1. SSL工作过程是什么?
第一阶段:
客户端首先发送client hello消息到服务端,服务端收到client hello信息后,再发送server hello消息到客户端
随机数:32位时间戳+28字节随机序列,用于计算摘要信息和预主密钥或主密钥的参数。会话ID:一次性会话ID,防止重放攻击。
第二阶段:
服务器的证书:包含服务端公钥的证书,用于客户端给服务端发送信息时加密。
server key exchange服务端密钥交换:决定密钥交换的方式,比如DH,RSA,会包含密钥交换所需的一系列参数。
第三阶段:
client key exchange客户端密钥交换:根据服务端随机数算出一个pre-master,发给服务器,服务器收到后根据pre-master密钥生成一个main-matser。
第四阶段:
2. SSL预主密钥有什么作用?
SSL预主密钥保证了客户端和服务器都参与了密钥的生成,同时通过非对称加密算法保证了密钥的安全性。最终生成的会话密钥用于加密和解密SSL/TLS握手过程中的数据,保证了通信的机密性和完整性。
3. SSL VPN主要用于那些场景?
-
远程办公:SSL VPN允许员工在任何地方通过互联网安全地访问企业内部资源,如文件、应用程序、内部网站等。
-
分支机构连接:对于跨地区或分布式企业,SSL VPN可以连接不同地点的分支机构,实现安全的网络通信。
-
供应商和合作伙伴访问:SSL VPN可以提供安全的远程访问,使供应商、合作伙伴或第三方可以安全地连接到企业内部网络,以便共享资源和进行合作。
-
移动设备访问:随着移动设备的普及,员工经常使用手机、平板电脑等设备进行工作。SSL VPN可以提供安全的远程访问,使员工可以使用移动设备安全地连接到企业网络,访问资源和应用程序。
-
临时员工或承包商访问:对于临时员工或承包商,企业可以通过SSL VPN提供临时的安全访问权限,以便他们可以访问所需的资源,同时保持网络的安全性。
4. SSL VPN的实现方式有哪些?详细说明
(1)WEB代理:
实现方式:
-
web-link:使用activeX控件方式,对页面进行请求
-
web改写:将所请求页面上链接进行改写,其他内容不变
实现结果:
实现对内网web资源的安全访问,即,内网用户使用HTTP访问,外网用户使用HTTPS访问;
-
内网web资源只有私网地址,在不做NAT的情况下,可以通过SSL VPN实现对其的代理安全访问
-
内网web 资源只有私网地址,在做NAT的情况下,公网用户可以实现对其的访问,但是web资源没有使用安全传输协议,SSL VPN可以实现对其https安全访问
(2)文件共享:
实现过程:
实现原理:
协议转换技术:无需客户端,直接通过浏览器安全访问转换为内网文件共享的相应协议格式,使用activeX控件
支持的协议:
-
SMB windows
-
NFS linux
(3)端口转发(TCP应用)
实现过程:
实现原理:安装activeX控件,本质是NAT过程
提供了内网TCP资源得到访问,C/S资源
-
提供丰富的静态端口的TCP应用
-
单端口单服务:telent、SSH、MS RDP VNC
-
单端口多服务:notes
-
多端口多服务:outlook
-
-
动态端口TCP应用
-
动态端口:FTP
-
-
提供端口级访问控制
特点:
(4)网络扩展(UDP)
实现过程:
访问模式:
三种流量:去对方内网流量,去互联网流量,去本地局域网流量
-
全路由模式:三种流量都走隧道,意味本地不能访问互联网,也可以通过隧道访问,也能补访问本地局域网
-
分离模式:对方内网流量走隧道,本地局域网流量走物理网卡,互联网流量不能走。意味着,能访问对方内网,能访问本地局域网,不能访问互联网。
-
手动模式:对方内网流量走隧道,本地局域网络流量和互联网流量走物理网卡。意味着,都能访问,并且互联网走本地。
5. SSL VPN客户端安全要求有哪些?
终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查,缓存清除。
主机检查:
-
杀毒软件检查
-
防火墙设置检查
-
注册表检查
-
端口检查
-
进程检查
-
操作系统检查
缓存清除:
-
internet临时文件
-
浏览器自动保存密码
-
cookie记录
-
浏览器访问历史记录收回站和最近打开的文件
-
指定文件或者文件夹
认证授权
-
vpndb认证授权
-
第三方服务认证授权
-
数字证书的认证
-
短信辅助认证
6. SSL VPN的实现,防火墙需要放行哪些流量?
-
SSL VPN协议流量:防火墙需要允许SSL VPN协议(通常是HTTPS)的流量通过。这是实现SSL VPN所必需的基本流量。
-
用户认证流量:防火墙需要允许与用户认证相关的流量通过,以便用户可以通过SSL VPN进行身份验证。
-
数据传输流量:一旦用户通过身份验证,防火墙需要允许SSL VPN数据传输流量通过,以便用户可以访问内部网络资源。
-
DNS流量:防火墙需要允许DNS流量通过,以便SSL VPN客户端可以解析主机名和域名。
-
授权流量:防火墙需要允许与授权相关的流量通过,以便SSL VPN可以验证用户的访问权限。