1. SSL工作过程是什么?
第一阶段:客户端先发hello消息到服务端,服务端收到后在发生sever hello消息到客户端
第二阶段: 服务端发送服务器的证书,密钥交换的附加信息,通知客户端握手消息发送完成
第三阶段:客户端发送客户端产生的密钥参数,通知服务端开启加密参数,发送自己握手过程的验 证报文
第四阶段:服务端通知客户端开启加密参数,发送自己计算握手过程验证报文,传送应用层数据
2. SSL预主密钥有什么作用?
通过预主密钥来确定主密钥,并且生成后续的共享密钥,HMAC认证密钥,初始化向量,来却博爱传输数据的安全
3. SSL VPN主要用于那些场景?
外出工作人员访问公司内部资源,实现对内网web资源的安全访问,实现文件共享和端口转发,实现网络拓展
4. SSL VPN的实现方式有哪些?详细说明
虚拟网关
SSL VPN每个虚拟网关可以独立管理,可以配置各自的资源,用户、认证方式,访问控制以及管理员。并且相互隔离。
web代理
实现方式:
web-link:使用activeX控件方式,对页面进行请求
web改写:将所请求页面上链接进行改写,其他内容不变。
实现结果
实现对内网web资源的安全访问
-
内网web资源只有私网地址,在不做NAT的情况下,可以通过SSL VPN实现对其的代理安全访问。
-
内网web资源只有私网地址,在做NAT的情况下,公网用户可以实现对其访问,但是web资源没有使用安全传输协议,SSL VPN可以实现对其https安全访问。
文件共享
实现原理
-
协议转换技术:无需客户端,直接通过浏览器安全访问转换为内网文件共享的相应协议格式。使用activeX控件。
支持协议:
-
SMB windows
-
NFS linux
端口转发
实现原理:安装activeX控件,本质是NAT过程
提供内网TCP资源的访问,C/S资源
-
提供丰富的静态端口的TCP应用
-
单端口单服务:telent、SSH、MS RDP VNC
-
单端口多服务:notes
-
多端口多服务:outlook
-
-
动态端口TCP应用
-
动态端口:FTP
-
-
提供端口级访问控制
自动安装运行一个 ActiveX控件,获取到管理端配置的端口转发资源列表(目的服务器IP、端口)。控件将客户端发起的TCP报文与资源列表进行比对,当发现报文的目的IP/Port与资源列表中的表项匹配,则截获报文,开启侦听端口(目的端口经过特定算法得出),并将目的地址改写为回环地址,转发到侦听端口。对该报文加密封装,添加私有报文头,将目的地址设为USG的IP地址,经由侦听端口发往USG。USG收到报文进行解密,发往真实的目的服务器端口。USG收到服务器的响应后,再加密封装回传给用户终端的侦听端口。
网络拓展
访问模式
三种流量:去对方内网流量,去互联网流量,去本地局域网流量
-
全路由模式:三种流量都走隧道,意味本地不能访问互联网,也可以通过隧道访问,也能补访问本地局域网
-
分离模式:对方内网流量走隧道,本地局域网流量走物理网卡,互联网流量不能走。意味着,能访问对方内网,能访问本地局域网,不能访问互联网。
-
手动模式:对方内网流量走隧道,本地局域网络流量和互联网流量走物理网卡。意味着,都能访问,并且互联网走本地。
5. SSL VPN客户端安全要求有哪些?
终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查,缓存清除。
主机检查:
-
杀毒软件检查
-
防火墙设置检查
-
注册表检查
-
端口检查
-
进程检查
-
操作系统检查
缓存清除:
-
internet临时文件
-
浏览器自动保存密码
-
cookie记录
-
浏览器访问历史记录收回站和最近打开的文件
-
指定文件或者文件夹
认证授权
-
vpndb认证授权
-
第三方服务认证授权
-
数字证书的认证
-
短信辅助认证
6. SSL VPN的实现,防火墙需要放行哪些流量?
从untrust到local
从local 到untrust
从trust到untrust