SSL VPN详细概述

为什么会出现SSL VPN呢?在这之前不是有IPSEC VPN吗?

通过这两个问题我们可以发现多半是IPSEC VPN在某些方面肯定有所欠缺,所以后面在出现了SSL VPN。

之前说过根据组网方式划分,可以分为 client to LAN  和 LAN to LAN 两种

而IPSEC  VPN在client to LAN 场景下是比较吃力的。

具体表现有:

1.在用户认证方面比较薄弱  (IKE v2 版本才加入了对接入用户的认证)

2.因为需要进行对感兴趣流的抓取,所以,策略需要调整,不太方便

3.因为需要进行参数协商,所以,IPSEC VPN 需要客户端安装对于的程序。

4.因为IPSEC VPN 是基于网络层和传输层进行权限管理,但也仅能深入到服务层面(acl 只能抓取到这个程度),如果我们需要可以针对应用层进行更细颗粒度管理的VPN技术,就不能选择IPSEC VPN。

这个时候SSL VPN 就登场了

首先来看看SSL VPN 的优势

1.因为SSL 协议封装在传输层和应用层之间,仅针对应用层数据进行保护,这样,在进行组网时,任何场景下都不会影响网络传输。

2.SSL  采用的是一种基于B/S架构的模式,所以,只要客户拥有浏览器就可以访问,方便快捷。

3.最主要的是,和IPSEC VPN 针对网络层的控制相比,SSL VPN 可以基于应用层做更细颗粒度的控制。

在了解SSL VPN之前我们需要了解SSL 协议

工作范围:

可以看出。SSL 工作在应用层和传输层之间,并且只针对TCP 的应用。

SSL 的工作原理:

SSL记录协议  --- 用于封装高层协议的数据,对应用层数据加密后,放置在记录层中。

SSL握手协议  --- 允许服务器和客户端相互认证,并在应用层传输数据之前协商出加密算法,哈希算法(校验),和会话密钥。

SSL 密码变化协议   --客户端和服务器都可以发送,目的是通知对方后面的数据将启用新协商的算法和密钥进行加密传输。

SSL 告警协议  ---告警机制

工作过程:

1.TCP的三次握手,建立网络会话连接

2.客户端发出请求(Client hello)

这个随机数很关键,因为这是最终会话密钥的一个参数,一共需要3个。

加密套件:有点类似于套餐之类的,它将加密算法,鉴别算法常用的组合搭配一起了。

3.SSL 服务器回复消息(server hello)

注意:一般来说,server hello 和服务器的证书是分开发送的,当然也可以在一个数据包中发

4.客户端回应:

pre-master-key (预主密钥,本质也是一个随机数,用于计算最终的会话密钥)

5.服务器最后的回应(有点相当于ACK的作用)

在客户端中,可以携带这个会话,可以携带这个会话的复用票据,用于省略会话建立过程中,身份认证的环节,进协商算法和密钥即可。

SSL 协议脆弱性分析

1.无法保护UDP应用

2.客户端假冒

3.SSL不能对抗流量分析(因为只对应用层数据进行了加密,所以IP暴露在外面,非法用户可以对目的IP地址进行分析,猜测意图)

SSL VPN简介

虚拟网关技术   --- 可以理解为是用户的一个接入的接口,用户可以通过浏览器去输入虚拟网关的IP地址(或者域名)访问到虚拟网关,这个过程需要进行用户认证,划分用户的权限。用户认证通过后,虚拟网关会向远程用户提供可以访问的内网资源列表,远程用户通过点击或者触发便可以访问到内网资源。

一个防火墙可以创建多个虚拟网关,每个虚拟网关相互独立,互相不影响,不同的虚拟网关可以配置各自的用户和资源进行单独管理。

SSL VPN的总体流程:

