HCNA 第十章 SSL VPN技術(shù)V2.0課件

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC110310010華為防火墻V300R001V2.0開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）陳靈光2011.7余雷第一版王銳2013.4余雷第二版本頁不打印第十章SSL VPN技術(shù)目標(biāo)學(xué)完本課程后，您將能夠:了解SSL VPN的技術(shù)原理 熟悉SVN產(chǎn)品的基本功能和特性掌握SSL VPN配置方法目錄SSL VPN概述SSL VPN技術(shù)SSL VPN應(yīng)用場景分析SSL概述 SSL在TCP/IP協(xié)議棧中的位置I PTCPHTTPSSLI PTCPHTTPNot SecureSecureSSL VPN安全技術(shù)SSL協(xié)議從以下方面確保了數(shù)據(jù)通信

2、的安全傳統(tǒng)VPN存在的問題目錄SSL VPN概述SSL VPN技術(shù)SSL VPN應(yīng)用場景分析SSL協(xié)議結(jié)構(gòu)應(yīng)用層協(xié)議SSL握手協(xié)議SSL密碼變化協(xié)議SSL警告協(xié)議SSL記錄協(xié)議TCPIPSSL上層協(xié)議介紹SSL協(xié)議過程通過3個元素來完成握手協(xié)議記錄協(xié)議警告協(xié)議SSL協(xié)議結(jié)構(gòu)HTTPRecord LayerTCPChange CipherAlertHand-shakeApplicationSecure Sockets LayerSSL 握手協(xié)議第一階段客戶端首先發(fā) Client Hello消息到服務(wù)器端，服務(wù)器端收到hello消息后再發(fā)Server hello消息回應(yīng)客戶端?？蛻舳朔?wù)器Clie

3、ntHelloServerHelloSSL 握手協(xié)議第二階段服務(wù)器向客戶端發(fā)送消息。Certificate*Certificate Request*ServerHelloDoneServer Key Exchange*客戶端服務(wù)器SSL 握手協(xié)議第四階段完成握手協(xié)議，建立SSL 連接。ChangeCipherSpecFinishedChange Cipher SpecFinished客戶端服務(wù)器SSL原理會話恢復(fù)會話恢復(fù)是指只要客戶端和服務(wù)器已經(jīng)通信過一次，它們就可以通過會話恢復(fù)的方式來跳過整個握手階段而直接進(jìn)行數(shù)據(jù)傳輸。SSL采用會話恢復(fù)的方式來減少SSL握手過程中造成的巨大開銷。Clien

4、tServerClientHelloServerHelloChangeCipherSpecFinishedChangeCipherSpecFinishedSSL VPN功能技術(shù)介紹SVN安全接入網(wǎng)關(guān)用戶安全控制完善的日志功能網(wǎng)絡(luò)擴(kuò)展Web代理可靠性文件共享可靠性端口代理可靠性領(lǐng)先的虛擬網(wǎng)關(guān)USG系列設(shè)備虛擬網(wǎng)關(guān)USG防火墻通過虛擬網(wǎng)關(guān)提供SSL VPN服務(wù)部門A員工部門B員工USG部門B部門 AUSG BUSG A整合了多種功能的虛擬SSL VPN網(wǎng)關(guān)Web代理實(shí)現(xiàn)對內(nèi)網(wǎng)Web資源的安全訪問Web代理實(shí)現(xiàn)了無客戶端的頁面訪問Web代理有兩種實(shí)現(xiàn)方式： Web-link和Web改寫USGWEB服

5、務(wù)器遠(yuǎn)程用戶文件共享提供對內(nèi)網(wǎng)文件系統(tǒng)的安全訪問采用協(xié)議轉(zhuǎn)換技術(shù)，無需安裝專用客戶端，直接通過通用瀏覽器安全接入內(nèi)部文件系統(tǒng)；將客戶發(fā)起的文件共享請求轉(zhuǎn)換成相應(yīng)的協(xié)議格式，與服務(wù)器進(jìn)行交互支持：SMB協(xié)議（Windows）NFS協(xié)議（LINUX）新 建文件夾瀏覽文件下載文件改 名文件(夾)刪 除文件(夾)上傳文件支持Windows(SMB)/UNIX(NFS)文件文件共享應(yīng)用特點(diǎn)就像操作本機(jī)文件系統(tǒng)一樣安全便捷！Success factors所有文件接入需要認(rèn)證所有文件傳輸采用SSL加密文件級的訪問權(quán)限控制SVN增加額外的訪問控制文件共享當(dāng)然，Ctrl+C等組合鍵無法使用。端口轉(zhuǎn)發(fā)提供豐富的內(nèi)

