VPN 的技术原理是什么?
阅读本文大概需要 5 分钟。
来自:程序IT圈
SSL VPN技术
IPSec缺陷
SSL VPN功能技术
虚拟网关
WEB代理
Web-link采用ActiveX控件方式,对页面进行转发。 Web改写方式采用脚本改写方式,将请求所得页面上的链接进行改写,其他网页内容不作修改。
文件共享
客户端向内网文件服务器发起HTTPS格式的请求,发送到USG防火墙。 USG防火墙将HTTPS格式的请求报文转换为SMB格式的报文。 USG防火墙发送SMB格式的请求报文给文件服务器。 文件服务器接受请求报文,将请求结果发送给USG防火墙,用的是SMB报文。 USG防火墙将SMB应答报文转换为HTTPS格式。 将请求结果(HTTPS格式的报文)发送到客户端。
端口转发
单端口单服务器(如:Telnet,SSH,MS RDP, VNC等)。
单端口多服务器(如:Lotus Notes)。
多端口多服务器(如:Outlook)。
动态端口(如:FTP,Oracle)。
实现对内网TCP应用的广泛支持。 远程桌面、outlook、Notes、FTP等。 所有数据流都经过加密认证。 对用户进行统一的授权、认证。 提供对TCP应用的访问控制。 只需标准浏览器,不用安装客户端。
网络扩展
分离模式:用户可以访问远端企业内网(通过虚拟网卡)和本地局域网(通过实际网卡),不能访问Internet。
全路由模式:用户只允许访问远端企业内网(通过虚拟网卡),不能访问Internet和本地局域网。
手动模式:用户可以访问远端企业内网特定网段的资源(通过虚拟网卡),对其它Internet和本地局域网的访问不受影响(通过实际网卡)。网段冲突时优先访问远端企业内网。
终端安全
杀毒软件检查 防火墙检查 注册表检查 文件检查 端口检查 进程检查 操作系统检查
Internet临时文件
浏览器自动保存的密码
Cookie记录
浏览器的访问历史记录
回收站和最近打开的文档列表
指定文件或文件夹
完善的日志功能
日志查询
日志导出
虚拟网关管理员日志
用户日志
系统日志
认证授权
证书匿名认证
如果网关引用的CA证书与客户端证书是同一个CA机构颁发的,且客户端证书在有效期内,则证书模块认为客户端证书可信,用户认证通过,继续执行4。
如果证书模块认为客户端证书不可信,用户认证不通过,则执行5。
网关会从自己的角色授权列表中查找用户所属角色从而确认此用户的业务权限。
证书挑战认证
证书+本地用户名密码
证书+服务器认证
SSL VPN应用场景
SSL VPN单臂组网模式应用场景分析
SSLVPN双臂组网模式应用场景分析
在此类组网环境中,SVN使用两个不同的网口连接外网与内网,这种组网方式下,具有清晰的内网、外网概念;无需做额外的配置,外网口对应虚拟网关IP,内网口配置内网管理IP。
虛拟网关IP不一定需要经过NAT转换,只要外网用户能够访问此虚拟网关IP地址即可。内外网接口没有特定的物理接口,任何一个物理接口都可以作为内网或外网接口。
图中路由器和交换机之间处于连接状态。这是因为客户网络中可能有部分应用不需要经过SSL加密,而是直接通过防火墙访问外网。这时就需要在交换机和路由器.上配置策略路由,需要建立SSLVPN的流量就转发到SVN上,而普通的应用就直接通过防火墙访问外网。
SSL VPN配置步骤
放行Untrust到L ocal安全区域的SSL VPN流量。
放行Local到Trust安全区域的业务流量。
ensp将防火墙该功能阉割
推荐阅读:
内容包含Java基础、JavaWeb、MySQL性能优化、JVM、锁、百万并发、消息队列、高性能缓存、反射、Spring全家桶原理、微服务、Zookeeper......等技术栈!
⬇戳阅读原文领取! 朕已阅