写在前面

注意根据笔记中的缩进判断该文本所在层级。

网络空间安全实训-网络安全技术

• SSL VPN

  • SSL协议

    • 定义：一种应用层的安全保护技术

    • 工作流程

      • 1.客户端与服务器通过三次握手建立TCP连接

      • 2.客户端向服务器发送Client-Hello信息，消息中包含希望访问的主机名，本机支持的所有加密算法版本

      • 3.服务器收到Client-Hello消息后，挑选出一个双方都支持的加密算法的最高版本，通过Server-Hello消息发送给客户端

      • 4.客户端向服务器发送证书索要请求

        • 为了获取对端的公钥

        • 为了验证对方身份的真伪

      • 5.服务器将数字证书发送给客户端

      • *服务器向客户端发送证书索要请求

      • *客户端向服务器发送数字证书

      • 6.客户端与服务器在非对称加密的保护下协商保护数据传输的密钥

      • 7.客户端与服务器在对称加密的保护下进行HTTP数据传输

  • SSL VPN

    • 定义：基于SSL协议保护和传输的VPN

    • 优点

      • 所有浏览器天然支持SSL，用户连接SSL VPN可做到无需客户端，通过浏览器直接接入

      • 基于应用层的安全防护，安全程度更高

      • 权限控制粒度细，更利于安全策略的安全性

  • 配置步骤

    • 1.创建SSL VPN网关

      • 设置用户访问SSL VPN的IP地址和端口号

    • 2.创建访问实例

      • 关联上一步创建的网关

      • 开启访问实例

      • ISP认证域设置为默认system方案，开启密码认证

      • 选择业务类型

        • Web业务

          • 特点

            • 只支持发布基于浏览器访问的资源，以协议代理的方式使远程用户可以访问该资源

            • 优点：Web代码解析由VPN设备完成，可以避免客户端浏览器不兼容某些代码而无法访问某些功能的场景

            • 缺点：协议代理比较消耗设备性能，一般不建议使用

          • 配置方式

            • 填写要发布的网站的内网IP地址和端口

        • TCP业务

          • 特点

            • 支持发布所有基于TCP的资源和服务，在客户端本地通过工具以端口转发的方式实现远程TCP访问

            • 优点：支持所有TCP类型的服务，资源消耗较小

            • 缺点：不支持基于UDP和ICMP的服务，需要在客户端安装插件

          • 配置方式

            • 配置客户端的IP地址和某个代理端口对应内网服务器的IP地址和服务端口

        • IP业务

          • 特点

            • 在客户端上安装一块虚拟网卡，给网卡分配一个虚拟IP地址，并在客户端上自动产生到达内网服务器的静态路由，下一条为虚拟地址

            • 优点：支持发布所有的资源类型

            • 缺点：需要在客户端上安装虚拟网卡

          • 配置方式

            • 创建VPN的虚拟接口，配置虚拟接口的IP地址

            • 创建并引用客户端的虚拟地址池，与虚拟接口的地址属于同一网段

            • 创建内部服务器的子网资源

      • 关联资源组

    • 3.创建用户，选择服务为SSL VPN，并设置SSL VPN访问实例