SSL VPN

1. SSL工作过程是什么？

第一阶段：

客户端首先发送client hello消息到服务端，服务端收到client hello信息后，再发送server hello消息到客户端

随机数：32位时间戳 28字节随机序列，用于计算摘要信息和预主密钥或主密钥的参数。会话ID：一次性会话ID，防止重放攻击。

第二阶段：

服务器的证书：包含服务端公钥的证书，用于客户端给服务端发送信息时加密。

server key exchange服务端密钥交换：决定密钥交换的方式，比如DH,RSA，会包含密钥交换所需的一系列参数。

第三阶段：

client key exchange客户端密钥交换：根据服务端随机数算出一个pre-master，发给服务器，服务器收到后根据pre-master密钥生成一个main-matser。

第四阶段：

2. SSL预主密钥有什么作用？

SSL预主密钥保证了客户端和服务器都参与了密钥的生成，同时通过非对称加密算法保证了密钥的安全性。最终生成的会话密钥用于加密和解密SSL/TLS握手过程中的数据，保证了通信的机密性和完整性。

3. SSL VPN主要用于那些场景？

1. 远程办公：SSL VPN允许员工在任何地方通过互联网安全地访问企业内部资源，如文件、应用程序、内部网站等。

2. 分支机构连接：对于跨地区或分布式企业，SSL VPN可以连接不同地点的分支机构，实现安全的网络通信。

3. 供应商和合作伙伴访问：SSL VPN可以提供安全的远程访问，使供应商、合作伙伴或第三方可以安全地连接到企业内部网络，以便共享资源和进行合作。

4. 移动设备访问：随着移动设备的普及，员工经常使用手机、平板电脑等设备进行工作。SSL VPN可以提供安全的远程访问，使员工可以使用移动设备安全地连接到企业网络，访问资源和应用程序。

5. 临时员工或承包商访问：对于临时员工或承包商，企业可以通过SSL VPN提供临时的安全访问权限，以便他们可以访问所需的资源，同时保持网络的安全性。

4. SSL VPN的实现方式有哪些？详细说明

（1）WEB代理：

实现方式：

• web-link：使用activeX控件方式，对页面进行请求

• web改写：将所请求页面上链接进行改写，其他内容不变

实现结果：

实现对内网web资源的安全访问，即，内网用户使用HTTP访问，外网用户使用HTTPS访问；

• 内网web资源只有私网地址，在不做NAT的情况下，可以通过SSL VPN实现对其的代理安全访问

• 内网web 资源只有私网地址，在做NAT的情况下，公网用户可以实现对其的访问，但是web资源没有使用安全传输协议，SSL VPN可以实现对其https安全访问

（2）文件共享：

实现过程：

实现原理：

协议转换技术：无需客户端，直接通过浏览器安全访问转换为内网文件共享的相应协议格式，使用activeX控件

支持的协议：

• SMB windows

• NFS linux

（3）端口转发（TCP应用）

实现过程：

实现原理：安装activeX控件，本质是NAT过程

提供了内网TCP资源得到访问，C/S资源

• 提供丰富的静态端口的TCP应用

  • 单端口单服务：telent、SSH、MS RDP VNC

  • 单端口多服务：notes

  • 多端口多服务：outlook

• 动态端口TCP应用

  • 动态端口：FTP

• 提供端口级访问控制

特点：

（4）网络扩展（UDP）

实现过程：

访问模式：

三种流量：去对方内网流量，去互联网流量，去本地局域网流量

• 全路由模式：三种流量都走隧道，意味本地不能访问互联网，也可以通过隧道访问，也能补访问本地局域网

• 分离模式：对方内网流量走隧道，本地局域网流量走物理网卡，互联网流量不能走。意味着，能访问对方内网，能访问本地局域网，不能访问互联网。

• 手动模式：对方内网流量走隧道，本地局域网络流量和互联网流量走物理网卡。意味着，都能访问，并且互联网走本地。

5.  SSL VPN客户端安全要求有哪些？

终端安全是在请求内网主机上部署一个软件，通过该软件检查终端的安全性包括：主机检查，缓存清除。

主机检查：

• 杀毒软件检查

• 防火墙设置检查

• 注册表检查

• 端口检查

• 进程检查

• 操作系统检查

缓存清除：

• internet临时文件

• 浏览器自动保存密码

• cookie记录

• 浏览器访问历史记录收回站和最近打开的文件

• 指定文件或者文件夹

认证授权

• vpndb认证授权

• 第三方服务认证授权

• 数字证书的认证

• 短信辅助认证

6. SSL VPN的实现，防火墙需要放行哪些流量？

1. SSL VPN协议流量：防火墙需要允许SSL VPN协议（通常是HTTPS）的流量通过。这是实现SSL VPN所必需的基本流量。

2. 用户认证流量：防火墙需要允许与用户认证相关的流量通过，以便用户可以通过SSL VPN进行身份验证。

3. 数据传输流量：一旦用户通过身份验证，防火墙需要允许SSL VPN数据传输流量通过，以便用户可以访问内部网络资源。

4. DNS流量：防火墙需要允许DNS流量通过，以便SSL VPN客户端可以解析主机名和域名。

5. 授权流量：防火墙需要允许与授权相关的流量通过，以便SSL VPN可以验证用户的访问权限。

这篇好文章是转载于：学新通技术网