hcna-security cbsn v2.5培訓(xùn)與實驗手冊-帶備注hcsca109第九章ssl技術(shù)

修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHCSCA109USG6000V100R001C30V2.5開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）陳靈光2011.7余雷第一版王銳2013.4余雷第二版畢偉飛2015.3張浩優(yōu)化本頁不打印第九章

SSLVPN技術(shù)目標(biāo)學(xué)完本課程后，您將能夠:了解SSLVPN的技術(shù)原理熟悉SVN產(chǎn)品的基本功能和特性掌握SSLVPN配置方法目錄SSLVPN概述SSLVPN技術(shù)SSLVPN應(yīng)用場景分析SSL概述

SSL在TCP/IP協(xié)議棧中的位置IPTCPHTTPSSLIPTCPHTTPNotSecureSecureSSL與IPSec安全防護對比IPTCPAPP+DataIPSecIPTCPHTTPSSLSSLVPNIPSecVPNIPSSLVPN安全技術(shù)SSL協(xié)議從以下方面確保了數(shù)據(jù)通信的安全身份認(rèn)證完整性機密性傳統(tǒng)VPN存在的問題L2TP及撥號不安全撥號上網(wǎng)的額外費用撥號接入服務(wù)器端口限制缺少信息鑒別無基于應(yīng)用的訪問控制策略泄漏內(nèi)網(wǎng)IPMPLS不安全無用戶認(rèn)證無應(yīng)用授權(quán)無審計無加密無訪問控制造價高跨運營商互通互聯(lián)問題適用于大型企業(yè)內(nèi)網(wǎng)互聯(lián)IPSec客戶端管理費用高NAT問題安全風(fēng)險無基于應(yīng)用的用戶認(rèn)證授權(quán)審計SSLVPN技術(shù)優(yōu)勢無客戶端的便捷部署應(yīng)用層接入的安全保護企業(yè)延展的效率提升SSLVPN目錄SSLVPN概述SSLVPN技術(shù)SSLVPN應(yīng)用場景分析SSL協(xié)議結(jié)構(gòu)應(yīng)用層協(xié)議SSL握手協(xié)議SSL密碼變化協(xié)議SSL警告協(xié)議SSL記錄協(xié)議TCPIPSSL主要協(xié)議介紹SSL協(xié)議過程通過3個元素來完成握手協(xié)議記錄協(xié)議警告協(xié)議SSL協(xié)議結(jié)構(gòu)HTTPRecordLayerTCPChangeCipherAlertHand-shakeApplicationSecureSocketsLayerSSL原理—握手協(xié)議在用SSL進行通信之前，首先要使用SSL的HandShake協(xié)議在通信兩端握手，協(xié)商數(shù)據(jù)傳輸中要用到的相關(guān)安全參數(shù)（如加密算法、共享密鑰、產(chǎn)生密鑰所要的材料等），并對對端的身份進行驗證。ClientServerClientHelloServerHelloCertificate*CertificateRequest*ServerHelloDoneCertificate*ClientKeyExchangeCertificateVerify*ChangeCipherSpecFinishedChangeCipherSpecFinishedServerKeyExchange*⑴⑵⑶⑸⑷⑺⑹⑻⑼⑽⑾⑿⒀SSL握手協(xié)議第一階段客戶端首先發(fā)ClientHello消息到服務(wù)器端，服務(wù)器端收到hello消息后再發(fā)Serverhello消息回應(yīng)客戶端?？蛻舳朔?wù)器ClientHelloServerHelloSSL握手協(xié)議第二階段服務(wù)器向客戶端發(fā)送消息。Certificate*CertificateRequest*ServerHelloDoneServerKeyExchange*客戶端服務(wù)器SSL握手協(xié)議第三階段客戶端收到服務(wù)器發(fā)送的一系列消息并消化后，發(fā)送客戶端相應(yīng)的消息給服務(wù)器。