数据传输安全--SSL VPN

IPSEC在Client to LAN场景下比较吃力的表现

SSL VPV

SSL VPN优势

SSL协议

SSL所在层次

SSL工作原理

SSL握手协议、SSL密码变化协议、SSL警告协议三个协议作用

工作过程

1、进行TCP三次握手、建立网络连接会话

2、客户端先发送Client HELLO包，下图是包的内容

例子

3、SSL服务器回复消息

例子

4、客户端的回应

例子

5、服务器最后的回应

例子

三种场景

无客户端认证的握手过程

有客户端认证

会话复用场景

SSL协议数据传输流程

SSL协议缺点

SSL VPN

SSL VPN的总体流程

用户认证

资源发布

web代理

文件共享

端口转发

流程

网络拓展

可靠模式

快熟传输模式

配置

用户认证

选项说明

类型

独占型

共享型

资源发布

创建web代理

选项解释

Web改写和Web-Link区别

门互连接

创建文件共享资源

选项解释

创建端口转发

选项解释

客户端自动启用

保持连接

要发布那个端口就发布那个端口

网络拓展创建

选项解释

隧道保活间隔

可分配IP地址池范围

可访问网段

角色授权中关联资源

终端安全

页面定制

SSL现在叫TLS协议

IPSEC在Client to LAN场景下比较吃力的表现

1、在用户认证方面比较薄弱，IKE V1不支持用户接入认证，V2的EAP认证没有大范围铺设开

2、因为双方要去协商参数，所以客户端需要额外安装支持IPSec的应用或者程序，对于客户不是一个很好的体验

3、因为IPSec可以基于感兴趣流进行选择性保护，所以策略需要进行调整不太方便

4、因为IPSec是基于网络层的，可以基于网络和传输层基于权限管理，但是我们需要一款针对应用层面需要一个更细颗粒度的，IPSec很难在应用层做一个很精细的控制

SSL VPV

基于上面的IPSec在Client to LAN场景下的缺点可以使用SSL VPN技术，下面看一下SSL VPN和IPSec VPN的优势

SSL VPN优势

1、SSL VPN是基于应用层封装在传输层和应用层之间，他不影响网络层的东西，所以组网灵活

2、SSL VPN采用的是一种基于B/S架构的模式，所以，只要客户拥有浏览器就可以访问，方便快捷

3、最主要的是，和IPSEC VPN针对网络层的控制相比，SSL VPN可以基于应用层做更细颗粒度的控制

SSL协议

SSL协议可以和很多协议结合例如SSL+HTTP=HTTPS、SSL+Telnet=SSH、SSL+FTP=FTPS

（注：SSL协议只能保证基于TCP协议的应用层安全，不可以保证基于UDP协议的应用层安全，但是SSL VPN可以保证基于UDP协议的应用层安全）

SSL所在层次

在应用层和传输层之间

SSL工作原理

SSL分了两层协议

SSL记录协议用于封装高层协议的数据，对应用层数据加密之后，放置在记录中

SSL握手协议、SSL密码变化协议、SSL警告协议是进行数据协商的时候用的，在进行数据传输的时候就看不见了

SSL握手协议、SSL密码变化协议、SSL警告协议三个协议作用

1、通过SSL握手协议，允许服务器和客户端相互认证，并在应用层协议传输数据之前协商出加密算法哈希算法加密密钥和会话密钥，构建SSL会话

2、SSL密码变化协议这个协议只包含一条消息就是changecipherspec，告诉对方我要使用新协商的算法和密钥进行加密传输，客户端和服务端都可以发送

3、SSL告警协议，出现故障啥的，告诉对方，告警机制

工作过程

在进行完成三次握手后的步骤

1、进行TCP三次握手、建立网络连接会话

2、客户端先发送Client HELLO包，下图是包的内容

客户端的随机数：客户端携带的随机数是成成会话密钥的一个参数，这个会话密钥需要通过三个参数共同计算，这是其中之一

加密套件：将加密算法和哈希算法等等一些算法搭配一下，类比餐馆里面的套餐

支持的压缩算法：可有可无看你是否需要

TLS的版本不同是客户端现在使用的TLS，和自己支持的TLS

例子

3、SSL服务器回复消息

例子

一般情况下，server hello和服务器的证书是分开发送的，当然也可以在一个数据包中发

送

分开发送

合在一起发送

Server key exchange --- 用于提示密钥变更

Server hello done --- 一条空信息，用于通知客户端服务器已经做好协商最终密钥的准备

服务器证书是由CA机构颁布的，是通过CA机构的私钥，将服务器的公钥以及一些证书相关的

信息进行加密之后的产物。客户端本身具有信任CA的公钥，则可以使用CA机构的公钥对服务

器证书进行解密，之后得到服务器的公钥。

注意：服务器的身份认证是强制要求的，必须提供证书，证书如果不合法，则会提供一个选择

给客户，可以选择继续访问。但是，客户端的认证是可选的，如果需要认证，则服务器会发送

请求证书的报文，之后，需要客户端提供自己的证书。

4、客户端的回应

Pre-master-key --- 预主密钥 --- 本质也是一个随机数，用于计算最终的会话密钥，但是，这个

参数可以被服务器的公钥进行加密传输；（电脑生成的随机数是伪随机数，所以，使用三个伪

随机数计算最终的密钥，会更加安全一些。）

例子

5、服务器最后的回应

例子

session ticket会话票据，这个东西用于会话复用这个里面记录了整个身份认证的信息，这个在以后客户端还想找的话，可以省略身份认证，但是密钥还需要重新协商。这个东西在第一个client hello包中是有这个字段的，如下图，但是下图中由于是第一次建立SSL通道所以没有携带这个字段的值，如果携带了就可以不用身份认证了。