RBAC模型 --- 这种也称为基于角色的访问控制模型

本地认证  --- 本地认证就是用户名和密码信息在防火墙本地存储,登陆时在防火墙本地进行比对验证,由防火墙判断。

服务器认证  --- 用户名和密码存储在服务器上,防火墙需要将登陆信息发送给服务器,由服务器进行判断,之后将结果返回给防火墙,做出对应的动作

证书匿名认证 --- 需要客户端提交证书,防火墙通过验证客户端的证书来认证用户
 1,客户端证书和防火墙上导入的客户端CA证书由同一个CA机构颁发
 2,客户端证书必须在有效期内
 3,客户端证书中用户过滤字段必须是防火墙上配置已有的用户。例如,用户过滤字段
的结果CN=user00019

证书挑战认证 --- 比证书匿名认证多增加了用户名密码 校验

资源发布:

1.Web代理

2.文件共享

3.端口转发

ActivX控件 --- 端口转发客户端

4.网络扩展

需要在用户客户端上安装一张虚拟网卡,会下发一个私网的IP地址和路由

可靠传输模式

快速传输模式

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/389441.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CTF学习笔记汇总(非常详细)零基础入门到精通,收藏这一篇就够了

CTF学习笔记汇总 Part.01 Web 01 SSRF 主要攻击方式如下: 01 对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息。 02 攻击运行在内网或本地的应用程序。 03 对内网Web应用进行指纹识别,识别企业内部的资产信息。 …

深入分析 Android ContentProvider (十二)

文章目录 深入分析 Android ContentProvider (十二)Android 中 ContentProvider 的系统代码分析(续)1. ContentProvider 的内部实现机制1.1. ContentProvider 的创建与生命周期管理1.2. ContentProvider 的数据访问与处理1.3. ContentProvider 的权限管理…

Go语言---sync.WaitGroup

在Go语言中,给我们提供了用于线程同步的sync.WaitGroup,简单来讲,WaitGroup就是指等待一组,等待一个系列执行完成后才会继续向下执行。 WaitGroup数据结构 type WaitGroup struct {noCopy noCopystate atomic.Uint64 // 高 32 b…

无人驾驶的未来:AI如何重塑我们的出行世界

无人驾驶汽车,作为人工智能(AI)技术的集大成者,正以前所未有的速度改变着我们的出行方式。从机器学习到计算机视觉,再到人工智能生成内容(AIGC),AI技术的每一次进步都在为无人驾驶汽…

华为手机连接电脑后电脑无反应、检测不到设备的解决方法

本文介绍华为手机与任意品牌电脑连接时,出现连接后电脑无反应、检测不到手机连接情况的解决方法。 最近,因为手机的存储空间愈发紧缺,所以希望在非华为电脑中,将华为手机内的照片、视频等大文件备份、整理一下。因此,需…

公司里的IT是什么?

公司里的IT是什么? 文章目录 公司里的IT是什么?1、公司里的IT2、IT技术3、IT行业4、IT行业常见证书 如果对你有帮助,就点赞收藏把!(。・ω・。)ノ♡ 前段时间,在公…

《Windows API每日一练》24.1 WinSock简介

本节将逐一介绍WinSock的主要特性和组件,套接字、WinSock动态库的使用。 本节必须掌握的知识点: Windows Socket接口简介 Windows Socket接口的使用 第178练:网络时间校验 24.1.1 Windows Socket接口简介 ■以下是WinSock的主要特性和组件…

实时转换,轻松编辑:2024年高效语音转文字解决方案

现在生活节奏越来越快了,很多时候一场会议内容的信息量就会呈几何式增长。用笔来记录肯定来不及,那还有一个方法就是录音或者录像。录制完成后我们可以使用语音转文字来快速获取会议内容是不是就方便了很多。 1.365在线转文字 链接传送:ww…

华为云依赖引入错误

问题:记录一次项目加载华为云依赖错误,如下: 错误信息:Could not find artifact com.huawei.storage:esdk-obs-java:pom:3.1.2.1 in bintray-qcloud-maven-repo (https://dl.bintray.com/qcloud/maven-repo/) 找到本地仓库&#…

【practise】string_atoi

今天来分享一道比较平常的练习题,说实话我自己写了半天,自己写的很烂最后还是看的答案… 1.题目概要 题目链接:LINK 2.题目难点 这个题目有两个难点,如下: 拿到了全部都是数字字符的字符串,怎么将这个…