Certificate*ClientKeyExchangeCertificateVerify*客戶端服務(wù)器SSL握手協(xié)議第四階段完成握手協(xié)議，建立SSL連接。ChangeCipherSpecFinishedChangeCipherSpecFinished客戶端服務(wù)器SSL原理—會話恢復(fù)會話恢復(fù)是指只要客戶端和服務(wù)器已經(jīng)通信過一次，它們就可以通過會話恢復(fù)的方式來跳過整個握手階段而直接進行數(shù)據(jù)傳輸。SSL采用會話恢復(fù)的方式來減少SSL握手過程中造成的巨大開銷。ClientServerClientHelloServerHelloChangeCipherSpecFinishedChangeCipherSpecFinished⑴⑵⑶⑸⑷⑹SSLVPN功能技術(shù)介紹SVN安全接入網(wǎng)關(guān)用戶安全控制完善的日志功能網(wǎng)絡(luò)擴展Web代理可靠性文件共享可靠性端口代理可靠性領(lǐng)先的虛擬網(wǎng)關(guān)USG系列設(shè)備虛擬網(wǎng)關(guān)USG防火墻通過虛擬網(wǎng)關(guān)提供SSLVPN服務(wù)部門A員工部門B員工USG部門B部門AUSGBUSGA整合了多種功能的虛擬SSLVPN網(wǎng)關(guān)Web代理實現(xiàn)對內(nèi)網(wǎng)Web資源的安全訪問Web代理實現(xiàn)了無客戶端的頁面訪問Web代理有兩種實現(xiàn)方式：Web-link和Web改寫USGWEB服務(wù)器遠(yuǎn)程用戶文件共享提供對內(nèi)網(wǎng)文件系統(tǒng)的安全訪問采用協(xié)議轉(zhuǎn)換技術(shù)，無需安裝專用客戶端，直接通過通用瀏覽器安全接入內(nèi)部文件系統(tǒng)；將客戶發(fā)起的文件共享請求轉(zhuǎn)換成相應(yīng)的協(xié)議格式，與服務(wù)器進行交互支持：SMB協(xié)議（Windows）NFS協(xié)議（LINUX）新建文件夾瀏覽文件下載文件改名文件(夾)刪除文件(夾)上傳文件支持Windows(SMB)/UNIX(NFS)文件文件共享實現(xiàn)過程以訪問內(nèi)網(wǎng)Windows文件服務(wù)器為例：客戶端向內(nèi)網(wǎng)文件服務(wù)器發(fā)起HTTPS格式的請求，發(fā)送到USG防火墻；USG防火墻將HTTPS格式的請求報文轉(zhuǎn)換為SMB格式的報文；USG防火墻發(fā)送SMB格式的請求報文給文件服務(wù)器。文件服務(wù)器接受請求報文，將請求結(jié)果發(fā)送給USG防火墻，用的是SMB報文；USG防火墻將SMB應(yīng)答報文轉(zhuǎn)換為HTTPS格式；將請求結(jié)果（HTTPS格式）發(fā)送到客戶端；文件服務(wù)器客戶端16SMB/NFSHTTPS43HTTPSSMB/NFS52文件共享應(yīng)用特點就像操作本機文件系統(tǒng)一樣安全便捷！Successfactors所有文件接入需要認(rèn)證所有文件傳輸采用SSL加密文件級的訪問權(quán)限控制SVN增加額外的訪問控制文件共享當(dāng)然，Ctrl+C等組合鍵無法使用。端口轉(zhuǎn)發(fā)提供豐富的內(nèi)網(wǎng)TCP應(yīng)用服務(wù)廣泛支持靜態(tài)端口的TCP應(yīng)用單端口單服務(wù)器（如：Telnet，SSH，MSRDP，VNC等）單端口多服務(wù)器（如：LotusNotes）多端口多服務(wù)器（如：Outlook）支持動態(tài)端口的TCP應(yīng)用動態(tài)端口（如：FTP，Oracle）提供端口級的訪問控制端口轉(zhuǎn)發(fā)實現(xiàn)原理USGTCP110TCP25TCP21TCP23應(yīng)用請求應(yīng)用代理CLIENTSERVERSSLInternet提供對內(nèi)網(wǎng)TCP應(yīng)用的安全接入！