SSL VPN概述
SSL VPN是一种远程安全接入技术,因为采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议,使得SSL VPN可以做到“无客户端”部署,从而使得远程安全接入的使用非常简单,而且整个系统更加易于维护。
SSL VPN一般采用插件系统来支持各种TCP和UDP的非Web应用,使得SSL VPN真正称得上是一种VPN,并相对IPSec VPN更符合应用安全的需求,成为远程安全接入主要手段和选择。
SSL协议
SSL协议主要通过三个协议实现:
SSL握手协议:SSL握手协议被封装在记录协议中,该协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建立SSL连接时,服务器与客户机交换一系列消息。
SSL修改密文协议:保障SSL传输过程的安全性,客户端和服务器双方应该每隔一段时间改变加密规范。
SSL报警协议:SSL报警协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。
SSL握手协议
SSL连接的建议,主要依靠SSL握手协议,简短的一句话就可以概括SSL握手协议的基本设计思路:采用公钥加密算法进行密文传输。也就是说,服务端将其公钥告诉客户端,然后客户端采用服务器的公钥加密信息,服务端收到密文后,用自己的私钥解密。
公钥加密算法又称非对称加密算法,其工作原理如下:
(1)客户端A要向服务器B发送消息,B要产生一对用户加密和解密的公钥和私钥。
(2)B的私钥自己保存,B的公钥告诉A。
(3)A要给B发送信息时,用B的公钥加密信息,因为A知道B的公钥。
(4)B收到这个信息后,用自己的私钥解密。其他所有收到这个报文的人都无法解密,因为只有B有自己的私钥
(5)B要给A发送消息时,也同理用A的公钥加密,A用自己的私钥解密。
SSL VPN技术优势
SSL VPN配置
SSL VPN授权
SSL VPN用户数:SSL VPN并发接入用户数授权
IPSec移动用户数:SANGFOR VPN移动端PDLAN并发用户数授权
线路数:外网WAN口线路数授权
分支机构数:与第三方设备对接标准IPSEC VPN隧道数
SSL VPN基础配置
1、创建用户(根据实际应用场景,选择用户的认证方式,也可多重认证方式组合认证)
2、发布资源(根据需求发布成所需类型,资源类型有WEB类型、TCP类型、L3VPN类型三种类型)
3、创建角色(角色的作用是将用户跟资源关联起来,其效果是让用户具有访问哪些资源的权限)
测试效果:
用户张三接入VPN后具备访问ERP系统的权限,除了访问此资源,其他资源都没有权限访问。
SSL保护的是应用层的数据,可以针对某个应用做具体保护。
IPSec针对的是整个网络层,无法做精细化控制。
在SSL 出现之前,IPSec、L2TP等先期出现的技术虽然可以支持远程接入这个应用场景,但这些技术存在缺陷:
- 远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦。
- IPSec/L2TP的配置繁琐。
- 网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制。
