搜索

SSL VPN概述介绍

gecimao 发表于 2019-07-25 22:06 | 查看: | 回复:

  SSL VPN概述介绍_计算机硬件及网络_IT/计算机_专业资料。介绍SSL VPN基础知识。

  SSL VPN概述介绍 VPN(Virtual Private Network) 异地办事处 合作伙伴 总部 隧道 Internet 专线 分支机构 出差员工 办事处 VPN协议 点对点隧道协议PPTP 第2层转发L2F 第2层隧道协议L2TP 通用路由选择封装GRE 多协议标记交换MPLS Internet协议安全IPSec Ponit-to-Point Tunneling Protocol Layer 2 Forwarding Layer 2 Tunneling Protocol Generic Routing Encapsulation Multiprotocol Label Switching VPN Internet Protocol Security 安全套接字层VPN SSL VPN VPN协议基于应用的分类 站点到站点协议 IPSec、GRE、MPLS VPN 远程接入协议 SSL VPN、IPSec、L2TP、基于IPSec的L2TP和PPTP IPSec既可作为站点到站点的访问协议又可作为远程接入协议。 VPN接入方式 点对点接入(Site to Site) 性能高、运行简单可靠、适于大 型局域网的远程互联 远程接入 远程接入(Remote Access) 接入灵活,使用方便,成本低,适 于远程主机直接接入系统网络 点对点接入 VPN的历史 第一代 专网 在两个点之间通过ISP租用物理链路。 第二代 IPSec VPN 通过互联网逻辑的在两个点之间建立链路。 第三代 SSL VPN 通过网页访问的方式连接。 两种常见的VPN IPSec VPN VS SSL VPN IPSec VPN与SSL VPN的对比 IPSec VPN 适用环境 VPN层次 数据传输 客户端 VPN部署 远端维护管理 部署成本 移动连接 复杂应用支持 Web 应用 Site to Site IP 层 隧道方式 需专用软件 复杂 复杂,成本高 高 不适用 容易 适合 SSL VPN Client to Site 应用层 SSL传输 (TCP 443) 无需专用客户端软件 简单 简单,成本低 低 适用 较容易 非常适合 IPSec VPN与SSL VPN的对比 IPSEC VPN ? 在用户主机上部署IPsec VPN时,需要预先安装客户端软件。 ? 无法支持不同平台如liunx、手机等。 ? 转换受限。IPsec报文不能透明地穿越NAT和防火墙,在组网时需要进 行特殊的配置。 ? IPsec VPN比较适合连接固定的网络。 ? 用户可以从任何地点发起连接,请求接入。 ? 可以对客户端的安全状态进行评估:当发现客户端不安全时,就拒绝 接入。 ? 可以支持多种浏览器(IE、Firefox),多种终端(个人电脑、手机) ? 对用户访问权限进行有效地管理和控制:对不同身份的人应该授予不 同的访问权限,对越权的访问请求应该拒绝。 ? 高细粒度的权限控制:URL、文件目录、IP、TCP/UDP端口号,可以 细致地限制用户所访问的网络资源。 SSL VPN 对比结论 ? SSL VPN最适合于“远程接入”的场合,如移动办公和 出差人员远程接入,因为使用者对网络技术了解程度不同, SSL VPN不需要任何配置。 ? IPsec VPN比较适合“点对点接入”的场合,如总部和分 支机构的点对点接入。 ? 在实际运用中可以根据情况将两种VPN有机结合起来。 SSL概述 ? SSL(Secure Socket Layer)安全套接层是一种运行在两台机 器之间的安全通道协议;也可以运行在SSL代理和PC之间 ? 功能:保护传输数据(加密),识别通信机器(认证) ? SSL提供的安全通道是透明的,几乎所有基于TCP的协议稍加改 动就可以直接运行于SSL之上 ? IETF(Internet Engineering Task Force)将SSL作了标准化 , 推出TLS传输层安全协议(RFC 2246)整合取代,它工作在TCP 之上。TLS1.0与SSL3.0的差别非常微小。 SSL协议与基于SSL的应用 Application Application ? SSL是一个独立于平台并独立于应用的协议, 用于保护基于TCP的应用。SSL在TCP层之上 应用层之下。 ? 基于SSL的HTTP:保护网页是最初设计SSL的 主要动力,而HTTP是由SSL保护的第一个应 用层协议。HTTPS在TCP端口443上操作,而 HTTP则默认在TCP端口80上操作。 ? 基于SSL的电子邮件:与基于SSL的HTTP类似, 电子邮件协议,如SMTP、邮局协议3 (POP3,Post Office Protocol 3)和 Internet消息访问协议(IMAP,Internet Message Access Protocol)均可由SSL支持。 