SSL VPN

内容

SSL工作过程

• 客户端浏览器发送“hello”信息，表示要和网站建立安全SSL连接
• 网站服务器响应客户端请求，发给客户端两样东西：网站服务器自己的证书（内含网站的公钥）、一个随机值
• 客户端浏览器验证网站服务器证书是否可信
• 客户端利用网站服务器发的随机值生成会话密钥
• 客户端浏览器和网站服务器开始协商加密算法和密钥长度
• 协商成功后，客户端浏览器利用网站的公钥将生成的会话密钥加密，然后传送给网站服务器
• 网站服务器收到客户端发送的利用网站服务器自己公钥加密的会话密钥，然后用自己的私钥解密出会话密钥，由此得到了安全的会话密钥
• 网站服务器再随机生成一个信息，用解密后的会话密钥加密该随机信息后后发送给客户端浏览器（目的是让客户端认证服务器）
• 浏览器收到随机信息后，用会话密钥能解密出信息（自然就认证了服务器），接着浏览器用自己的私钥对此信息做数字签名，连带客户端自己的证书（内含公钥），一起发送给网站服务器（目的是让服务器认证客户端）

SSL预主秘钥有什么作用

• 密钥协商：预主密钥用于安全地协商主密钥（Master Secret）。在SSL握手过程中，客户端和服务器使用预主密钥生成主密钥，该主密钥用于后续的加密和解密通信数据。
• 密钥保护：预主密钥的生成过程中，使用服务器的公钥加密。这意味着只有服务器才能解密预主密钥，从而保护了密钥的安全性。通过预主密钥的加密和解密，可以防止窃听者获取或篡改密钥。
• 前向保密：预主密钥的保护措施确保了非对称密钥交换的前向保密性。这意味着即使将来服务器的私钥被泄露，以前的通信数据仍然是安全的，因为窃听者无法从这些数据中推导出预主密钥。

SSL VPN主要用于那些场景

• 虚拟网关
• WBE代理
• 文件共享
• 端口转发
• 网络扩展

SSL VPN实现方式

• 在SSL层对应用层数据进行加密
  代理技术，应用程序转译技术，端口转发技术
• 在IP层转发然后加密
  该方式需要安转指定客户端软件。这种技术在于虚拟网卡技术，在SSL通道加密模拟的数据包，网关接收到这个数据包的·时候在转发给内网。
• 对物理层网络数据包加密
  客户端要安装指定的软件在这种方式中VPN相当于一种代理，他对客户端来说相当于局域网的网桥。

SSLvpn对客户端安全要求

终端安全是在请求内网主机上部署一个软件，通过该软件检查终端的安全性包括：主机检查，缓存清除

主机检查

• 杀毒软件检查
• 防火墙设置检查
• 注册表检查
• 端口检查
• 进程检查
• 操作系统检查

缓存清除

• internet临时文件
• 浏览器自动保存密码
• cookie记录
• 浏览器访问历史记录
• 收回站和最近打开的文件
• 指定文件或者文件夹

认证授权

• vpndb认证授权
• 第三方服务认证授权
• 数字证书的认证
• 短信辅助认证

SSLVPN实现需要防火墙放行那些流量

web代理

内网web资源只有私网地址，在不做NAT的情况下，可以通过SSL VPN实现对其的代理安全访问。
内网web资源只有私网地址，在做NAT的情况下，公网用户可以实现对其访问，但是web资源没有使用安全传输协议，SSL VPN可以实现对其https安全访问。

文件共享

支持协议：
SMB windows
NFS linux

端口转发

提供丰富的静态端口的TCP应用
单端口单服务：telent、SSH、MS RDP VNC
单端口多服务：notes
多端口多服务：outlook
动态端口TCP应用
动态端口：FTP