HCIE-Security Day43:SSL 虚拟私有网络技术

已于 2022-08-21 10:34:19 修改
阅读量1k 收藏 6
点赞数
分类专栏: HCIE-Security 文章标签: 华为 安全 网络安全 认证 HCIE
于 2022-08-20 22:25:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/126445261
版权

概念

SSL 虚拟私有网络是通过SSL协议实现远程安全接入的虚拟私有网络技术。

安全套接层俗称secure socket layer(SSL)是网景公司1990年开发,用于保障www通讯的安全。主要任务是提供私密性、信息完整性和身份认证。1994年改版为sslv2,1995年改版为sslv3

TLS全称是transport layer security,传输层安全协议。1999年由IETF发布,整体来说TLS非常类似于SSLV3,只是对SSLV3做了些增加和修改。

SSL是一个不依赖于平台和应用程序的协议,用于保障TCP-based应用安全,SSL在TCP层和应用层之间,可以理解为其是应用层连接到TCP连接的一个插口。

目的和场景

企业出差员工,需要在外地远程办公,并期望能够通过internet随时随地的远程访问企业内部资源。同时企业为了保证内网资源的安全性,希望能对移动办公用户进行多种形式的身份认证,并对移动办公用户可访问内网资源的权限做精细化控制。

能实现与ipsec、l2tp相同的功能:通过internet远程访问企业内网资源

优点

与ipsec、l2tp相比的优点:

1、企业通过多种方式实现对接入用户的身份认证

2、企业基于接入用户的身份精细化控制可访问资源

3、免安装客户端软件

4、组网灵活

5、部署和维护简单

业务

SSL 虚拟私有网络为了更精细的控制移动办公用户的资源访问权限,将内网资源划分为了Web资源、文件资源、端口资源和IP资源这4种类型。每一类资源有与之对应的访问方式,例如移动办公用户想访问企业内部的Web服务器,就需要使用SSL 虚拟私有网络提供的Web代理业务;想访问内网文件服务器,就需要使用文件共享业务。

web代理

访问内网web资源(属于IP资源)时使用web代理业务

文件共享

直接通过浏览器访问内网文件服务器(属于IP资源),如基于smb协议的windows共享文件夹、基于nfs协议的linux共享目录等。可以在浏览器上创建和浏览目录,进行下载、上传、改名、删除等文件操作。

端口转发

适用于基于TCP端口的应用服务(属于IP资源),包括telnet、远程桌面、FTP、Email等。提供了一种端口级的安全访问内网资源的方式。

网络拓展

通常在不区分用户访问的资源类型时为对应用户开通此业务。

原理

虚拟网关

虚拟网关是公网用户通过SSL 虚拟私有网络访问企业内网资源的统一入口。(通常是防火墙的公网出口)

虚拟网关可以创建多个,相互独立,基于不同的虚拟网关可以配置各自的用户和资源。

虚拟网关的配置由fw的系统管理员完成。

资源访问过程

用户登录

在浏览器中输入SSL 虚拟私有网络虚拟网关的IP地址或域名,请求建立SSL连接。虚拟网关向远程用户发送自己的证书,远程用户对虚拟网关的证书进行身份认证。认证通过后,远程用户与虚拟网关成功建立SSL连接,进入SSL 虚拟私有网络虚拟网关时的登录页面。

用户认证

在登录页面输入用户名和口令,虚拟网关对该用户进行身份认证。方式包括:本地认证、服务器认证、证书匿名认证、证书挑战认证等。

本地认证

远程接入用户的用户名、密码等身份信息保存在fw本地,由fw自身完成用户身份认证。

  1. 移动办公用户在SSL 虚拟私有网络虚拟网关登录界面输入用户名和密码,这些身份信息被送往虚拟网关。
  2. 虚拟网关将移动办公用户的身份信息发送至认证域进行认证。

