ssl笔记
SSL VPN 学习笔记
一、SSL 协议基础
1. 核心定位与工作模型
- 层级与端口:工作在TCP 层之上、应用层之下的加密协议,服务器端通过 TCP 443 号端口提供服务。
- 架构:采用 C/S(客户端 - 服务器)架构,客户端(如浏览器)与服务器通过 SSL 层建立加密连接。
- 网络适应性:不受 NAT 和防火墙影响,可穿透复杂网络环境。
2. 协议架构(分层设计)
| 层级 | 包含协议 / 模块 | 核心功能 |
|---|---|---|
| 应用层 | HTTP、FTP 等应用协议 | 提供具体业务服务,数据通过 SSL 层传输 |
| SSL 层 | 握手层、记录层 | 衔接应用层与 TCP 层,实现加密与连接管理 |
| - 握手层 | 握手协议、告警协议、密钥改变协议 | 建立 SSL 连接:双方认证、协商加密套件 / 压缩算法、交换密钥参数 |
| - 记录层 | 记录层协议 | 对应用层数据进行分段、压缩、加密,封装为 TCP 报文;接收端反向解封装 |
| TCP 层 | TCP 协议 | 提供可靠的传输服务,为 SSL 层提供底层连接支持 |
3. 关键流程:SSL 握手过程(密钥协商核心)
客户端发起请求(ClientHello)
发送客户端支持的 SSL 最高版本、加密套件列表、压缩算法列表、客户端随机数、会话 ID=0(新会话)。服务器响应(ServerHello + 证书)
- ServerHello:返回同意的 SSL 版本、加密套件、压缩算法、服务器端随机数、会话 ID;
- ServerCertificate:发送服务器数字证书(含公钥,由 CA 认证,防止公钥篡改);
- 可选:ServerKeyExchange(补充密钥参数)、ServerHelloDone(通知握手消息结束)。
客户端密钥交换与验证
- ClientKeyExchange:生成PreMasterKey(预主密钥),用服务器公钥加密后发送;
- [ChangeCipherSpec]:通知服务器后续消息启用协商的加密参数;
- Finished:发送加密的握手验证报文,确认握手完整性。
服务器验证与连接确认
- [ChangeCipherSpec]:服务器同步启用加密参数;
- Finished:发送加密的握手验证报文,客户端验证通过后,SSL 连接建立;
- 后续:应用层数据(如 HTTP)通过 SSL 加密隧道传输。
密钥逻辑
- 用非对称加密(公钥 / 私钥) 协商会话密钥(PreMasterKey),确保密钥传输安全;
- 后续数据用对称加密(会话密钥) 传输,兼顾安全性与效率。
二、SSL VPN 概述
1. 定义与核心价值
- 本质:基于 SSL 协议的远程安全接入技术,通过 SSL 加密隧道实现外网终端(电脑、手机、平板)访问内网资源。
- 核心优势:浏览器内嵌 SSL 支持,可 “无客户端” 部署(或轻量控件),维护成本低;支持细粒度权限控制,比 IPSec VPN 更适配应用层安全需求。
2. 五大安全优势(文档 2 重点)
| 安全维度 | 具体能力 |
|---|---|
| 身份安全 | 支持 8 种认证方式(用户名密码、数字证书、短信、动态令牌等),可组合认证;多重密码保障 |
| 终端安全 | 防中间人攻击、客户端安全检查(主机合规性)、零痕迹(退出后清除缓存 / 历史)、SSL 专线 |
| 传输安全 | 采用标准加密算法(如 RSA 公钥加密、AES 对称加密),保障数据传输不被窃取 / 篡改 |
| 应用权限安全 | 角色授权、URL 级别细粒度控制、服务器地址伪装(隐藏内网地址)、主从账号绑定 |
| 审计安全 | 独立日志中心,管理员权限分级,记录用户访问轨迹 |
3. SSL 与 SSL VPN 的关系
- SSL 是基础:提供加密隧道技术,解决 “传输安全” 问题;
- SSL VPN 是应用:在 SSL 基础上增加 “访问控制(用户认证、权限管理)”“资源适配(Web/TCP/ 远程应用)”“终端管理”,实现 “远程安全接入” 完整方案。
三、SSL VPN 核心技术:接入方式与授权
1. 四种接入方式(文档 1、3 重点对比)
| 接入类型 | 实现原理 | 支持应用类型 | 优缺点 | 适用场景 |
|---|---|---|---|---|
| Web 接入 | 改写内网 Web 页面的 URL(如http://172.172.3.100→https://公网IP/web/...),通过 SSL 隧道转发 | HTTP、HTTPS、MAIL、FTP、FileShare | 优点:客户端免控件,浏览器通用;缺点:仅支持 Web 类应用,不能新窗口输地址 | 移动终端(手机 / 平板)、无控件安装权限的场景 |
| TCP 接入 | 客户端安装 Proxy 控件,抓取 TCP 流量封装为 SSL 数据,VPN 网关解封装后与内网服务器建立 TCP 连接 | 所有基于 TCP 的应用(如 Telnet、OA) | 优点:适用范围广,控件轻量;缺点:需安装控件 | PC 访问内网 C/S/B/S 类 TCP 应用 |
