数据传输安全(三)

SSL VPN概述

SSL VPN是一种远程安全接入技术,因为采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议,是的SSL VPN可以做到“无客户端”部署,从而使得远程安全接入的使用非常简单,而且整个系统更加易于维护。

SSL VPN一般采用插件系统来支持各种TCP和UDP的非Web应用,使得SSL VPN真正称得上是一种VPN,并相对IPSec VPN更符合应用安全的需求,成为远程安全接入主要手段和选择。
SSL协议介绍

SSL协议主要通过三个协议实现:

     SSL握手协议:SSL握手协议被封装在记录协议中,该协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建立SSL连接时,服务器与客户机交换一系列消息。
    SSL修改密文协议:保障SSL传输过程的安全性,客户端和服务器双方应该每隔一段时间改变加密规范。
     SSL报警协议:SSL报警协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。

 SSL握手协议

 SSL连接的建议,主要依靠SSL握手协议,简短的一句话就可以概括SSL握手协议的基本设计思路:采用公钥加密算法进行密文传输。也就是说,服务端将其公钥告诉客户端,然后客户端采用服务器的公钥加密信息,服务端收到密文后,用自己的私钥解密。
公钥加密算法又称非对称加密算法,其工作原理如下:

    客户端A要向服务器B发送消息,B要产生一对用户加密和解密的公钥和私钥。
    B的私钥自己保存,B的公钥告诉A。
    A要给B发送信息时,用B的公钥加密信息,因为A知道B的公钥。
    B收到这个信息后,用自己的私钥解密。其他所有收到这个报文的人都无法解密,因为只有B有自己的私钥
    B要给A发送消息时,也同理用A的公钥加密,A用自己的私钥解密。

    引入数字证书。将服务器的公钥放入服务器的证书中,服务器的证书通过CA认证,主要证书可信,那么公钥就可信。
    引入一个新的“会话密钥”。客户端与服务器采用公钥加密算法协商出“会话密钥”,而后续的数据报文都使用此“会话密钥”进行加解密(即对称密钥)。对称加密运算速度快,大大提升了加解密的运算效率。

SSL VPN技术优势

    身份安全:

    支持多达8种认证方式,支持认证方式的灵活组合
    多重密码安全保障

    终端安全:

    防中间人攻击
    客户端安全检查
    SSL专线
    客户端零痕迹

    传输安全:

    标准加密算法

    应用权限安全:

    角色授权、URL级别授权
    主从账号绑定
    服务器地址伪装、应用隐藏

    审计安全:

    独立日志中心
    日志中心管理员权限分级

SSL VPN基本配置
SSL VPN授权

SSL VPN用户数:SSL VPN并发接入用户数授权
IPSec移动用户数:SANGFOR VPN移动端PDLAN并发用户数授权
线路数:外网WAN口线路数授权
分支机构数:与第三方设备对接标准IPSEC VPN隧道数

 SSL VPN基础配置

    创建用户(根据实际应用场景,选择用户的认证方式,也可多重认证方式组合认证)
    发布资源(根据需求发布成所需类型,资源类型有WEB类型、TCP类型、L3VPN类型三种类型)
    创建角色(角色的作用是将用户跟资源关联起来,其效果是让用户具有访问哪些资源的权限)
    用户张三接入VPN后具备访问ERP系统的权限,除了访问此资源,其他资源都没有权限访问。

SSL VPN组网方案
网关模式组网

用户网需要将SSL VPN作为网络出口设备,满足内网电脑的正常上网,同时实现外部用户通过SSL VPN安全的数据访问。
配置思路

    网关模式配置:配置设备的内外网口地址信息,支持配置IPv6地址,外网口如果是拨号场景需要先配置拨号。
    上网配置:代理上网(NAT),确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。

单臂模式组网

用户网络已经部署好,出口单条公网线路,现在需要在不改动现有网络拓扑的情况下部署SSL VPN,实现外网接入后访问服务器资源
配置思路

    单臂模式配置:给设备LAN口分配一个IP地址,填写正确的网关IP、DNS,支持配置IPv6地址;
    前置网关做TCP 443和80端口映射(如果用到IPSEC VPN 还需要映射TCP / UDP 4009端口)
————————————————
版权声明:本文为CSDN博主「Piwrim丶」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/m0_60941423/article/details/122306179

上一篇:Ubuntu 21.04 配置自启动脚本


下一篇:Hosts简单介绍