如果该虚拟网关中指定了认证域,则用户信息被发送到指定的认证域进行验证。如果虚拟网关没有指定认证域,则虚拟网关会根据用户名中携带的“@”后的字符串(该字符串代表认证域的名称)来决定送往哪个认证域进行认证。用户名中不携带“@”时,默认由default认证域进行认证。

认证域中存放有用户身份信息及其用户所属的组信息。用户身份信息包括该用户的用户名、密码、描述等。另外,身份认证方式也是在认证域下指定的。认证域依据指定的认证方式决定采用本地认证还是服务器认证,此处以本地认证方式为例。

  1. 认证域向虚拟网关返回认证结果。

如果身份认证通过,则继续下一步。如果身份认证不通过,则用户会在虚拟网关登录页面看到“认证失败”的提示。

  1. 虚拟网关向移动办公用户推送资源页面。

虚拟网关会从角色授权列表中查找该用户所属的角色信息,并将该角色对应的资源链接推送给用户。

服务器认证

远程接入用户的用户名、密码等身份信息保存在认证服务器上,由认证服务器完成用户身份认证。认证服务器类型包括:RADIUS服务器、HWTACACS服务器、AD服务器和LDAP服务器。

  1. 移动办公用户在SSL 虚拟私有网络虚拟网关登录界面输入用户名和密码,这些身份信息被送往虚拟网关。
  2. 虚拟网关将移动办公用户的身份信息发送至认证域进行认证。

如果该虚拟网关中指定了认证域,则用户信息被发送到指定的认证域进行验证。如果虚拟网关没有指定认证域,则虚拟网关会根据用户名中携带的“@”后的字符串(该字符串代表认证域的名称)来决定的送往哪个认证域进行认证。用户名中不携带“@”时,默认由default认证域进行认证。

  1. 认证域指定为服务器认证时,认证域将用户身份信息转发给认证服务器。
  2. 认证服务器向认证域返回认证结果。

如果身份认证通过,则继续下一步。如果身份认证不通过,则用户会在虚拟网关登录页面看到“认证失败”的提示。

  1. 认证域将认证结果转发给虚拟网关。
  2. 虚拟网关向移动办公用户推送资源页面。

虚拟网关会从角色授权列表中查找该用户所属的角色信息,并将该角色对应的资源链接推送给用户。虚拟网关会在本地查找用户所属的角色信息,因此需要提前将用户信息从认证服务器导入到认证域中。此处用户信息的作用不是认证,而是授权。

证书认证

远程接入用户以数字证书作为登录虚拟网关的身份凭证。虚拟网关针对证书提供了两种认证方式,一种是证书匿名,一种是证书挑战。

证书匿名认证

证书匿名方式下,虚拟网关只是检查用户所持证书的有效性,比如证书的有效期是否逾期,证书是否由合法CA颁发等),不检查用户的登录密码等身份信息。

对于使用证书认证的双方(远程接入用户和防火墙),首先需要FW管理员从CA中心获取所需的证书。管理员需要从CA中心获取CA证书和客户端证书,CA中心审核通过后,会把CA证书和客户端证书发放给管理员,FW管理员将获取到的CA证书导入到FW,该CA证书用来验证移动办公用户客户端证书的有效性。管理员将客户端证书发放给移动办公用户,由移动办公用户将客户端证书导入个人设备,该客户端证书作为移动办公用户的身份凭证。