端口轉(zhuǎn)發(fā)應(yīng)用特點P123456端口轉(zhuǎn)發(fā)實現(xiàn)對內(nèi)網(wǎng)TCP應(yīng)用的廣泛支持遠(yuǎn)程桌面、Outlook、Notes、FTP、SSH等所有數(shù)據(jù)流都經(jīng)過加密認(rèn)證對用戶進行統(tǒng)一的授權(quán)、認(rèn)證提供對TCP應(yīng)用的訪問控制只需標(biāo)準(zhǔn)瀏覽器，不用安裝客戶端保證TCP應(yīng)用的安全性、可靠性，提供方便快捷的操作、管理方式！網(wǎng)絡(luò)擴展實現(xiàn)對內(nèi)網(wǎng)所有復(fù)雜應(yīng)用的全網(wǎng)訪問通過建立安全SSL隧道，實現(xiàn)對基于IP的內(nèi)網(wǎng)業(yè)務(wù)的全面訪問實現(xiàn)方式：ActiveX控件；專用客戶端軟件：一次安裝，零配置；訪問方式全路由模式（FullTunnel）分離模式（SplitTunnel）

手動模式（ManualTunnel）網(wǎng)絡(luò)擴展實現(xiàn)過程在客戶端下載控件，安裝虛擬網(wǎng)卡，虛擬網(wǎng)卡獲得一個可被內(nèi)網(wǎng)識別的IP地址；客戶端發(fā)起基于IP的內(nèi)網(wǎng)應(yīng)用，虛擬網(wǎng)關(guān)截獲報文進行封裝加密，發(fā)往USG防火墻；USG防火墻對報文解密后發(fā)往內(nèi)網(wǎng)服務(wù)器；內(nèi)網(wǎng)服務(wù)器的響應(yīng)報文發(fā)到USG防火墻，由USG防火墻進行封裝加密，發(fā)往客戶端。Client0Server000虛擬網(wǎng)卡0000000源IP目的IP源IP目的IP原始報文虛擬網(wǎng)卡封裝后FullTunnel－全路由模式Internet總部內(nèi)網(wǎng)資源全通道方式,所有流量都流向網(wǎng)關(guān)SSLVPN隧道LANSplitTunnel－分離模式Internet總部內(nèi)網(wǎng)資源LAN分離通道方式：除了可以訪問內(nèi)網(wǎng)，還能夠訪問客戶端所在的本地子網(wǎng)。SSLVPN隧道ManualTunnel－手動模式Internet總部內(nèi)網(wǎng)資源LAN自定義方式：能夠訪問內(nèi)網(wǎng)特定網(wǎng)段的資源，同時，客戶端訪問本地子網(wǎng)和Internet的操作不受影響。SSLVPN隧道認(rèn)證授權(quán)認(rèn)證授權(quán)：VPNDB認(rèn)證授權(quán)第三方服務(wù)器認(rèn)證授權(quán)（Radius、LDAP、AD、SecurID）數(shù)字證書認(rèn)證（X.509/USBKey+X.509）短信輔助認(rèn)證Internet遠(yuǎn)程訪問Web服務(wù)器OA服務(wù)器文件服務(wù)器認(rèn)證服務(wù)器完善的日志功能日志導(dǎo)出虛擬網(wǎng)關(guān)管理員日志用戶日志系統(tǒng)日志日志查詢SSLVPN功能總結(jié)ERPWebE-mail網(wǎng)絡(luò)擴展IPSecVPN文件共享端口轉(zhuǎn)發(fā)Web代理Web訪問文件訪問Notes、Telnet等TCP應(yīng)用其他復(fù)雜業(yè)務(wù)SVNIPSecVPNSSLVPN目錄SSLVPN概述SSLVPN技術(shù)SSLVPN應(yīng)用場景分析SSLVPN應(yīng)用場景—典型網(wǎng)絡(luò)位置SSLVPN網(wǎng)關(guān)多部署于企業(yè)的網(wǎng)絡(luò)出入口，應(yīng)用服務(wù)器之前，介于遠(yuǎn)程用戶和服務(wù)器之間，控制兩者的通信。