SSL VPN概述
SSL VPN是一種遠端安全接入技術,因為采用SSL協定而得名。因為Web浏覽器都内嵌支援SSL協定,使得SSL VPN可以做到“無用戶端”部署,進而使得遠端安全接入的使用非常簡單,而且整個系統更加易于維護。
SSL VPN一般采用插件系統來支援各種TCP和UDP的非Web應用,使得SSL VPN真正稱得上是一種VPN,并相對IPSec VPN更符合應用安全的需求,成為遠端安全接入主要手段和選擇。
SSL協定
SSL協定分析SSL協定主要通過三個協定實作:
SSL握手協定:SSL握手協定被封裝在記錄協定中,該協定允許伺服器與客戶機在應用程式傳輸和接收資料之前互相認證、協商加密算法和密鑰。在初次建立SSL連接配接時,伺服器與客戶機交換一系列消息。
SSL修改密文協定:保障SSL傳輸過程的安全性,用戶端和伺服器雙方應該每隔一段時間改變加密規範。
SSL報警協定:SSL報警協定是用來為對等實體傳遞SSL的相關警告。如果在通信過程中某一方發現任何異常,就需要給對方發送一條警示消息通告。
SSL握手協定
SSL連接配接的建議,主要依靠SSL握手協定,簡短的一句話就可以概括SSL握手協定的基本設計思路:采用公鑰加密算法進行密文傳輸。也就是說,服務端将其公鑰告訴用戶端,然後用戶端采用伺服器的公鑰加密資訊,服務端收到密文後,用自己的私鑰解密。
公鑰加密算法又稱非對稱加密算法,其工作原理如下:
(1)用戶端A要向伺服器B發送消息,B要産生一對使用者加密和解密的公鑰和私鑰。
(2)B的私鑰自己儲存,B的公鑰告訴A。
(3)A要給B發送資訊時,用B的公鑰加密資訊,因為A知道B的公鑰。
(4)B收到這個資訊後,用自己的私鑰解密。其他所有收到這個封包的人都無法解密,因為隻有B有自己的私鑰
(5)B要給A發送消息時,也同理用A的公鑰加密,A用自己的私鑰解密。
SSL VPN技術優勢
SSL VPN配置
SSL VPN授權
SSL VPN使用者數:SSL VPN并發接入使用者數授權
IPSec移動使用者數:SANGFOR VPN移動端PDLAN并發使用者數授權
線路數:外網WAN口線路數授權
分支機構數:與第三方裝置對接标準IPSEC VPN隧道數
SSL VPN基礎配置
1、建立使用者(根據實際應用場景,選擇使用者的認證方式,也可多重認證方式組合認證)
2、釋出資源(根據需求釋出成所需類型,資源類型有WEB類型、TCP類型、L3VPN類型三種類型)
3、建立角色(角色的作用是将使用者跟資源關聯起來,其效果是讓使用者具有通路哪些資源的權限)
測試效果:
使用者張三接入VPN後具備通路ERP系統的權限,除了通路此資源,其他資源都沒有權限通路。
SSL保護的是應用層的資料,可以針對某個應用做具體保護。
IPSec針對的是整個網絡層,無法做精細化控制。
在SSL 出現之前,IPSec、L2TP等先期出現的技術雖然可以支援遠端接入這個應用場景,但這些技術存在缺陷:
- 遠端使用者終端上需要安裝指定的用戶端軟體,導緻網絡部署、維護比較麻煩。
- IPSec/L2TP的配置繁瑣。
- 網絡管理人員無法對遠端使用者通路企業内網資源的權限做精細化控制。