浅析:华为的SSL
才发现V/P/N 会被屏蔽。。。下面的3个星号代表的就是这个
优点:
最直接的优点是无需客户端,可以直接通过web界面进行连接(web界面上你使用相应的功能会帮你安装对应的插件)/技术优点:封装在TCP/IP 的4层以上,不受NAT的影响
适用的场景:
点到站点(point to site),只需要一端有公网IP地址/端口,另一端可以是私网地址,实际场景:在外出差的员工访问公司内网资源
需要根据不同的用户做限制,可以使用SSL-×××的多个虚拟网关,实现访问隔离
SSL-×××的会话建立过程:
初次建立:
初次建立需要使用到13个报文交互。已经建立过了,会话恢复只需要6个包:再次建立就减少了链路开销。SSL-×××提供的功能:
- Web 代理:
a. web代理有2种模式:web 改写/web link
i. web代理:提供了加密功能:能将将真实要访问的URL加密成乱码,从而实现了隐藏内部真实的URL,提供了安全性/适配终端:可以将页面改写从而适配类如安卓/电脑终端等
ii. Web link :只是简单的一个代理转发功能,不做其他的处理,所带来的优点就是它的转发处理速度快于web 改写
Web 代理的功能主要是提供了×××终端用户访问内部的web站点的能力 文件共享:基于本人浅薄的了解,就是在文件共享业务中提供了简单的文件协议转换的功能:SSL-×××服务器端将客户端发送过来的HTTPS请求转换为SMB协议请求报文(对应windows系统)/NFS协议请求报文(对应Linux系统)发往文件共享服务器,从而实现在web界面上可以访问远程文件的功能
端口代理:端口代理简单地说就是:服务器端会给客户端分配已设置好的对应IP要转发的端口(比如说X),当客户端要访问这个IP与端口时,本地会经过处理后添加私有报文头,再发往服务器端,服务器端拆封装解密后再发给内网服务器。
端口代理可以实现基于TCP协议的应用服务
类如使用静态端口的SSH/Telnet/远程桌面的需求,同时也能实现使用动态端口的类如FTP被动模式/Oracle
下图为原理图:网络扩展:
网络扩展就厉害了。。。它就相当于给了你一个子网IP,让你可以通过建立起来的SSL-×××隧道去访问内网的全部资源(这个时候终端相当于一部内网的主机)
它的数据包转发路径其实是:首先,一个去往子网的包匹配到走向虚拟网卡,虚拟网卡收到后进行封装加密,再转发向本地实际网卡,实际网卡再根据路由表转发出去(此时的包3层为IP层,4层以上的SSL封装中哈有1段3层IP层为内网IP)。这其实就已经是常规×××的包的模式了:嵌套多层三层。
下图为原理图:i. 启动网络扩展功能,会触发以下几个动作: ii. 远程用户与虚拟网关之间会建立一条SSL ×××隧道。 iii. 远程用户本地PC会自动生成一个虚拟网卡。虚拟网关从地址池中随机选择一个IP地址,分配给远程用户的虚拟网卡,该地址作为远程用户与企业内网Server之间通信之用。有了该私网IP地址,远程用户就如同企业内网用户一样可以方便访问内网IP资源。 iv. 虚拟网关向远程用户下发到达企业内网Server的路由信息。虚拟网关会根据网络扩展业务中的配置,向远程用户下发不同的路由信息。
v. 远程用户向企业内网的Server发送业务请求报文,该报文通过SSL ×××隧道到达虚拟网关。
vi. 虚拟网关收到报文后进行解封装,并将解封装后的业务请求报文发送给内网Server。
vii. 内网Server响应远程用户的业务请求。
viii. 响应报文到达虚拟网关后进入SSL ×××隧道。
远程用户收到业务响应报文后进行解封装,取出其中的业务响应报文。
网络扩展其实还有3种模式:
i. 全路由模式:全部数据包都走向虚拟网卡,由虚拟网关进行转发
ii. 分离模式:数据包与本地实际网卡非同一网段的都走向虚拟网卡,赋予虚拟IP,这就导致除了与实际网卡同一网段的本地资源都不能访问:因为被赋予的是虚拟IP,本地子网是没有回程路由的;对端子网都能访问
iii. 手动模式:手动决定哪些子网是走向虚拟网卡,其他的仍然走向本地实际网卡
我目前对华为的SSL-×××也就这些理解,目前在现网部署的话应该是够了,毕竟这篇只是入门篇,我参考的资料也是华为NA级别的资料。SSL-×××在现网种算是部署比较多的了,如果真是一个项目/现网的部署,建议各位还是学习一下会比较好
需要注意的一点是:这篇并不是实际部署操作步骤,是偏向原理向的。至于实际部署的话。。。我确实有实际部署的经验,看看有没有看客需求的,如果有的话我再做这方面的吧,毕竟华为给的文档其实就能当大多数的模板了(我觉得应该比我做的标准。。。)
PS:这篇是基于华为的USG6000系列防火墙所写的;文中的截图部分来自华为的产品文档和教育机构的PPT