6、網(wǎng)TCP應(yīng)用服務(wù)廣泛支持靜態(tài)端口的TCP應(yīng)用單端口單服務(wù)器（如：Telnet，SSH，MS RDP，VNC等）單端口多服務(wù)器（如： Lotus Notes）多端口多服務(wù)器（如： Outlook ）支持動態(tài)端口的TCP應(yīng)用動態(tài)端口（如： FTP，Oracle）提供端口級的訪問控制端口轉(zhuǎn)發(fā)應(yīng)用特點(diǎn)P123456端 口 轉(zhuǎn) 發(fā)實(shí)現(xiàn)對內(nèi)網(wǎng)TCP應(yīng)用的廣泛支持遠(yuǎn)程桌面、Outlook、Notes、FTP、SSH等所有數(shù)據(jù)流都經(jīng)過加密認(rèn)證對用戶進(jìn)行統(tǒng)一的授權(quán)、認(rèn)證提供對TCP應(yīng)用的訪問控制只需標(biāo)準(zhǔn)瀏覽器，不用安裝客戶端保證TCP應(yīng)用的安全性、可靠性，提供方便快捷的操作、管理方式！網(wǎng)絡(luò)擴(kuò)展實(shí)現(xiàn)對內(nèi)網(wǎng)所有復(fù)雜

7、應(yīng)用的全網(wǎng)訪問通過建立安全SSL隧道，實(shí)現(xiàn)對基于IP的內(nèi)網(wǎng)業(yè)務(wù)的全面訪問實(shí)現(xiàn)方式：ActiveX控件；專用客戶端軟件：一次安裝，零配置；訪問方式全路由模式（Full Tunnel）分離模式（Split Tunnel ）手動模式（Manual Tunnel ） 網(wǎng)絡(luò)擴(kuò)展實(shí)現(xiàn)過程在客戶端下載控件，安裝虛擬網(wǎng)卡，虛擬網(wǎng)卡獲得一個可被內(nèi)網(wǎng)識別的IP地址；客戶端發(fā)起基于IP的內(nèi)網(wǎng)應(yīng)用，虛擬網(wǎng)關(guān)截獲報文進(jìn)行封裝加密，發(fā)往USG防火墻；USG防火墻對報文解密后發(fā)往內(nèi)網(wǎng)服務(wù)器；內(nèi)網(wǎng)服務(wù)器的響應(yīng)報文發(fā)到USG防火墻，由USG防火墻進(jìn)行封裝加密，發(fā)往客戶端。Client0Server000虛擬網(wǎng)卡0000000源

8、IP目的IP源IP目的IP原始報文虛擬網(wǎng)卡封裝后Full Tunnel 全路由模式Internet總部內(nèi)網(wǎng)資源全通道方式,所有流量都流向網(wǎng)關(guān)SSL VPN隧道LANSplit Tunnel 分離模式Internet總部內(nèi)網(wǎng)資源LAN分離通道方式：除了可以訪問內(nèi)網(wǎng)，還能夠訪問客戶端所在的本地子網(wǎng)。SSL VPN隧道Manual Tunnel手動模式Internet總部內(nèi)網(wǎng)資源LAN自定義方式：能夠訪問內(nèi)網(wǎng)特定網(wǎng)段的資源，同時，客戶端訪問本地子網(wǎng)和Internet的操作不受影響。SSL VPN隧道認(rèn)證授權(quán)認(rèn)證授權(quán)：VPNDB 認(rèn)證授權(quán)第三方服務(wù)器認(rèn)證授權(quán)（Radius、LDAP、AD、SecurI

9、D）數(shù)字證書認(rèn)證（X.509 / USB Key + X.509）短信輔助認(rèn)證Internet遠(yuǎn)程訪問Web服務(wù)器OA服務(wù)器文件服務(wù)器認(rèn)證服務(wù)器完善的日志功能日志導(dǎo)出虛擬網(wǎng)關(guān)管理員日志用戶日志系統(tǒng)日志日志查詢SSL VPN功能總結(jié)ERPWebE-mail 網(wǎng)絡(luò)擴(kuò)展 IPSec VPN文件共享端口轉(zhuǎn)發(fā)Web代理Web訪問文件訪問Notes、Telnet 等TCP應(yīng)用其他復(fù)雜業(yè)務(wù)SVNIPSec VPNSSL VPN目錄SSL VPN概述SSL VPN技術(shù)SSL VPN應(yīng)用場景分析SSL VPN應(yīng)用場景典型網(wǎng)絡(luò)位置SSL VPN網(wǎng)關(guān)多部署于企業(yè)的網(wǎng)絡(luò)出入口，應(yīng)用服務(wù)器之前，介于遠(yuǎn)程用戶和服務(wù)器之間