| L3VPN 接入 | 客户端安装虚拟网卡(分配内网虚拟 IP),添加内网路由,数据通过 IP 层转发(类似 IPSec) | TCP、UDP、ICMP(如 SNMP、IM) | 优点:支持 UDP/ICMP,可实现服务器主动访问客户端;缺点:虚拟网卡体积比 TCP 控件大 | 需要 UDP 协议、服务器主动交互的场景 |
| 远程应用接入 | 应用程序集中在终端服务器运行,客户端(EasyConnect)仅传输输入输出(屏幕 / 键盘 / 鼠标) | Windows 应用(如 ERP、MS Office、IE 插件应用) | 优点:客户端免装业务软件,适配移动终端;缺点:需部署终端服务器 | 移动终端访问 Windows 专属应用、客户端插件不兼容场景 |
2. 授权机制(身份与权限管控)
(1)身份认证类型
- 本地认证:用户账号 / 密码保存在 VPN 网关本地数据库,网关独立验证;
- 外部认证:账号 / 密码保存在外部服务器,网关转发验证请求,支持 RADIUS、LDAP、AD(Active Directory)。
(2)资源授权维度
- 用户数授权:SSL VPN 并发用户数、IPSec 移动用户数、远程应用并发用户数;
- 线路 / 节点授权:外网 WAN 口线路数、第三方 IPSec VPN 隧道数(分支机构对接)。
四、SSL VPN 配置与部署
1. 基础配置三步法(文档 2、3)
Step1:创建用户
- 路径:控制台→用户管理;
- 配置:选择认证方式(可组合,如 “用户名密码 + 短信”)、所属用户组、是否继承组策略。
Step2:发布资源
- 路径:控制台→资源管理;
- 资源类型:Web 应用(填内网 IP / 端口)、TCP 应用(填 IP + 端口范围)、L3VPN(填子网 / IP)、远程应用(关联终端服务器程序)。
Step3:创建角色(关联用户与资源)
- 路径:控制台→角色授权;
- 作用:角色是 “用户” 与 “资源” 的纽带,给角色分配资源后,关联该角色的用户即可访问对应资源(例:给 “ERP 角色” 分配 ERP 资源,用户张三关联该角色后可访问 ERP)。
2. 两种部署模式(文档 1、2 对比)
| 部署模式 | 拓扑特点 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|---|
| 双臂模式 | VPN 网关跨接内网与外网(双网卡:一个接 Internet,一个接 LAN) | 全面保护内网,管控所有内外网流量 | 网关成为性能瓶颈,故障影响整个内网外网访问 | 对安全性要求高、流量可控的中小型网络 |
| 单臂模式 | VPN 网关部署在内网,前端通过防火墙 / 路由器做端口映射(443 端口→网关 LAN 口) | 不影响内网外网访问性能,故障仅影响 VPN | 仅管控 VPN 流量,无法全面保护内网 | 现有网络拓扑不改动、需兼容外网访问的场景 |
3. 典型组网方案
- 网关模式组网:VPN 网关作为网络出口,配置内外网口 IP、NAT 代理上网,满足 “内网上网 + 外网 VPN 接入” 双重需求;
- 单臂模式组网:不改动现有出口(如防火墙),仅在了你部署 VPN 网关,前端设备映射 443 端口,实现外网安全接入。
五、用户 - 角色 - 资源 - 策略组管理(文档 3 重点)
1. 核心关系:四者联动逻辑
plaintext
用户 → 关联角色 → 角色关联资源 → 策略组管控访问规则
- 用户:实际接入主体(如员工张三),含账号、认证方式、所属组;
- 角色:权限载体,关联 1 个或多个用户,同时关联 1 个或多个资源,实现 “批量权限分配”;
- 资源:内网可访问的服务(Web/OA、TCP/ERP、L3VPN/SNMP、远程应用 / Office);
- 策略组:安全规则集合,管控用户接入的细节(如客户端缓存、带宽限制、登录时间),需关联用户 / 用户组生效。
2. 策略组关键配置
(1)客户端选项
- 隐私保护:用户退出后自动清除缓存、Cookies、浏览历史;
- 资源管控:限制带宽 / 会话数(防止资源滥用)、启用 SSL 专线(禁止 VPN 接入时上外网);
- 兼容性:允许手机通过 PPTP VPN 接入。
(2)账号控制
- 登录限制:指定登录时间(如仅工作日 9:00-18:00)、无流量自动断开时间;
- 日志与跳转:记录访问日志、登录后自动跳转到指定资源页面;
- 账号有效期:设置账号失效时间(如临时员工 3 个月)。
六、关键注意事项
- 证书安全:服务器证书需由可信 CA 签发,防止公钥被篡改(中间人攻击);
- 接入限制:Web 接入不可新窗口输入内网地址,需点击改写后的链接;TCP/L3VPN 需安装对应控件 / 虚拟网卡;
- 终端安全:启用客户端安全检查(如主机是否装杀毒软件),禁止不安全终端接入;
- 日志审计:定期查看访问日志,排查异常访问(如非工作时间登录、访问未授权资源)。