hcna-security cbsn v2.5培训与实验手册-带备注hcsca109第九章ssl技术

修订记录课程编码适用产品产品版本课程版本ISSUEHCSCA109USG6000V100R001C30V2.5开发/优化者时间审核人开发类型（新开发/优化）陈灵光2011.7余雷第一版王锐2013.4余雷第二版毕伟飞2015.3张浩优化本页不打印第九章

SSLVPN技术目标学完本课程后，您将能够:了解SSLVPN的技术原理熟悉SVN产品的基本功能和特性掌握SSLVPN配置方法目录SSLVPN概述SSLVPN技术SSLVPN应用场景分析SSL概述

SSL在TCP/IP协议栈中的位置IPTCPHTTPSSLIPTCPHTTPNotSecureSecureSSL与IPSec安全防护对比IPTCPAPP+DataIPSecIPTCPHTTPSSLSSLVPNIPSecVPNIPSSLVPN安全技术SSL协议从以下方面确保了数据通信的安全身份认证完整性机密性传统VPN存在的问题L2TP及拨号不安全拨号上网的额外费用拨号接入服务器端口限制缺少信息鉴别无基于应用的访问控制策略泄漏内网IPMPLS不安全无用户认证无应用授权无审计无加密无访问控制造价高跨运营商互通互联问题适用于大型企业内网互联IPSec客户端管理费用高NAT问题安全风险无基于应用的用户认证授权审计SSLVPN技术优势无客户端的便捷部署应用层接入的安全保护企业延展的效率提升SSLVPN目录SSLVPN概述SSLVPN技术SSLVPN应用场景分析SSL协议结构应用层协议SSL握手协议SSL密码变化协议SSL警告协议SSL记录协议TCPIPSSL主要协议介绍SSL协议过程通过3个元素来完成握手协议记录协议警告协议SSL协议结构HTTPRecordLayerTCPChangeCipherAlertHand-shakeApplicationSecureSocketsLayerSSL原理—握手协议在用SSL进行通信之前，首先要使用SSL的HandShake协议在通信两端握手，协商数据传输中要用到的相关安全参数（如加密算法、共享密钥、产生密钥所要的材料等），并对对端的身份进行验证。ClientServerClientHelloServerHelloCertificate*CertificateRequest*ServerHelloDoneCertificate*ClientKeyExchangeCertificateVerify*ChangeCipherSpecFinishedChangeCipherSpecFinishedServerKeyExchange*⑴⑵⑶⑸⑷⑺⑹⑻⑼⑽⑾⑿⒀SSL握手协议第一阶段客户端首先发ClientHello消息到服务器端，服务器端收到hello消息后再发Serverhello消息回应客户端。客户端服务器ClientHelloServerHelloSSL握手协议第二阶段服务器向客户端发送消息。Certificate*CertificateRequest*ServerHelloDoneServerKeyExchange*客户端服务器SSL握手协议第三阶段客户端收到服务器发送的一系列消息并消化后，发送客户端相应的消息给服务器。Certificate*ClientKeyExchangeCertificateVerify*客户端服务器SSL握手协议第四阶段完成握手协议，建立SSL连接。ChangeCipherSpecFinishedChangeCipherSpecFinished客户端服务器SSL原理—会话恢复会话恢复是指只要客户端和服务器已经通信过一次，它们就可以通过会话恢复的方式来跳过整个握手阶段而直接进行数据传输。SSL采用会话恢复的方式来减少SSL握手过程中造成的巨大开销。ClientServerClientHelloServerHelloChangeCipherSpecFinishedChangeCipherSpecFinished⑴⑵⑶⑸⑷⑹SSLVPN功能技术介绍SVN安全接入网关用户安全控制完善的日志功能网络扩展Web代理可靠性文件共享可靠性端口代理可靠性领先的虚拟网关USG系列设备虚拟网关USG防火墙通过虚拟网关提供SSLVPN服务部门A员工部门B员工USG部门B部门AUSGBUSGA整合了多种功能的虚拟SSLVPN网关Web代理实现对内网Web资源的安全访问Web代理实现了无客户端的页面访问Web代理有两种实现方式：Web-link和Web改写USGWEB服务器远程用户文件共享提供对内网文件系统的安全访问采用协议转换技术，无需安装专用客户端，直接通过通用浏览器安全接入内部文件系统；将客户发起的文件共享请求转换成相应的协议格式，与服务器进行交互支持：SMB协议（Windows）NFS协议（LINUX）新建文件夹浏览文件下载文件改名文件(夹)删除文件(夹)上传文件支持Windows(SMB)/UNIX(NFS)文件文件共享实现过程以访问内网Windows文件服务器为例：客户端向内网文件服务器发起HTTPS格式的请求，发送到USG防火墙；USG防火墙将HTTPS格式的请求报文转换为SMB格式的报文；USG防火墙发送SMB格式的请求报文给文件服务器。文件服务器接受请求报文，将请求结果发送给USG防火墙，用的是SMB报文；USG防火墙将SMB应答报文转换为HTTPS格式；将请求结果（HTTPS格式）发送到客户端；文件服务器客户端16SMB/NFSHTTPS43HTTPSSMB/NFS52文件共享应用特点就像操作本机文件系统一样安全便捷！Successfactors所有文件接入需要认证所有文件传输采用SSL加密文件级的访问权限控制SVN增加额外的访问控制文件共享当然，Ctrl+C等组合键无法使用。端口转发提供丰富的内网TCP应用服务广泛支持静态端口的TCP应用单端口单服务器（如：Telnet，SSH，MSRDP，VNC等）单端口多服务器（如：LotusNotes）多端口多服务器（如：Outlook）支持动态端口的TCP应用动态端口（如：FTP，Oracle）提供端口级的访问控制端口转发实现原理USGTCP110TCP25TCP21TCP23应用请求应用代理CLIENTSERVERSSLInternet提供对内网TCP应用的安全接入！端口转发应用特点P123456端口转发实现对内网TCP应用的广泛支持远程桌面、Outlook、Notes、FTP、SSH等所有数据流都经过加密认证对用户进行统一的授权、认证提供对TCP应用的访问控制只需标准浏览器，不用安装客户端保证TCP应用的安全性、可靠性，提供方便快捷的操作、管理方式！网络扩展实现对内网所有复杂应用的全网访问通过建立安全SSL隧道，实现对基于IP的内网业务的全面访问实现方式：ActiveX控件；专用客户端软件：一次安装，零配置；访问方式全路由模式（FullTunnel）分离模式（SplitTunnel）

