• SSL协议工作过程

    1.SSL工作过程是什么?

    ssl所在位置位置:

     无客户端认证的握手过程:

    1、客户端首先发送client hello消息到服务端,服务端收到客户端的消息后,再发送sever hello消息到客户端(用来协商),其中所发的hello包中包含所支持的版本号,加密套件列表,压缩算法列表,客户端、服务端随机数还有会话id 。

    值得做注意的是:

    随机数是32位的时间戳+28字节随机序列,他是用于计算摘要信息和预主密钥或主密钥的参数。

    会话id:一次性会话id,防止重放攻击

    2、服务端会向客户端发一个认证证书(包含服务端公钥的证书,用于客户端给服务端发送信息时加密。)、服务器端密钥的附加信息(server key exchange服务端密钥交换:决定密钥交换的方式,比如DH,RSA,会包含密钥交换所需的一 系列参数。),通知对方服务器握手消息发完。服务器端进入serverhellodone状态。

    3、客户端会产生预主密钥(这里使用到了对称加密算法,数据是被加密的),然后通知对方本端开始启用加密参数,发送自己计算握手过程验证报文。

    client key exchange客户端密钥交换:根据服务端随机数算出一个pre-master,发给服务器,服务器收 到后根据pre-master密钥生成一个main-matser。

    4、服务器端也会通知对方本端开始启用加密参数,同时发送自己计算的握手过程验证报文;紧接着双发会进行传送应用层数据。

    通过该过程产生的客户端随机数与服务器端随机数以及预主密钥,他们组合计算得出主密钥,然后会通过主密钥分别生成共享密钥、Hmac认证密钥以及初始化向量。

    有客户端认证的握手过程:

     这个过程,就多了一条服务器向客户端索要证书的过程。

    当会话断开后需要恢复的过程:

    2.SSL预主密钥有什么作用?

    通过该过程产生的客户端随机数与服务器端随机数以及预主密钥,他们组合计算得出主密钥,然后会通过主密钥分别生成共享密钥(对称加密的密钥)、Hmac认证密钥(认证)以及初始化向量。

    3.SSL VPN主要用于那些场景?

    SSL VPN 适用于 client to LAN 的场景。

    因为SSL 不用担心客户端问题,有浏览器的设备就可以使用,对比IPSec VPN成本小了很多,而且不会 存在nat问题;在实际工程中一般会采用IPSec vpn和ssl VPN,要是实现私网互通可以使用mpls vpn。

     

    4. SSL VPN的实现方式有哪些?详细说明

    SSL VPN每个虚拟网关可以独立管理,可以配置各自的资源,用户、认证方式,访问控制以及管理员。 并且相互隔离。

    实现一:web代理(简单理解就是起到中间人的作用)

    实现方式: web-link:使用activeX控件方式,对页面进行请求 web改写:将所请求页面上链接进行改写,其他内容不变。

    实现结果:实现对内网web资源的安全访问 内网web资源只有私网地址,在不做NAT的情况下,可以通过SSL VPN实现对其的代理安全访问。 内网web资源只有私网地址,在做NAT的情况下,公网用户可以实现对其访问,但是web资源没有 使用安全传输协议,SSL VPN可以实现对其https安全访问。

    实现二:文件共享

     实现原理:

    协议转换技术:无需客户端,直接通过浏览器安全访问转换为内网文件共享的相应协议格式。使用 activeX控件

    支持协议:

    SMB windows

    NFS linux

    实现三:端口转发

     实现原理:安装activeX控件,本质是NAT过程

    提供内网TCP资源的访问,C/S资源

    提供丰富的静态端口的TCP应用

    单端口单服务:telent、SSH、MS RDP VNC 单端口多服务:notes

    多端口多服务:outlook

    动态端口TCP应用 动态端口:FTP 提供端口级访问控制

    实现方式四:网络扩展

     

    访问模式 三种流量:去对方内网流量,去互联网流量,去本地局域网流量

    1. 全路由模式:三种流量都走隧道,意味本地不能访问互联网,也可以通过隧道访问,也能补访问本 地局域网
    2. 分离模式:对方内网流量走隧道,本地局域网流量走物理网卡,互联网流量不能走。意味着,能访 问对方内网,能访问本地局域网,不能访问互联网。
    3. 手动模式:对方内网流量走隧道,本地局域网络流量和互联网流量走物理网卡。意味着,都能访 问,并且互联网走本地。

    5. SSL VPN客户端安全要求有哪些

     终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查,缓存清除。

    主机检查:

    1、杀毒软件检查2、 防火墙设置检查 3、注册表检查 4、端口检查 5、进程检查 6、操作系统检查

     缓存清除:

    • internet临时文件
    • 浏览器自动保存密码
    • cookie记录
    • 浏览器访问历史记录
    • 收回站和最近打开的文件
    • 指定文件或者文件夹

    认证授权

    • vpndb认证授权
    • 第三方服务认证授权
    • 数字证书的认证
    • 短信辅助认证
  • 相关阅读:
    【JavaWeb】第五章 jQuery(中篇)
    冥想第九百五十八天
    MySQL怎么运行的系列(十)Innodb中的锁:记录锁、临键锁、间隙锁、意向锁
    LeetCode刷题
    Docker中MySql容器的数据挂载
    Python仪表板巨人之战 Streamlit vs Dash vs Voilà vs Panel
    Linux CentOS 8(用户与组相关权限管理实验)
    实现线程池
    没有使用IaC的DevOps系统都是耍流氓
    如何制作一篇公众号推文?纯干货
  • 原文地址:https://blog.csdn.net/weixin_60719780/article/details/127348907