10、，控制兩者的通信。遠(yuǎn)程維護(hù)合作伙伴移動辦公分支機(jī)構(gòu)WEB服務(wù)器數(shù)據(jù)庫Email企業(yè)總部加密的內(nèi)外連接標(biāo)準(zhǔn)的內(nèi)部連接NFSERP客戶USGSSL VPN 單臂組網(wǎng)模式應(yīng)用場景分析單臂和雙臂組網(wǎng)的方式，多用于SVN設(shè)備，SVN單臂掛接在防火墻、路由器或交換機(jī)上，內(nèi)網(wǎng)和Internet 都通過這個網(wǎng)口與SVN進(jìn)行通信，這種模式稱為單臂模式。WEB服務(wù)器數(shù)據(jù)庫Email公司總部加密的內(nèi)外連接標(biāo)準(zhǔn)的內(nèi)部連接ERPAAA遠(yuǎn)程維護(hù)合作伙伴移動辦公分支機(jī)構(gòu)客戶SVNSSL VPN 雙臂組網(wǎng)模式應(yīng)用場景分析SVN 雙臂掛接在防火墻、路由器或交換機(jī)上。內(nèi)網(wǎng)和Internet 都通過不同的網(wǎng)口與SVN進(jìn)行通信，這種

11、模式稱為雙臂模式。EmailERPAAA公司總部數(shù)據(jù)庫WEB 服務(wù)器合作伙伴移動辦公分支機(jī)構(gòu)遠(yuǎn)程維護(hù)客戶SVN加密的內(nèi)外連接標(biāo)準(zhǔn)的內(nèi)部連接SSL VPN應(yīng)用運(yùn)營商IDC應(yīng)用企業(yè)客戶A企業(yè)客戶BInternetSSL VPN圖例：IDC企業(yè)客戶CIDSFWSSL VPN企業(yè)A托管服務(wù)器群企業(yè)B托管服務(wù)器群企業(yè)C托管服務(wù)器群SW虛擬防火墻虛擬SSL VPN網(wǎng)關(guān)在SVN上啟用Web網(wǎng)管功能配置步驟：配置接口IP地址綁定Web網(wǎng)管和IP地址，并綁定使用的端口。運(yùn)行網(wǎng)絡(luò)瀏覽器程序，在地址欄鍵入SVN Web網(wǎng)管的IP地址，格式為“https:/x.x.x.x:port”，回車，進(jìn)入Web網(wǎng)管登陸頁面。在

12、Web網(wǎng)管登錄頁面中輸入用戶名和密碼，登錄SVN。虛擬網(wǎng)關(guān)配置及相關(guān)參數(shù)登錄到USG防火墻的Web管理頁面后，選擇“VPN SSL VPN 虛擬網(wǎng)關(guān)管理”，新建虛擬網(wǎng)關(guān)。Web代理訪問實(shí)例（一）在“虛擬網(wǎng)關(guān)列表”導(dǎo)航樹上單擊“Web代理”，進(jìn)入配置頁面。Web代理訪問實(shí)例（二）點(diǎn)擊某一鏈接，能夠看到該鏈接對應(yīng)的web頁面：訪問子頁面文件共享訪問實(shí)例（一）在“虛擬網(wǎng)關(guān)列表”導(dǎo)航樹上單擊“文件共享”，進(jìn)入配置頁面。文件共享應(yīng)用實(shí)例（二）在客戶端頁面上看到的文件共享資源列表：點(diǎn)擊文件共享列表中的某一資源，需要輸入用戶名、密碼、域，提交文件服務(wù)器進(jìn)行用戶認(rèn)證：文件共享應(yīng)用舉例（三）看到該共享文件夾下的

13、資源列表：文件共享應(yīng)用舉例（四）瀏覽文件：端口轉(zhuǎn)發(fā)應(yīng)用舉例（一）在“虛擬網(wǎng)關(guān)列表”導(dǎo)航樹上單擊“端口轉(zhuǎn)發(fā)”，進(jìn)入配置頁面。端口轉(zhuǎn)發(fā)訪問實(shí)例（二）點(diǎn)擊端口轉(zhuǎn)發(fā)“啟動”按鈕，啟用端口轉(zhuǎn)發(fā)服務(wù)：端口轉(zhuǎn)發(fā)訪問實(shí)例（三）可采用端口轉(zhuǎn)發(fā)對配置的資源進(jìn)行訪問。舉例- telnet網(wǎng)絡(luò)擴(kuò)展訪問實(shí)例（一）在網(wǎng)管頁面上可配置客戶端IP分配方式以及客戶端路由方式。網(wǎng)絡(luò)擴(kuò)展訪問實(shí)例（二）點(diǎn)擊網(wǎng)絡(luò)擴(kuò)展啟動按鈕，啟動網(wǎng)絡(luò)擴(kuò)展功能。網(wǎng)絡(luò)擴(kuò)展啟動成功后，在電腦任務(wù)欄上會提示網(wǎng)絡(luò)擴(kuò)展已啟動。網(wǎng)絡(luò)擴(kuò)展訪問實(shí)例（三）查看PC 機(jī)的IP地址，已經(jīng)分配到了地址池中的地址。此時，可以開始使用網(wǎng)絡(luò)擴(kuò)展功能訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)擴(kuò)展訪問實(shí)例（四）應(yīng)用實(shí)例 FTP：應(yīng)用實(shí)例登錄遠(yuǎn)程桌面，瀏覽內(nèi)網(wǎng)視頻文件VPNDB應(yīng)用實(shí)例（一）在虛擬網(wǎng)