1. SSL工作过程是什么?
第一阶段:
客户端发送client hello消息到服务端,服务端收到client hello消息后,再发送server hello消息到客户端。
第二阶段:
服务器的证书,用于客户端给客户端发送信息时加密
server key exchange服务端密钥交换:决定密钥交换的方式,比如 DH,RSA ,会包含密钥交换所需的一系列参数。
第三阶段:
sever key exchange客户端密钥交换:根据服务端随机数算出一个 pre-master ,发给服务器,服务器收到后根据pre-master 密钥生成一个 main-matser 。
第四阶段:
2. SSL预主密钥有什么作用?
预主密钥会结合着客户端随机数和服务端随机数一起生成一个主密钥,主密钥会产生共享密钥、HMAC认证秘钥和初始化向量
3. SSL VPN主要用于那些场景?
虚拟网关技术:SSL VPN的每个虚拟网关可以独立管理,可以配置各自的资源、用户、认证方式以及管理员,并且相互隔离。
WEB代理技术:实现对内网web的访问,内网资源只有私网地址,在不做nat的情况下,可以通过SSL VPN实现对其代理的安全访问。
文件共享:协议转换技术,无需客户端,直接通过浏览器安全访问转换为内网文件共享的相应协议格式。
端口转发:
(1)提供内网的TCP访问,C/S资源
(2)提供丰富的静态端口的TCP应用
(3)动态端口的TCP应用提供端口级访问控制
网络拓展:
4. SSL VPN的实现方式有哪些?详细说明
(1)SSL Portal VPN:也称为WebVPN,通过浏览器提供远程访问应用和资源的方式。用户通过浏览器登录到SSL VPN门户网站,然后可以通过门户网站提供的应用程序代理或文件共享等功能,安全地访问内部网络资源。此方式通常使用基于Web的SSL VPN客户端。
(2)SSL Tunnel VPN:也称为Network-Level VPN,通过SSL VPN客户端在本地设备上创建一个安全隧道来连接到企业内部网络。用户需事先下载SSL VPN客户端,并使用认证凭证登录该客户端。SSL VPN客户端将本地设备与远程VPN服务器之间建立安全连接,使用户可以像在本地网络中一样访问内部资源。
5. SSL VPN客户端安全要求有哪些?
(1)主机检查:杀毒软件检查、防火墙设置检查 、注册表检查、端口检查、进程检查、操作系统检查
(2)缓存清除: internet 临时文件、浏览器自动保存密码、cookie记录、浏览器访问历史记录收回站和最近打开的文、指定文件或者文件夹
(3)认证授权: vpndb 认证授权、 第三方服务认证授权、 数字证书的认证、 短信辅助认证
6. SSL VPN的实现,防火墙需要放行哪些流量?
(1)SSL/TLS流量(通常使用TCP协议):SSL VPN通过SSL/TLS协议进行加密和身份验证。防火墙需要允许SSL VPN流量通过,以确保用户可以建立与SSL VPN服务器的安全连接。
(2)VPN协议流量:SSL VPN使用特定的VPN协议进行通信,例如OpenVPN,Cisco AnyConnect等。防火墙需要配置规则,允许相应的VPN协议流量通过。
(3)DNS流量:SSL VPN客户端可能需要进行DNS查询,以解析主机名和域名。防火墙需要允许SSL VPN客户端的DNS流量通过,以便进行正常的名称解析。
(4)认证流量:SSL VPN客户端与认证服务器之间会有认证流量传输,用于验证用户身份。防火墙需要允许此流量通过,以确保用户能够成功进行身份验证。
(5)内部网络资源流量:一旦SSL VPN连接建立成功,用户将能够访问内部网络资源,如文件共享、数据库等。防火墙需要根据组织策略,允许SSL VPN用户访问特定的内部网络资源。
(6)更新和维护流量:SSL VPN客户端可能需要进行更新和维护操作,以获取最新的安全补丁或软件功能。防火墙需要允许相应的流量通过,以确保SSL VPN客户端能够及时更新。