  1. 分别将客户端证书和CA证书导入到移动办公用户的主机和FW上。
  2. 移动办公用户在SSL 虚拟私有网络虚拟网关登录界面选择导入的客户端证书,该证书被送往虚拟网关。
  3. 虚拟网关将用户的客户端证书发送给证书模
最低0.47元/天 解锁文章
信封同学
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SSL虚拟证书
zt_96123的博客
06-01 417
[root@localhost ~]# cd /opt/data/nginx/conf/conf.d/ [root@localhost conf.d]# [root@localhost conf.d]# openssl genrsa -des3 -out server.key 1024 Generating RSA private key, 1024 bit long modulus ........
HCIE-Security V1.5.rar
07-17
内涵HCIE-Security华为认证网络安全精英培训教材V1.5,HCIE-Security华为认证网络安全精英培训实验手册,资料难得,望珍惜!
HCIE-Security 网络安全专家 V3.0 培训教材及实验手册
最新发布
04-09
HCIE-Security V3.0 考试大纲.pdf HCIE-Security V3.0 实验手册.pdf HCIE-Security V3.0 培训教材.pdf
SSL虚拟专用网络
weixin_43622525的博客
01-04 2209
简介
虚拟服务器 ssl,虚拟主机如何装ssl
weixin_29655587的博客
08-05 630
虚拟主机安装SSL证书,我们以1、申请一个SSL证书,推荐用TrustAsia,只需要1元的象征性收费,有些2、在用户中心找到:安全及监测 管理板块,找到其中的SSL证书服务,将证书上传到托管证书内。注意要nginx的证书,证书文件可以直接用记事本打开,要复制粘贴正确的内容。有些地方申请的证书是.pem格式,用记事本直接打开复制内容到证书栏。3、在虚拟主机管理面板,找到HTTPS部署,点击部署即可...
四、SSL 虚拟私有网络
小脑斧的博客
08-12 1610
SSL VPN技术,指远程接入用户利用Web浏览器内嵌的SSL封包处理功能,连接企业内部的SSL VPN服务器,然后SSL VPN服务器可以将报文转向给特定的内部服务器,从而使得远程接入用户在通过验证后,即可访问企业内网特定的额服务器资源。.........
SSL虚拟专用网络通信分析
taco_的博客
10-18 557
SSL VPN登录成功后,移动端会生成一个虚拟网卡,网卡的地址由SSL VPN分配,本例子中分类的虚拟地址为2.0.1.2。值得注意的是,VPN设备剥离外层IP后,源IP为虚拟网卡的地址,这次资源侧需要有到虚拟网卡地址的路由,实际场景中,没有路由情况居多,一般选择在VPN设备内网接口侧做出接口源NAT,将虚拟网卡的地址转化为VPN设备的接口地址去请求资源。在防火墙上做目的NAT,将SSL VPN的通信端口通过1.1.1.1映射到公网,一般有UDP 1701以及认证端口(各个厂商不一样)。
HCIE-Security V2.0培训PPT.rar
06-21
10 模块二 第六章 网络入侵与防御技术 11 模块二 第七章 DDoS攻击与防御 12 模块二 第八章 主机安全与加固 13 模块二 第九章 数据安全 14 模块三 第一章 典型安全组网设计 15 模块三 第二章 防火墙技术综合应用...
HCIE-Security V2.0 培训教材.rar
04-18
HCIE-Security 认证华为针对网络安全技术设置的最高级别认证,旨在验证工程师在设计、部署、维护及优化企业级安全网络解决方案方面的专业知识和技能。V2.0 版本更新了最新的网络安全技术和趋势,确保学员能够应对...
HCIE-Security大神学习笔记
09-13
HCIE-Security大神学习笔记,非常详细
虚拟网关与正规网关的区别
GoodShot的专栏
08-02 4186
1、虚拟网关(又叫卡发)发送后短信号码显示有以下几种:手机号如+8613100898232,模拟网关号码(10657+手机号)如1065713026589214,小灵通卡号如05926564235 2、正规网关显示的号码根据选择的运营商不同而不同,电信运营商为所在地的电信区号+网关生成号如021+82153563,移动运营商由于目前正式的商用通道还未开放,采用电信网关跨网发送,号码显示同电信网关
nginx高可用实践简记
