SSL VPN是采用SSL(Security Socket Layer)/TLS(Transport Layer Security)協議來實現遠程接入的一種輕量級VPN技術,其基于B/S架構,免于安裝客戶端,相較與IPSEC有更高的靈活度和管理性,當隧道建立之后就能通過SSL VPN隧道遠程訪問企業內網的Web服務器、文件服務器、郵件服務器等資源。
SSL/TLS通訊原理
聽過HTTPS的小伙伴對SSL一定不陌生,其實TLS就是對SSL的改進和延續,兩者間本質算法不同,工作原理大差不差
通過握手搭建一個安全的會話,依靠PKI等機制實現,大致步驟如下:
- 商定版本
- 確定雙方所要使用的密碼組合
- 客戶端通過服務器的公鑰和數字證書上的數字簽名驗證服務端的身份
- 生成會話密鑰,該密鑰將用于握手結束后的對稱加密
如圖,客戶端會先發送一個client hello報文告知服務器,內容包含用戶要連接的服務器,TSL版本,密碼賬戶信息等;當服務器收到后發送Server Hello進行回應,其內容包含數字證書和公鑰,服務器選擇密碼賬戶等信息;客戶端收到后對內容進行驗證,校驗證書真實性,可用性以及對端身份的合法性,之后生成預主密鑰并加密告知對方;服務器解密獲得密鑰生成主密鑰,兩者開始通過主密鑰進行加密通訊
典型組網方式
單臂模式
VPN部署不在網關上,即接入VPN時先將流量從網關轉發到此設備上再請求網關去找相關服務器進行搭建,多用于網絡已搭建完畢需要修改且對安全性有一定要求的企業
帶來影響:搭建時間變長,網絡復雜度增高
網關模式
VPN設備就是出口設備,直接搭建即可,直接搭建,流量直接由網關處理,節約其他內網間設備性能,用于未搭建有連接需求對安全性
帶來影響:集成于同一臺設備,對設備要求較高,在內外網關鍵路徑下,對其穩定性要求高
接入方式
可通過Web,TCP,IP,BYOD(移動終端)接入,并且可實現資源分配,同一臺SSL VPN網關上可以創建多個SSL VPN訪問實例(SSL VPN context),每個SSL VPN訪問實例包含多個資源組
資源組包含一系列規則,這些規則為用戶定義了可訪問的資源,包含Web接入資源,TCP接入服務資源,IP接入服務資源文件資源等
?
)
)
)
Project窗口文件夾鎖定器)
)
)
)