手动模式（ManualTunnel）网络扩展实现过程在客户端下载控件，安装虚拟网卡，虚拟网卡获得一个可被内网识别的IP地址；客户端发起基于IP的内网应用，虚拟网关截获报文进行封装加密，发往USG防火墙；USG防火墙对报文解密后发往内网服务器；内网服务器的响应报文发到USG防火墙，由USG防火墙进行封装加密，发往客户端。Client0Server000虚拟网卡0000000源IP目的IP源IP目的IP原始报文虚拟网卡封装后FullTunnel－全路由模式Internet总部内网资源全通道方式,所有流量都流向网关SSLVPN隧道LANSplitTunnel－分离模式Internet总部内网资源LAN分离通道方式：除了可以访问内网，还能够访问客户端所在的本地子网。SSLVPN隧道ManualTunnel－手动模式Internet总部内网资源LAN自定义方式：能够访问内网特定网段的资源，同时，客户端访问本地子网和Internet的操作不受影响。SSLVPN隧道认证授权认证授权：VPNDB认证授权第三方服务器认证授权（Radius、LDAP、AD、SecurID）数字证书认证（X.509/USBKey+X.509）短信辅助认证Internet远程访问Web服务器OA服务器文件服务器认证服务器完善的日志功能日志导出虚拟网关管理员日志用户日志系统日志日志查询SSLVPN功能总结ERPWebE-mail网络扩展IPSecVPN文件共享端口转发Web代理Web访问文件访问Notes、Telnet等TCP应用其他复杂业务SVNIPSecVPNSSLVPN目录SSLVPN概述SSLVPN技术SSLVPN应用场景分析SSLVPN应用场景—典型网络位置SSLVPN网关多部署于企业的网络出入口，应用服务器之前，介于远程用户和服务器之间，控制两者的通信。远程维护合作伙伴移动办公分支机构WEB服务器数据库Email企业总部加密的内外连接标准的内部连接NFSERP客户USGSSLVPN单臂组网模式应用场景分析单臂和双臂组网的方式，多用于SVN设备，SVN单臂挂接在防火墙、路由器或交换机上，内网和Internet都通过这个网口与SVN进行通信，这种模式称为单臂模式。WEB服务器数据库Email公司总部加密的内外连接标准的内部连接ERPAAA远程维护合作伙伴移动办公分支机构客户SVNSSLVPN双臂组网模式应用场景分析SVN双臂挂接在防火墙、路由器或交换机上。内网和Internet都通过不同的网口与SVN进行通信，这种模式称为双臂模式。EmailERPAAA公司总部数据库WEB服务器合作伙伴移动办公分支机构远程维护客户SVN加密的内外连接标准的内部连接SSLVPN应用—运营商IDC应用企业客户A企业客户BInternetSSLVPN图例：…IDC企业客户CIDSFWSSLVPN企业A托管服务器群企业B托管服务器群企业C托管服务器群SW虚拟防火墙虚拟SSLVPN网关通过Web方式登录到NGFW防火墙设备缺省可以通过GigabitEthernet0/0/0接口来登录Web界面。将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。将PC的以太网口与设备的缺省管理接口直接相连，或者通过交换机中转相连。在PC的浏览器中访问，进入Web界面的登录页面。缺省用户名为admin，密码为Admin@123虚拟网关配置及相关参数登录到USG防火墙的Web管理页面后，选择“网络>SSLVPN>SSLVPN”，新建虚拟网关。Web代理访问实例-1在“SSLVPN配置”导航树上单击“Web代理”，进入配置页面。在“Web代理资源”中，单击“新建”。Web代理访问实例-2点击某一链接，能够看到该链接对应的web页面：访问子页面文件共享访问实例-1在“SSLVPN配置”导航树上单击“文件共享”，进入配置页面。在文件共享资源管理列表中，点击“新建”。文件共享访问实例-2在客户端页面上看到的文件共享资源列表：点击文件共享列表中的某一资源，需要输入用户名、密码、域，提交文件服务器进行用户认证：文件共享访问实例-3看到该共享文件夹下的资源列表：文件共享访问实例-4浏览文件：端口转发访问实例-1在“SSLVPN配置”导航树上单击“端口转发”，进入配置页面。在端口转发资源列表中，点击“新建”。端口转发访问实例-2点击端口转发“启动”按钮，启用端口转发服务：端口转发访问实例-3可采用端口转发对配置的资源进行访问。举例---telnet网络扩展访问实例-1在“SSLVPN配置”导航树上单击“网络扩展”，进入配置页面，配置可分配IP地址池范围。网络扩展访问实例-2在“可访问内网网段列表”中，单击“新建”，配置可访问的内网网段。网络扩展访问实例-3点击网络扩展启动按钮，启动网络扩展功能。网络扩展启动成功后，在电脑任务栏上会提示网络扩展已启动。网络扩展访问实例-4查看PC机的IP地址，已经分配到了