |
分离模式 | 只能访问本地局域网和对端局域网 |
手动模式 | Internet、本地局域网和总部内网,配什么就能访问什么 |
Web代理实现方法:
- Web改写:第一层含义是加密(远程用户在点击虚拟网关资源列表连接时,虚拟网关将用户要访问的真实URL进行加密)。从而隐藏内部WEB资源真实URL。
- Web Link:不会进行加密和适配。
Web Link少了加密和适配缓解,效率更高,但是安全性稍低。
Web Link只适合在用户使用Windows操作系统+IE浏览器的终端上使用
文件共享:
端口转发:需要在客户端上运行一个ActiveX空间作为端口转发器,用于侦听指定端口上的连接
网络扩展:
- 远程用户通过WEB浏览器登录虚拟网关
- 成功登陆后启动网络扩展功能。触发以下几个动作
- 远程用户与虚拟网关之间建立一条SSL VPN隧道
- 远程用户本地PC会自动生成一个虚拟网卡。从地址池中随机选择一个IP地址,用于与内网通信
- 虚拟网关向用户下发到达企业内网Server的路由信息。
- 远程用户向企业内网Serer发送业务请求报文,改报文通过SSLVPN隧道到达虚拟网关
- 虚拟网关收到报文后进行解封装,随后发送给内网Server。服务器进行响应,并进入SSLVPN隧道
- 可靠性传输模式(传输协议采用TCP)
- 快速 传输模式(传输协议采用UDP)
自签名证书 | 又称为根证书,是自己颁发给自己的 |
CA证书 | CA自身的证书,如果PKI体系中没有多层CA,CA证书就是自签名证书 |
本地证书 | CA颁发给申请者的证书 |
设备本地证书 | CA证书给自己颁发的证书 |
PKCS#12 | 以二进制保存证书,可以包含私钥,也可以不包含。常用后缀.P12 & .PFX |
DER | 以二进制保存证书,不包含私钥。常用后缀.DER & .CER & .CRT |
PEM | 以ASCII码格式保存,可包含私钥,可不包含。.PEM & .CER & .CRT |
SSL补充
数字证书 | DV SSL | OV SSL | EV SSL |
面向群体 | 个人 | 组织企业 | 大型企业、金融机构 |
工信等级 | 一般 | 高 | 极高 |
认证强度 | 网站真实性 | 组织及企业真实性 | 严格认证 |
安全性 | 一般 | 中 | 高 |
很好很棒,我看不懂