SSL SSL UDP TCP TCP UDP IP IP SSL VPN 概述 什么是SSL VPN SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的 VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书 的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连 接。 谁会使用SSL VPN 企业的员工可以在家中、路上、网吧、旅馆,使用自己的、别人的、公用的电脑或手 机,通过ADSL网络、小区宽带网络、移动电话网络、无线网络等多种接入网络,远程 访问公司的信息资源。 企业合作伙伴等非员工可以限制其访问某些服务器、Web页面或文件,提高企业生产 效率。 SSL VPN的接入方式 WEB转发 ? WEB转发实现了在不安装客户端的情况下直接通过浏览器访问 内网WEB资源。 ? WEB 转发在接收到用户端浏览器通过 SSL 协议发来的请求后, 对其进行解密,然后将请求转发到后台 Web 应用服务器;在 接收到 Web 服务器返回的 Web 页面后,将原始页面中内部 URL 替换为请求 SSL VPN 网关代理的 URL,然后将替换后的 页面加密通过 SSL 通道送到用户端。 ? 但Web转发只能支持简单的B/S架构应用。用户访问“WEB 转 发”资源通过网页浏览器登录网关。 SSL VPN的接入方式 端口转发 ? 端口转发可以为用户提供通过浏览器远程安全访问内部应用的 服务。 ? 端口转发系统总体上可以分为两部分:端口转发客户端和服务 器(SSL VPN网关)。端口转发客户端负责截获 TCP/UDP 应 用程序的数据,并通过加密的 SSL/TLS 会话隧道将这些数据发 送给服务器,服务器收到数据后再转发到真正的目的地,同时 将目的地返回的数据使用同样的安全隧道发送给端口转发客户 端,进而返回给应用程序。 ? 可实现客户端对C/S架构应用的访问。 SSL VPN的接入方式 全网接入 ? 全网接入功能,实现了用户通过SSL VPN隧道与内网主机进行 IP层的通讯,从而支持所有的基于IP协议的C/S或者B/S应用。 ? 需要在浏览器里安装一个全网接入客户端,该客户端将负责与 SSL VPN网关建立SSL隧道,对本机与远程网络之间传送的IP报 文进行加密和解密。全网接入客户端主要由虚拟网卡和中兴全 网接入组件组成。客户端主机上生成一个用于SSL通信的虚拟网 卡,以便与全网接入服务器端成功建立SSL连接。 ? SSL VPN网关作为全网接入服务器端,负责为客户端分配地址, 并在与客户端成功建立连接后为其提供全网接入服务。 SSL VPN的接入方式 应用WEB化 ? 可以提供两种方式的文件共享,一种是网上邻居式的文件共享 服务;另一种是 FTP 式的文件共享服务。用户登录后无需安装 任何客户端组件,即可使用“应用 WEB 化”功能,浏览并操 作内网中主机上的共享文件资源。 ? 应用 WEB 化在接收到用户端浏览器通过 SSL 通道发来的请求 后,通过解密、解析用户请求,获取用户将要进行的操作,然 后连接内网的文件共享服务器或 FTP 服务器并将该操作命令转 发到该内网服务器,获取到该内网服务器的返回信息后,再通 过 SSL 通道将执行结果反馈到用户端浏览器。 SSL VPN设备网络位置—单臂 ? 单臂模式时SSL设备工作模式基 本与一台内网服务器相当,由前 置设备将SSL服务对外发布,该 模式下仅处理VPN数据。 ? 一般在客户原有网络环境中添加 部署SSL设备时将采用这种模式, 这种部署模式对客户的网络环境 无变动,设备宕机也不会影响网 络。 SSL VPN设备网络位置—双臂 ? 双臂模式(网关模式)时SSL设备工作层次基本与路由器或包过滤防火墙相当,具备基 本的路由转发及NAT功能。一般在客户原有网络环境中添加部署SSL设备时不采用这种 模式,这种部署模式需要对客户的网络环境作较大的改动。 ? 一般此种部署模式的客户网络环境规模比较小,用SSL设备替换原有部署在出口的路由 器,或者是客户在规划新网络建设时将SSL部署为路由模式。 配置流程 01 接口配置及资 源配置 02 03 04 防火墙配置 SSL VPN配置 用户认证配置 ? 接口IP地址配置 ? DHCP地址池配置 ? 资源配置 ? 阻断策略配置 ? 访问控制配置 ? 地址转换配置 ? 模块管理配置 ? 资源管理配置 ? ACL配置管理配置 ? 用户管理配置 ? 角色管理配置 ? 认证设置 ? 服务配置 ? 虚拟门户配置 谢谢

本文链接:http://megsmind.net/dianduidianxieyi/735.html
随机为您推荐歌词

联系我们 | 关于我们 | 网友投稿 | 版权声明 | 广告服务 | 站点统计 | 网站地图

版权声明:本站资源均来自互联网,如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

Copyright @ 2012-2013 织梦猫 版权所有  Powered by Dedecms 5.7
渝ICP备10013703号  

回顶部