写在前面
注意根据笔记中的缩进判断该文本所在层级。
网络空间安全实训-网络安全技术
SSL VPN
SSL协议
定义:一种应用层的安全保护技术
工作流程
1.客户端与服务器通过三次握手建立TCP连接
2.客户端向服务器发送Client-Hello信息,消息中包含希望访问的主机名,本机支持的所有加密算法版本
3.服务器收到Client-Hello消息后,挑选出一个双方都支持的加密算法的最高版本,通过Server-Hello消息发送给客户端
4.客户端向服务器发送证书索要请求
为了获取对端的公钥
为了验证对方身份的真伪
5.服务器将数字证书发送给客户端
*服务器向客户端发送证书索要请求
*客户端向服务器发送数字证书
6.客户端与服务器在非对称加密的保护下协商保护数据传输的密钥
7.客户端与服务器在对称加密的保护下进行HTTP数据传输
SSL VPN
定义:基于SSL协议保护和传输的VPN
优点
所有浏览器天然支持SSL,用户连接SSL VPN可做到无需客户端,通过浏览器直接接入
基于应用层的安全防护,安全程度更高
权限控制粒度细,更利于安全策略的安全性
配置步骤
1.创建SSL VPN网关
设置用户访问SSL VPN的IP地址和端口号
2.创建访问实例
关联上一步创建的网关
开启访问实例
ISP认证域设置为默认system方案,开启密码认证
选择业务类型
Web业务
特点
只支持发布基于浏览器访问的资源,以协议代理的方式使远程用户可以访问该资源
优点:Web代码解析由VPN设备完成,可以避免客户端浏览器不兼容某些代码而无法访问某些功能的场景
缺点:协议代理比较消耗设备性能,一般不建议使用
配置方式
填写要发布的网站的内网IP地址和端口
TCP业务
特点
支持发布所有基于TCP的资源和服务,在客户端本地通过工具以端口转发的方式实现远程TCP访问
优点:支持所有TCP类型的服务,资源消耗较小
缺点:不支持基于UDP和ICMP的服务,需要在客户端安装插件
配置方式
配置客户端的IP地址和某个代理端口对应内网服务器的IP地址和服务端口
IP业务
特点
在客户端上安装一块虚拟网卡,给网卡分配一个虚拟IP地址,并在客户端上自动产生到达内网服务器的静态路由,下一条为虚拟地址
优点:支持发布所有的资源类型
缺点:需要在客户端上安装虚拟网卡
配置方式
创建VPN的虚拟接口,配置虚拟接口的IP地址
创建并引用客户端的虚拟地址池,与虚拟接口的地址属于同一网段
创建内部服务器的子网资源
关联资源组
3.创建用户,选择服务为SSL VPN,并设置SSL VPN访问实例