浅析:华为的SSL

发布时间:2020-08-06 05:58:34 作者:默者Zero
来源:网络 阅读:243

才发现V/P/N 会被屏蔽。。。下面的3个星号代表的就是这个
优点:
最直接的优点是无需客户端,可以直接通过web界面进行连接(web界面上你使用相应的功能会帮你安装对应的插件)/技术优点:封装在TCP/IP 的4层以上,不受NAT的影响
适用的场景:
点到站点(point to site),只需要一端有公网IP地址/端口,另一端可以是私网地址,实际场景:在外出差的员工访问公司内网资源
需要根据不同的用户做限制,可以使用SSL-×××的多个虚拟网关,实现访问隔离
SSL-×××的会话建立过程:
初次建立:

初次建立需要使用到13个报文交互。
已经建立过了,会话恢复只需要6个包:

再次建立就减少了链路开销。

SSL-×××提供的功能:

  1. Web 代理:
    a. web代理有2种模式:web 改写/web link
    i. web代理:提供了加密功能:能将将真实要访问的URL加密成乱码,从而实现了隐藏内部真实的URL,提供了安全性/适配终端:可以将页面改写从而适配类如安卓/电脑终端等
    ii. Web link :只是简单的一个代理转发功能,不做其他的处理,所带来的优点就是它的转发处理速度快于web 改写
    Web 代理的功能主要是提供了×××终端用户访问内部的web站点的能力
  2. 文件共享:基于本人浅薄的了解,就是在文件共享业务中提供了简单的文件协议转换的功能:SSL-×××服务器端将客户端发送过来的HTTPS请求转换为SMB协议请求报文(对应windows系统)/NFS协议请求报文(对应Linux系统)发往文件共享服务器,从而实现在web界面上可以访问远程文件的功能

  3. 端口代理:端口代理简单地说就是:服务器端会给客户端分配已设置好的对应IP要转发的端口(比如说X),当客户端要访问这个IP与端口时,本地会经过处理后添加私有报文头,再发往服务器端,服务器端拆封装解密后再发给内网服务器。
    端口代理可以实现基于TCP协议的应用服务
    类如使用静态端口的SSH/Telnet/远程桌面的需求,同时也能实现使用动态端口的类如FTP被动模式/Oracle
    下图为原理图:

  4. 网络扩展:
    网络扩展就厉害了。。。它就相当于给了你一个子网IP,让你可以通过建立起来的SSL-×××隧道去访问内网的全部资源(这个时候终端相当于一部内网的主机)
    它的数据包转发路径其实是:首先,一个去往子网的包匹配到走向虚拟网卡,虚拟网卡收到后进行封装加密,再转发向本地实际网卡,实际网卡再根据路由表转发出去(此时的包3层为IP层,4层以上的SSL封装中哈有1段3层IP层为内网IP)。这其实就已经是常规×××的包的模式了:嵌套多层三层。
    下图为原理图:

        i. 启动网络扩展功能,会触发以下几个动作:
        ii. 远程用户与虚拟网关之间会建立一条SSL ×××隧道。
        iii. 远程用户本地PC会自动生成一个虚拟网卡。虚拟网关从地址池中随机选择一个IP地址,分配给远程用户的虚拟网卡,该地址作为远程用户与企业内网Server之间通信之用。有了该私网IP地址,远程用户就如同企业内网用户一样可以方便访问内网IP资源。
        iv. 虚拟网关向远程用户下发到达企业内网Server的路由信息。

    虚拟网关会根据网络扩展业务中的配置,向远程用户下发不同的路由信息。
    v. 远程用户向企业内网的Server发送业务请求报文,该报文通过SSL ×××隧道到达虚拟网关。
    vi. 虚拟网关收到报文后进行解封装,并将解封装后的业务请求报文发送给内网Server。
    vii. 内网Server响应远程用户的业务请求。
    viii. 响应报文到达虚拟网关后进入SSL ×××隧道。
    远程用户收到业务响应报文后进行解封装,取出其中的业务响应报文。
    网络扩展其实还有3种模式:
    i. 全路由模式:全部数据包都走向虚拟网卡,由虚拟网关进行转发
    ii. 分离模式:数据包与本地实际网卡非同一网段的都走向虚拟网卡,赋予虚拟IP,这就导致除了与实际网卡同一网段的本地资源都不能访问:因为被赋予的是虚拟IP,本地子网是没有回程路由的;对端子网都能访问
    iii. 手动模式:手动决定哪些子网是走向虚拟网卡,其他的仍然走向本地实际网卡
    我目前对华为的SSL-×××也就这些理解,目前在现网部署的话应该是够了,毕竟这篇只是入门篇,我参考的资料也是华为NA级别的资料。SSL-×××在现网种算是部署比较多的了,如果真是一个项目/现网的部署,建议各位还是学习一下会比较好
    需要注意的一点是:这篇并不是实际部署操作步骤,是偏向原理向的。至于实际部署的话。。。我确实有实际部署的经验,看看有没有看客需求的,如果有的话我再做这方面的吧,毕竟华为给的文档其实就能当大多数的模板了(我觉得应该比我做的标准。。。)
    PS:这篇是基于华为的USG6000系列防火墙所写的;文中的截图部分来自华为的产品文档和教育机构的PPT
    浅析:华为的SSL

推荐阅读:
  1. 华为ISIS
  2. ssl原理及ssl配置

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

华为 安全防火墙

上一篇:如何使用sass(环境安装)

下一篇:Oracle中触发器(2)

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》