三种场景

无客户端认证的握手过程

有客户端认证

会话复用场景

SSL协议数据传输流程

开始收发数据SSL如何做，如下图

SSL分片是为了加密，分组加密要分组。不要理解为TCP或IP的分片

先压缩再加密，这样更节省资源，如果定义了压缩算法就压缩，没定义就不压缩

增加HMAC。是增加密钥的HMAC算法，是要做完整性校验的，进行完整性校验生成的hash会放在后面的黑色部分

加密，加密是将数据和完整性校验的值一起加密

增加SSL头部

之后的工作就与SSL没关系了

SSL协议缺点

1，无法保护UDP应用

2，客户端假冒，在认证的时候只强制认证服务器的认证，但是不限制客户端认证

3，SSL协议不能对抗流量分析，比如所IP地址没有被遮掩，攻击者可以通过对于IP地址的分析，达到对你目的的分析

SSL VPN

SSL VPN又被称为虚拟网管技术

可以理解为是用户的一个接入的接口，用户可以通过在浏览去中输入虚拟网关的IP地址（或者域名）访问到虚拟网关，这个过程需要进行用户认证，这个认证和建立SSL连接的认证不同，这个认证是用来划分用户的权限。用户认证通过后，虚拟网关会向远程用户提供可也访问的内网资源列表，远程用户通过点击或者触发便可访问到内网的资源。

一台防火墙可以创建多个虚拟网关，每个虚拟网关相互独立，互不影响，不同的虚拟网关可以配置各自的用户和资源进行单独管理。

SSL VPN的总体流程

角色授权用来关联用户认证和资源访问，类似于防火墙管理员角色

用户认证

本地认证：本地认证就是用户名和密码信息在防火墙本地存储，登陆时在防火墙本地进行比对验证，由防火墙进行判断

服务器认证：用户名和密码信息存储在服务器上，防火墙需要将登录信息发送给服务器，由服务器进行判断，之后将结果返回给防火墙，做出对应的动作

证书认证：需要客户端提交证书，防火墙通过验证客户端的证书来认证用户

证书匿名：

证书匿名认证流程

首先CA证书给用户颁发一个客户端证书，再给服务器颁发一个客户端CA证书（这个相当于一个CA公钥，证明CA身份的一个证书），用户把客户端证书发送给防火墙，然后服务器使用客户端CA证书的公钥解密客户端证书，获取客户端的信息和公钥，进行身份校验和身份认证。挑战密码认证在进行证书认证的情况下还要进行密码认证

证书匿名认证的要求

1，客户端证书和防火墙上导入的客户端CA证书由同一个CA机构颁发

2，客户端证书必须在有效期内

3，客户端证书中用户过滤字段必须是防火墙上配置已有的用户。例如，用户过滤字段的结果CN=user00019，这个的意思是防火墙必须创建一个用户用户叫user00019，和客户端产生对应关系，用来确认客户权限

资源发布

web代理

防火墙在自身发布资源的时候不是原本的URL，而是改写后的（如上图第二步的URL），然后用户点击连接，用户就先和虚拟网关通信，然后虚拟网关收到后会解析收到的URL将头部去掉，在内网中寻早对应资源服务器，对应资源服务器收到请求后将资源页面返回给虚拟网关，虚拟网关将资源返回给用户

文件共享

SMB：windows下的一款文件共享协议

NFS：Linux下的一款文件共享协议

上图文件共享的过程中防火墙还是一个代理的身份，不过多做了一个翻译的工作，将SMB内容转化为HTTP的内容将HTTP的请求内容转换为SMB的请求

端口转发

可以针对所有TCP协议的资源进行发布，非web资源，web资源通过web代理可以发布

如果说开放一些服务类的资源，比如说时telnet这种资源，很难整，这时候引入一种控件

A ctiv X 控件---端口转发客户端

流程

首先本地登陆SSL VPN，下载ActivX控件，下载资源信息（这个可以手动下发，也可以自动下发），然后这个ActivX会监听只要监听到了客户端发起telnet连接，客护端就会创建一个TCP环回连接（这样做的原因是，如果说没有创建这个连接，Telnet每做一个指令，这个流量就会推到虚拟网关，然后再推到服务器上，每次推送都要创建一个新的连接这样很耗费资源，所以先创建一个和自己的TCP连接，将请求攒一会，攒了一会以后一块往虚拟网关推送），然后客户端构建私有报文头（构建私有报文头就是将这个东西以HTTPS信息发送，相当于一个将Telnet命令转化为HTTPS的格式的过程）建立SSL连接，将信息发送给虚拟网关，虚拟网关和对应资源服务器建立TCP连接，然后服务器做响应，然后虚拟网关再将资源发送给客户端。

网络拓展

可以针对UDP资源进行传输

过程

下图是一个语言服务的例子，语音服务使用的是UDP

注:这个东西需要在用户客户端上安装一张虚拟网卡，会下发一个私网的IP地址和路由

首先登陆到虚拟网关，就是建立SSL连接过程，然后就可以进行安全加密传输，虚拟网关会先下发IP地址（私网地址）和路由，只要访问私网的任何一个资源，就可以让客户端走这个虚拟网卡，让客户端走SSL VPN，然后就是业务请求过程了。那么如何通过私网的IP地址，引导虚拟网卡后通过公网传递给内网，如下图通过不同的封装方式来解决问题。