华为ar_g3系列路由器ssl_vpn交付指南_v11_c.ppt

AR G3系列路由器SSL VPN交付指南 V1.1_C 企业网络技术服务部 V1.1 Page 2 SSL VPN Page 3 学习指南 SSL VPN技术原理 SSL VPN交付准备 SSL VPN典型配置应用 SSL VPN故障处理 Page 4 学习完此课程，您将会： 具有AR G3路由器SSL VPN业务典型场景交付能力 具有AR G3路由器SSL VPN业务典型问题故障处理能力 Page 5 第1章 SSL VPN技术原理 第2章 AR中SSL VPN的License管理 第3章 AR中SSL VPN配置-基础配置 第4章 AR中SSL VPN配置-三种业务应用场景 第5章 AR中SSL VPN典型问题故障处理 Page 6 第1章 SSL VPN技术原理 SSL VPN（Secure Sockets Layer VPN）是以HTTPS为基础的安全接入的VPN技术，它利用SSL协议提供的数据加密、身份验证和消息完整性验证机制，为用户远程访问公司内部网络提供安全保障。 SSL PKI HTTPS 业务模块构成 资源访问流程 Page 7 SSL VPN 远程维护：HTTPS远程维护，对维护操作的数据加密传送 功能应用：WEB代理、远程桌面/telnet等TCP应用、基于IP的应用 认证方式：用户接入企业内部网络前先要进行认证，支持Local、RADIUS、TACACS等多种认证方式 加密方式：用户访问企业内部网络的数据需要经过加密处理，支持DES、RC4、AES、RSA、MD5、SHA-1等密码算法 Page 8 SSL协议概述 安全套接层SSL（Secure Sockets Layer）协议是在Internet基础上提供的一种保证私密性的安全协议。它能使客户端与服务器之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户端进行认证。 SSL协议与应用层协议相互独立，应用层协议（例如：HTTP，FTP）能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。 SSL协议结构和位置如右图: SSL协议安全机制 连接的私密性：SSL利用对称加密算法对传输数据进行加密，并利用密钥交换算法—RSA（Rivest Shamir and Adleman，非对称密钥算法的一种）加密传输对称密钥算法中使用的密钥。 身份验证机制：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证是可选的。SSL服务器和客户端通过公钥基础设施PKI（Public Key Infrastructure）提供的机制从认证机构CA（Certificate Authority，）获取证书。 内容的可靠性：消息传输过程中使用基于密钥的消息验证码MAC（Message Authentication Code）来检验消息的完整性。 Page 9 PKI 公钥基础设施PKI（Public Key Infrastructure），是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系 应用场景: VPN/安全电子邮件/Web安全 Web安全：为了透明地解决Web的安全问题，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用PKI技术，SSL协议允许在浏览器和服务器之间进行加密通信。此外，服务器端和浏览器端通信时 双方可以通过数字证书确认对方的 身份。 Page 10 PKI工作机制 配置PKI的目的就是为指定的实体向CA申请一个本地证书，并由设备对证书的有效性进行验证 数字证书CA:数字证书是一个经认证机构CA（Certificate Authority）签名的，包含实体公开密钥及相关身份信息的文件，它建立了实体身份信息与其公钥的关联，是使用PKI系统的用户建立安全通信的信任基础。CA对数字证书的签名保证了证书的合法性和权威性。 PKI工作过程: 实体向注册机构RA提出证书申请。 RA审核实体身份，将实体身份信息和公开密钥以数字签名的方式发送给CA。 CA验证数字签名，同意实体的申请，颁发证书。 RA接收CA返回的证书，通知实体证书发行成功。 实体获取证书，利用该证书可以与其它实体使用加密、数字签名进行安全通信。 实体希望撤消自己的证书时，向CA提交申请。CA批准实体撤消证书，并更新CRL。 Page 11 HTTPS HTTPS将HTTP和SSL结合，通过SSL对客户端和服务器进行身份验证，对传输的数据进行加密，保证通信的安全性。 对于支持Web网管功能的设备，开启HTTP服务后，设备可以作为Web服务器，