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
03-22 3160
在配置高可用前,我们首先需要立即一下虚拟ip的概念,如下图,我们会在128这台服务器上安装keepavlived,然后对其配个虚拟ip。后面我们再使用本机去ping虚拟ip130,如果收到响应则说明我们的keepalived配置成功。首先安装keepalived配置!#全局配置#邮件通知信息#定义收件人}#定义发件人#SMTP服务器地址#路由器标识,一般不用改,也可以写成每个主机自己的主机名}#一个vrrp_instance就是定义一个虚拟路由器的,实例名称启动。............
虚拟专用网络详解
polarday的博客
08-13 1万+
虚拟专用网络(Virtual Private Network,VPN)、隧道技术、GRE、IPSec
SSL技术原理
热门推荐
曹世宏的博客
08-25 2万+
SSL详解 建议直接看这:https://cshihong.github.io/2019/05/11/SSL-VPN%E6%8A%80%E6%9C%AF%E5%8E%9F%E7%90%86/ SSL [虚拟专用网络]的技术主要用到了SSL技术。有关SSL具体技术,可以参考: SSL/TLS协议详解 SSL [虚拟专用网络]简介 SSL [虚拟专用网络]是以SSL协议安全基础的[虚拟专用网络]远程接入技术,移动办公人员(在SSL [虚拟专用网络]中被称为远程用户)使用SSL [虚拟专用网络]可以安全
华为防火墙SSL虚拟专网配置客户端所有访问流量路由全部走公司网络
玩人工智能的辣条哥的博客
05-10 5955
一、SSL配置请参考本案例: https://support.huawei.com/hedex/hdx.do?lib=EDOC1100084128AZI0523X&docid=EDOC1100084128&lang=zh&v=06&tocLib=EDOC1100084128AZI0523X&tocV=06&id=ZH-CN_TASK_0198965574&tocURL=resources%2525252Fsecoclient%2525252Fsecoc
web Link
Oxidy
10-21 260
异次元の世界  
虚拟主机安装SSL证书教程
Guyahn顧亞恒
08-13 9104
虚拟主机(php)开启SSL使用教程 目前虚拟主机只有php主机支持SSL证书, 操作步骤: 1、 首先上传您的apache证书到FTP的web目录下。 如上图红圈所示。 2、 登陆虚拟主机的自助管理平台,找到自助管理平台的安全管理,有个SSL配置。 3、 点击SSL配置,会看到SSL配置注意事项:如果需要开启SSL功能,需要关闭CDN加速功能,否则配置SSL证书会导致您的网站无...
华为防火墙SSL xxx
weixin_45123715的博客
08-05 3059
用于远程访问VPN,工作在应用层与传输层之间 SSL VPN是以SSL协议安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。 SSL与IPSec、L2TP的区别: 1.IPSec、L2TP缺点:远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦。 2.IPSec、L2TP配置繁琐 3.网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制。 SSL的特点: 1.B/S结构:浏览
SSL XXX的配置理解
cx的博客
02-16 1413
暂时记下一些自己的理解,不太涉及原理,主要是配置方面的理解,陆续的会补充一些图 sslvpn网络扩展: 连接成功后会的客户端上生成一个临时的虚拟网卡;同时生成一个路由,目标地址是vpn内网的网段,下一跳地址是虚拟网卡。 发起连接时,源地址是虚拟网卡的地址,目标地址目标网段 在物理网卡上再进行一次封装,外层的源地址是物理网卡的ip,目标ip是防火墙的外网接口ip,通过sslvpn加密传输到防火墙上 防火墙收到报文,解封装 配置: ip地址池,为客户端分配ip地址,不能和内网的任意网段冲突; 内网的路由设备要有
HCIE-Security备考指南:深入理解反病毒技术与实战应用
HCIE-Security备考指南中,反病毒章节是核心知识点之一。本章节主要探讨了以下几个关键点: 1. **反病毒简介**: - 定义:病毒是恶意代码,通过邮件、文件共享等方式传播,威胁主机和网络安全,如消耗资源、窃取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值