遠(yuǎn)程維護合作伙伴移動辦公分支機構(gòu)WEB服務(wù)器數(shù)據(jù)庫Email企業(yè)總部加密的內(nèi)外連接標(biāo)準(zhǔn)的內(nèi)部連接NFSERP客戶USGSSLVPN單臂組網(wǎng)模式應(yīng)用場景分析單臂和雙臂組網(wǎng)的方式，多用于SVN設(shè)備，SVN單臂掛接在防火墻、路由器或交換機上，內(nèi)網(wǎng)和Internet都通過這個網(wǎng)口與SVN進行通信，這種模式稱為單臂模式。WEB服務(wù)器數(shù)據(jù)庫Email公司總部加密的內(nèi)外連接標(biāo)準(zhǔn)的內(nèi)部連接ERPAAA遠(yuǎn)程維護合作伙伴移動辦公分支機構(gòu)客戶SVNSSLVPN雙臂組網(wǎng)模式應(yīng)用場景分析SVN雙臂掛接在防火墻、路由器或交換機上。內(nèi)網(wǎng)和Internet都通過不同的網(wǎng)口與SVN進行通信，這種模式稱為雙臂模式。EmailERPAAA公司總部數(shù)據(jù)庫WEB服務(wù)器合作伙伴移動辦公分支機構(gòu)遠(yuǎn)程維護客戶SVN加密的內(nèi)外連接標(biāo)準(zhǔn)的內(nèi)部連接SSLVPN應(yīng)用—運營商IDC應(yīng)用企業(yè)客戶A企業(yè)客戶BInternetSSLVPN圖例：…IDC企業(yè)客戶CIDSFWSSLVPN企業(yè)A托管服務(wù)器群企業(yè)B托管服務(wù)器群企業(yè)C托管服務(wù)器群SW虛擬防火墻虛擬SSLVPN網(wǎng)關(guān)通過Web方式登錄到NGFW防火墻設(shè)備缺省可以通過GigabitEthernet0/0/0接口來登錄Web界面。將管理員PC的網(wǎng)絡(luò)連接的IP地址獲取方式設(shè)置為“自動獲取IP地址”。將PC的以太網(wǎng)口與設(shè)備的缺省管理接口直接相連，或者通過交換機中轉(zhuǎn)相連。在PC的瀏覽器中訪問，進入Web界面的登錄頁面。缺省用戶名為admin，密碼為Admin@123虛擬網(wǎng)關(guān)配置及相關(guān)參數(shù)登錄到USG防火墻的Web管理頁面后，選擇“網(wǎng)絡(luò)>SSLVPN>SSLVPN”，新建虛擬網(wǎng)關(guān)。Web代理訪問實例-1在“SSLVPN配置”導(dǎo)航樹上單擊“Web代理”，進入配置頁面。在“Web代理資源”中，單擊“新建”。Web代理訪問實例-2點擊某一鏈接，能夠看到該鏈接對應(yīng)的web頁面：訪問子頁面文件共享訪問實例-1在“SSLVPN配置”導(dǎo)航樹上單擊“文件共享”，進入配置頁面。在文件共享資源管理列表中，點擊“新建”。文件共享訪問實例-2在客戶端頁面上看到的文件共享資源列表：點擊文件共享列表中的某一資源，需要輸入用戶名、密碼、域，提交文件服務(wù)器進行用戶認(rèn)證：文件共享訪問實例-3看到該共享文件夾下的資源列表：文件共享訪問實例-4瀏覽文件：端口轉(zhuǎn)發(fā)訪問實例-1在“SSLVPN配置”導(dǎo)航樹上單擊“端口轉(zhuǎn)發(fā)”，進入配置頁面。在端口轉(zhuǎn)發(fā)資源列表中，點擊“新建”。端口轉(zhuǎn)發(fā)訪問實例-2點擊端口轉(zhuǎn)發(fā)“啟動”按鈕，啟用端口轉(zhuǎn)發(fā)服務(wù)：端口轉(zhuǎn)發(fā)訪問實例-3可采用端口轉(zhuǎn)發(fā)對配置的資源進行訪問。舉例---telnet網(wǎng)絡(luò)擴展訪問實例-1在“SSLVPN配置”導(dǎo)航樹上單擊“網(wǎng)絡(luò)擴展”，進入配置頁面，配置可分配IP地址池范圍。網(wǎng)絡(luò)擴展訪問實例-2在“可訪問內(nèi)網(wǎng)網(wǎng)段列表”中，單擊“新建”，配置可訪問的內(nèi)網(wǎng)網(wǎng)段。網(wǎng)絡(luò)擴展訪問實例-3點擊網(wǎng)絡(luò)擴展啟動按鈕，啟動網(wǎng)絡(luò)擴展功能。網(wǎng)絡(luò)擴展啟動成功后，在電腦任務(wù)欄上會提示網(wǎng)絡(luò)擴展已啟動。網(wǎng)絡(luò)擴展訪問實例-4查看PC機的IP地址，已經(jīng)分配到了