从技术角度解读【与辉同行】文案(一)

视频文字内容 标题:走晋.山西 内容:将一段岁月熔成佳酿,三晋儿女荡气回肠。捧一把黄土架起火柴,华夏大地照亮火光。五千年黄土风云,历代千秋根固魂盈。三万顷汾河烟雨,唐风宋韵人杰地灵。当先辈手持石器抛挖…

秘密打造「AI陶哲轩」 震惊数学圈!谷歌IMO梦之队首曝光,菲尔兹奖得主深度点评

谷歌DeepMind正在做的,是要打造出世界上最强的AI数学家。 Perplexity AI的CEO对此做出了大胆预测——DeepMind继续研究下去的话,应该可以搞出一个「AI陶哲轩」了! 这个预测可谓相当大胆。 要知道,陶哲轩在IMO竞赛圈,乃…

ADI - 通过5 V至24 V输入提供双极性、双向DC-DC流入和流出电流

大部分电子系统都依赖于正电压轨或负电压轨,但是有些应用要求单电压轨同时为正负电压轨。在这种情况下,正电源或负电源由同一端子提供,也就是说,电源的输出电压可以在整个电压范围内调节,并且可以平稳转换极性。例如&a…

【CORS 报错】跨域请求问题:CORS 多种环境下的解决方案

🔥 个人主页:空白诗 文章目录 一、CORS错误的常见原因二、解决方案1. Vue3 Vite项目下的解决方案创建Vue3 Vite项目配置Vite的代理发送请求 2. jQuery项目下的解决方案使用CORS请求头使用JSONP 3. 其他环境下的解决方案使用服务器端代理设置CORS头使用…

“再来一单“业务功能开发

文章目录 概要整体架构流程技术细节小结 概要 再来一单”功能常见于餐饮、零售、外卖等行业,主要目的是为了简化用户的重复购买流程,提高用户体验和效率。 需求分析以及接口设计 再来一单就是将原订单中的商品重新加入到购物车中,所以本质上是"增…

java之WIFI信号模块

开发步骤分为以下几点&#xff1a; 1.在 AndroidManifest 中声明相关权限&#xff08;网络和文件读写权限&#xff09; 声明权限: <uses-permission android:name"android.permission.ACCESS_WIFI_STATE" /> <uses-permission android:name"android.…

matlab y=sin(x) - 2/π*(x)函数绘制

[TOC](matlab ysin(x) - 2/π*(x)函数绘制) ysin(x) - 2/π*(x) clc; clear; close all; x_axis_length 10; y_axis_length 10; % 创建 x 值向量 x_positive linspace(0.1, 10, 1000); % 正半轴上的 x 值 x_negative linspace(-10, -0.1, 1000); % 负半轴上的 x 值% 计算…

前端新手小白的React入坑指南

有个小伙伴跟我说&#xff0c;已经毕业了&#xff0c;开始实习了。但公司现在用的还是Vue&#xff0c;领导说是过段时间让他用React做项目&#xff0c;先自己学习起来。 我给他找了一些文档&#xff0c;顺便着呢&#xff0c;反正自己也写博客&#xff0c;自己也写一份吧&#x…

华为视觉智驾来了!买车千万不要乱选了

文 | AUTO芯球 作者 | 雷慢 华为又偷偷地憋大招了&#xff0c; 你们看&#xff0c;余承东昨天天悄咪咪地发了条微博宣布&#xff0c; 智界S7Pro版开始首发搭载华为视觉智驾方案&#xff0c; 也就是华为ADS基础版&#xff0c;车也陆续交给了车主们&#xff0c; 那问题来了&a…

江科大/江协科技 STM32学习笔记P13

文章目录 TIM定时中断1、TIM简介计数器PSC预分频器&#xff08;Prescaler&#xff09;ARR自动重装寄存器&#xff08;Auto Reload Register&#xff09; 2、定时器类型基本定时器主模式触发DAC 通用定时器高级定时器 3、定时器原理定时中断基本结构预分频器时序计数器时序RCC时…