才發現V/P/N 會被屏蔽。。。下面的3個星號代表的就是這個
優點:
最直接的優點是無需客戶端,可以直接通過web界面進行連接(web界面上你使用相應的功能會幫你安裝對應的插件)/技術優點:封裝在TCP/IP 的4層以上,不受NAT的影響
適用的場景:
點到站點(point to site),只需要一端有公網IP地址/端口,另一端可以是私網地址,實際場景:在外出差的員工訪問公司內網資源
需要根據不同的用戶做限制,可以使用SSL-×××的多個虛擬網關,實現訪問隔離
SSL-×××的會話建立過程:
初次建立:
初次建立需要使用到13個報文交互。
已經建立過了,會話恢復只需要6個包:
再次建立就減少了鏈路開銷。SSL-×××提供的功能:
- Web 代理:
a. web代理有2種模式:web 改寫/web link
i. web代理:提供了加密功能:能將將真實要訪問的URL加密成亂碼,從而實現了隱藏內部真實的URL,提供了安全性/適配終端:可以將頁面改寫從而適配類如安卓/電腦終端等
ii. Web link :只是簡單的一個代理轉發功能,不做其他的處理,所帶來的優點就是它的轉發處理速度快於web 改寫
Web 代理的功能主要是提供了×××終端用戶訪問內部的web站點的能力 -
文件共享:基於本人淺薄的瞭解,就是在文件共享業務中提供了簡單的文件協議轉換的功能:SSL-×××服務器端將客戶端發送過來的HTTPS請求轉換爲SMB協議請求報文(對應windows系統)/NFS協議請求報文(對應Linux系統)發往文件共享服務器,從而實現在web界面上可以訪問遠程文件的功能
-
端口代理:端口代理簡單地說就是:服務器端會給客戶端分配已設置好的對應IP要轉發的端口(比如說X),當客戶端要訪問這個IP與端口時,本地會經過處理後添加私有報文頭,再發往服務器端,服務器端拆封裝解密後再發給內網服務器。
端口代理可以實現基於TCP協議的應用服務
類如使用靜態端口的SSH/Telnet/遠程桌面的需求,同時也能實現使用動態端口的類如FTP被動模式/Oracle
下圖爲原理圖: -
網絡擴展:
網絡擴展就厲害了。。。它就相當於給了你一個子網IP,讓你可以通過建立起來的SSL-×××隧道去訪問內網的全部資源(這個時候終端相當於一部內網的主機)
它的數據包轉發路徑其實是:首先,一個去往子網的包匹配到走向虛擬網卡,虛擬網卡收到後進行封裝加密,再轉發向本地實際網卡,實際網卡再根據路由錶轉發出去(此時的包3層爲IP層,4層以上的SSL封裝中哈有1段3層IP層爲內網IP)。這其實就已經是常規×××的包的模式了:嵌套多層三層。
下圖爲原理圖:i. 啓動網絡擴展功能,會觸發以下幾個動作: ii. 遠程用戶與虛擬網關之間會建立一條SSL ×××隧道。 iii. 遠程用戶本地PC會自動生成一個虛擬網卡。虛擬網關從地址池中隨機選擇一個IP地址,分配給遠程用戶的虛擬網卡,該地址作爲遠程用戶與企業內網Server之間通信之用。有了該私網IP地址,遠程用戶就如同企業內網用戶一樣可以方便訪問內網IP資源。 iv. 虛擬網關向遠程用戶下發到達企業內網Server的路由信息。虛擬網關會根據網絡擴展業務中的配置,向遠程用戶下發不同的路由信息。
v. 遠程用戶向企業內網的Server發送業務請求報文,該報文通過SSL ×××隧道到達虛擬網關。
vi. 虛擬網關收到報文後進行解封裝,並將解封裝後的業務請求報文發送給內網Server。
vii. 內網Server響應遠程用戶的業務請求。
viii. 響應報文到達虛擬網關後進入SSL ×××隧道。
遠程用戶收到業務響應報文後進行解封裝,取出其中的業務響應報文。
網絡擴展其實還有3種模式:
i. 全路由模式:全部數據包都走向虛擬網卡,由虛擬網關進行轉發
ii. 分離模式:數據包與本地實際網卡非同一網段的都走向虛擬網卡,賦予虛擬IP,這就導致除了與實際網卡同一網段的本地資源都不能訪問:因爲被賦予的是虛擬IP,本地子網是沒有回程路由的;對端子網都能訪問
iii. 手動模式:手動決定哪些子網是走向虛擬網卡,其他的仍然走向本地實際網卡
我目前對華爲的SSL-×××也就這些理解,目前在現網部署的話應該是夠了,畢竟這篇只是入門篇,我參考的資料也是華爲NA級別的資料。SSL-×××在現網種算是部署比較多的了,如果真是一個項目/現網的部署,建議各位還是學習一下會比較好
需要注意的一點是:這篇並不是實際部署操作步驟,是偏向原理向的。至於實際部署的話。。。我確實有實際部署的經驗,看看有沒有看客需求的,如果有的話我再做這方面的吧,畢竟華爲給的文檔其實就能當大多數的模板了(我覺得應該比我做的標準。。。)
PS:這篇是基於華爲的USG6000系列防火牆所寫的;文中的截圖部分來自華爲的產品文檔和教育機構的PPT![淺析:華爲的SSL]()
