溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

淺析:華為的SSL

發布時間:2020-08-06 05:58:34 來源:網絡 閱讀:298 作者:默者Zero 欄目:安全技術

才發現V/P/N 會被屏蔽。。。下面的3個星號代表的就是這個
優點:
最直接的優點是無需客戶端,可以直接通過web界面進行連接(web界面上你使用相應的功能會幫你安裝對應的插件)/技術優點:封裝在TCP/IP 的4層以上,不受NAT的影響
適用的場景:
點到站點(point to site),只需要一端有公網IP地址/端口,另一端可以是私網地址,實際場景:在外出差的員工訪問公司內網資源
需要根據不同的用戶做限制,可以使用SSL-×××的多個虛擬網關,實現訪問隔離
SSL-×××的會話建立過程:
初次建立:

初次建立需要使用到13個報文交互。
已經建立過了,會話恢復只需要6個包:

再次建立就減少了鏈路開銷。

SSL-×××提供的功能:

  1. Web 代理:
    a. web代理有2種模式:web 改寫/web link
    i. web代理:提供了加密功能:能將將真實要訪問的URL加密成亂碼,從而實現了隱藏內部真實的URL,提供了安全性/適配終端:可以將頁面改寫從而適配類如安卓/電腦終端等
    ii. Web link :只是簡單的一個代理轉發功能,不做其他的處理,所帶來的優點就是它的轉發處理速度快于web 改寫
    Web 代理的功能主要是提供了×××終端用戶訪問內部的web站點的能力
  2. 文件共享:基于本人淺薄的了解,就是在文件共享業務中提供了簡單的文件協議轉換的功能:SSL-×××服務器端將客戶端發送過來的HTTPS請求轉換為SMB協議請求報文(對應windows系統)/NFS協議請求報文(對應Linux系統)發往文件共享服務器,從而實現在web界面上可以訪問遠程文件的功能

  3. 端口代理:端口代理簡單地說就是:服務器端會給客戶端分配已設置好的對應IP要轉發的端口(比如說X),當客戶端要訪問這個IP與端口時,本地會經過處理后添加私有報文頭,再發往服務器端,服務器端拆封裝解密后再發給內網服務器。
    端口代理可以實現基于TCP協議的應用服務
    類如使用靜態端口的SSH/Telnet/遠程桌面的需求,同時也能實現使用動態端口的類如FTP被動模式/Oracle
    下圖為原理圖:

  4. 網絡擴展:
    網絡擴展就厲害了。。。它就相當于給了你一個子網IP,讓你可以通過建立起來的SSL-×××隧道去訪問內網的全部資源(這個時候終端相當于一部內網的主機)
    它的數據包轉發路徑其實是:首先,一個去往子網的包匹配到走向虛擬網卡,虛擬網卡收到后進行封裝加密,再轉發向本地實際網卡,實際網卡再根據路由表轉發出去(此時的包3層為IP層,4層以上的SSL封裝中哈有1段3層IP層為內網IP)。這其實就已經是常規×××的包的模式了:嵌套多層三層。
    下圖為原理圖:

        i. 啟動網絡擴展功能,會觸發以下幾個動作:
        ii. 遠程用戶與虛擬網關之間會建立一條SSL ×××隧道。
        iii. 遠程用戶本地PC會自動生成一個虛擬網卡。虛擬網關從地址池中隨機選擇一個IP地址,分配給遠程用戶的虛擬網卡,該地址作為遠程用戶與企業內網Server之間通信之用。有了該私網IP地址,遠程用戶就如同企業內網用戶一樣可以方便訪問內網IP資源。
        iv. 虛擬網關向遠程用戶下發到達企業內網Server的路由信息。

    虛擬網關會根據網絡擴展業務中的配置,向遠程用戶下發不同的路由信息。
    v. 遠程用戶向企業內網的Server發送業務請求報文,該報文通過SSL ×××隧道到達虛擬網關。
    vi. 虛擬網關收到報文后進行解封裝,并將解封裝后的業務請求報文發送給內網Server。
    vii. 內網Server響應遠程用戶的業務請求。
    viii. 響應報文到達虛擬網關后進入SSL ×××隧道。
    遠程用戶收到業務響應報文后進行解封裝,取出其中的業務響應報文。
    網絡擴展其實還有3種模式:
    i. 全路由模式:全部數據包都走向虛擬網卡,由虛擬網關進行轉發
    ii. 分離模式:數據包與本地實際網卡非同一網段的都走向虛擬網卡,賦予虛擬IP,這就導致除了與實際網卡同一網段的本地資源都不能訪問:因為被賦予的是虛擬IP,本地子網是沒有回程路由的;對端子網都能訪問
    iii. 手動模式:手動決定哪些子網是走向虛擬網卡,其他的仍然走向本地實際網卡
    我目前對華為的SSL-×××也就這些理解,目前在現網部署的話應該是夠了,畢竟這篇只是入門篇,我參考的資料也是華為NA級別的資料。SSL-×××在現網種算是部署比較多的了,如果真是一個項目/現網的部署,建議各位還是學習一下會比較好
    需要注意的一點是:這篇并不是實際部署操作步驟,是偏向原理向的。至于實際部署的話。。。我確實有實際部署的經驗,看看有沒有看客需求的,如果有的話我再做這方面的吧,畢竟華為給的文檔其實就能當大多數的模板了(我覺得應該比我做的標準。。。)
    PS:這篇是基于華為的USG6000系列防火墻所寫的;文中的截圖部分來自華為的產品文檔和教育機構的PPT
    淺析:華為的SSL

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

亚洲午夜精品一区二区_中文无码日韩欧免_久久香蕉精品视频_欧美主播一区二区三区美女