计算机网络安全技术与实施（旧） H3C网络安全技术专项培训胶片 第5章SSL_VPN技术.ppt

* 1、网络互联性： (1)NAT对IP头和TCP头的修改，不会影响SSL报文的正常传输。 (2)SSL服务的TCP端口是443，为知名端口。网络管理员在配置防火墙时，一般会允许通过。 2、客户端的维护： (1) 目前几乎所有的软件平台都提供浏览器，如果用户通过SSL VPN的Web接入来访问网络资源，用户只需要使用浏览器就可以了，不用再安装任何VPN客户端软件，即实现了免客户端。 (2)如果采用TCP接入或IP接入访问网络资源，则远程主机上需要安装相应的客户端。但是借助Web技术，使用ActiveX或者Java Applet，可以在打开网页时，自动下载安装和配置客户端的程序。 (3)如果要升级客户端软件，只需将VPN网关上的SSL VPN软件包升级。之后，用户登录SSL VPN时，远程主机上的VPN客户端将自动进行升级。 2、访问权限管理： (1)用户登录SSL VPN时，网关会对用户的身份进行认证，并根据管理员的配置确定用户的访问权限。 (2)采用Web接入时，SSL VPN网关可以解析报文的URL并根据授权进行相应的访问控制。 (3)采用TCP接入时，SSL VPN网关可以识别TCP报文的IP地址和端口号，对通讯过程进行控制。 (4)采用IP接入时， SSL VPN网关可以根据授权对报文的目的IP地址进行过滤。 * 1、SSL VPN网关的公网地址地址是IP0，可以被远程主机访问到。 2、内部的资源服务器Server A使用的地址是IP1，IP1是私网地址，远程主机无法直接访问到。 3、通讯过程： 远程用户通过Web浏览器与SSL VPN网关(IP0)之间建立SSL连接，通过SSL连接连接发送http请求，请求的地址是”https://IP0/ServerA“，这个URL并不是一个真实的路径，而是VPN网关给内网服务器ServerA建立的虚拟路径。 VPN网关解析http请求，将报文中的请求路径”IP0/ServerA/dir1/page1“修改成为”IP1/dir1/page1 “，将修改后的请求报文通过TCP连接转发给ServerA(IP1)进行处理。 ServerA处理完远程主机发来的http请求后，返回应答报文。该报文一般情况下是一个web页面。Web页面文件中的连接A…/A指向的是一个个内网服务器上的地址，如”http://IP1/dir2/page2“，这个URL是指向ServerA上的路径”/dir2/page2“的。这个地址对远程主机来说是不可访问的。 VPN网关解析ServerA返回的Web页面，对页面中的链接逐一修改，使之映射成为外网可见的URL地址。如图中所示，将”http://IP1/dir2/page2“改写成为”https://IP0/ServerA/dir2/page2“。 这样被改写过的页面传回给远程主机后，远程用户就可以访问页面中的链接了。 * 准备工作： VPN客户端在远程主机上安装和运行起来后，会在Windows的hosts文件中设置一些静态的主机名解析表项，将内网主机名指向环回地址。如下： ServerA 这样远程主机上的应用程序在访问主机名为ServerA的设备时，将向这个地址发出请求。而这个地址是一个本地地址，VPN客户端就监听在这个地址上，以接收应用程序发出的请求。 通讯过程： 应用客户端向ServerA发出建立TCP连接的报文。经远程主机对主机名ServerA的解析，确定发送的报文应当发送给这个地址。 VPN客户端正监听在相应的端口上，收到应用客户端建立TCP连接的请求后，VPN客户端以代理的方式返回TCP连接建立的应答，于是在应用程序与VPN之间就建立起了一条TCP连接。 VPN客户端与VPN网关之间建立起一条新的SSL连接。 VPN网关与服务器ServerA之间建立起新的TCP连接。 这样从远程主机上的应用程序客户端到内网的服务器ServerA之间就建立起了一条通道，该通道由三端连接首尾相接而成。通过这条通道，应用程序的客户端就可以同服务器之间像使用一条TCP连接那样进行数据的传输了。 * 客户端的准备： (1)在SSL VPN网关上配置一个为IP接入所使用的IP地址池。如~55。 (2)在SSL VPN网关上建立一个虚接口sve1/0，配置IP地址。 (3)在用户采用IP接入时，SSL VPN会通过Web页面在远程主机上下载并安装一个IP接入客户端和一个虚拟网卡。 (4)在虚拟网卡上，配置一个由SSL VPN网关分配的内网IP地址。如图中所示的00。 (5)在远程主机上，VPN客户端设置若干条路由，这些路由设置了允许该用户访问的IP网段。而路由的下一条都指向SSL VPN网关上的虚接口地址。如图所示：/24?。 (6)VPN客户端与SSL VPN网关之间建