VPN 的技術(shù)原理是什么？

?點(diǎn)擊“藍(lán)字” 關(guān)注我們

文末有送書福利，別錯(cuò)過啦

SSL VPN技術(shù)

SSl協(xié)議支隊(duì)通信雙方傳輸?shù)膽?yīng)用數(shù)據(jù)進(jìn)行加密，而不是對(duì)從一個(gè)主機(jī)到另一個(gè)主機(jī)的所有數(shù)據(jù)進(jìn)行加密。

IPSec缺陷

由于IPSec是基于網(wǎng)絡(luò)層的協(xié)議，很難穿越NAT和防火墻，特別是在接入一些防護(hù)措施較為嚴(yán)格的個(gè)人網(wǎng)絡(luò)和公共計(jì)算機(jī)時(shí)，往往會(huì)導(dǎo)致訪問受阻。移動(dòng)用戶使用IPSec VPN需要安裝專用的客戶端軟件，為日益增長(zhǎng)的用戶群發(fā)放、安裝、配置、維護(hù)客戶端軟件已經(jīng)使管理員不堪重負(fù)。因此，IPSec VPN在Point- to-Site遠(yuǎn)程移動(dòng)通信方面并不適用。

SSL VPN功能技術(shù)

虛擬網(wǎng)關(guān)

每個(gè)虛擬網(wǎng)關(guān)都是獨(dú)立可管理的，可以配置各自的資源、用戶、認(rèn)證方式、訪問控制規(guī)則以及管理員等。

當(dāng)企業(yè)有多個(gè)部門時(shí)，可以為每個(gè)部門或者用戶群體分配不同的虛擬網(wǎng)關(guān)，從而形成完全隔離的訪問體系。

WEB代理

它將遠(yuǎn)端瀏覽器的頁面請(qǐng)求(采用https協(xié)議)轉(zhuǎn)發(fā)給web服務(wù)器，然后將服務(wù)器的響應(yīng)回傳給終端用戶，提供細(xì)致到URL的權(quán)限控制，即可控制到用戶對(duì)某一張具體頁面的訪問。

web代理實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)Web資源的安全訪問：

• Web-link采用ActiveX控件方式，對(duì)頁面進(jìn)行轉(zhuǎn)發(fā)。
• Web改寫方式采用腳本改寫方式，將請(qǐng)求所得頁面上的鏈接進(jìn)行改寫，其他網(wǎng)頁內(nèi)容不作修改。

從業(yè)務(wù)交互流程可以看出，Web代理功能的基本實(shí)現(xiàn)原理是將遠(yuǎn)程用戶訪問Web Server的過程被分成了兩個(gè)階段。首先是遠(yuǎn)程用戶與NGFW虛擬網(wǎng)關(guān)之間建立HTTPS會(huì)話，然后NGFW虛擬網(wǎng)關(guān)再與Web Server建立HTTP會(huì)話。虛擬網(wǎng)關(guān)在遠(yuǎn)程用戶訪問企業(yè)內(nèi)網(wǎng)Web Server中起到了改寫、轉(zhuǎn)發(fā)Web請(qǐng)求的作用。

文件共享

文件共享實(shí)現(xiàn)過程

• 客戶端向內(nèi)網(wǎng)文件服務(wù)器發(fā)起HTTPS格式的請(qǐng)求，發(fā)送到USG防火墻。
• USG防火墻將HTTPS格式的請(qǐng)求報(bào)文轉(zhuǎn)換為SMB格式的報(bào)文。
• USG防火墻發(fā)送SMB格式的請(qǐng)求報(bào)文給文件服務(wù)器。
• 文件服務(wù)器接受請(qǐng)求報(bào)文，將請(qǐng)求結(jié)果發(fā)送給USG防火墻，用的是SMB報(bào)文。
• USG防火墻將SMB應(yīng)答報(bào)文轉(zhuǎn)換為HTTPS格式。
• 將請(qǐng)求結(jié)果(HTTPS格式的報(bào)文)發(fā)送到客戶端。

端口轉(zhuǎn)發(fā)

提供豐富的內(nèi)網(wǎng)TCP應(yīng)用服務(wù)。

廣泛支持靜態(tài)端口的TCP應(yīng)用：

• 單端口單服務(wù)器（如：Telnet，SSH，MS RDP， VNC等）。

• 單端口多服務(wù)器（如：Lotus Notes）。

• 多端口多服務(wù)器（如：Outlook）。

支持動(dòng)態(tài)端口的TCP應(yīng)用：

• 動(dòng)態(tài)端口（如：FTP，Oracle）。
  

提供端口級(jí)的訪問控制。

端口轉(zhuǎn)發(fā)實(shí)現(xiàn)原理

端口轉(zhuǎn)發(fā)特點(diǎn)

• 實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)TCP應(yīng)用的廣泛支持。
• 遠(yuǎn)程桌面、outlook、Notes、FTP等。
• 所有數(shù)據(jù)流都經(jīng)過加密認(rèn)證。
• 對(duì)用戶進(jìn)行統(tǒng)一的授權(quán)、認(rèn)證。
• 提供對(duì)TCP應(yīng)用的訪問控制。
• 只需標(biāo)準(zhǔn)瀏覽器，不用安裝客戶端。

網(wǎng)絡(luò)擴(kuò)展

• 分離模式：用戶可以訪問遠(yuǎn)端企業(yè)內(nèi)網(wǎng)(通過虛擬網(wǎng)卡)和本地局域網(wǎng)(通過實(shí)際網(wǎng)卡)，不能訪問Internet。

  
  

• 全路由模式：用戶只允許訪問遠(yuǎn)端企業(yè)內(nèi)網(wǎng)(通過虛擬網(wǎng)卡)，不能訪問Internet和本地局域網(wǎng)。

• 手動(dòng)模式：用戶可以訪問遠(yuǎn)端企業(yè)內(nèi)網(wǎng)特定網(wǎng)段的資源(通過虛擬網(wǎng)卡)，對(duì)其它Internet和本地局域網(wǎng)的訪問不受影響(通過實(shí)際網(wǎng)卡)。網(wǎng)段沖突時(shí)優(yōu)先訪問遠(yuǎn)端企業(yè)內(nèi)網(wǎng)。

網(wǎng)絡(luò)擴(kuò)展實(shí)現(xiàn)過程

報(bào)文封裝過程

可靠傳輸模式

快速傳輸模式

終端安全

主機(jī)檢查

終端安全是在請(qǐng)求接入內(nèi)網(wǎng)的主機(jī)上部署一個(gè)軟件，通過該軟件檢查終端主機(jī)的安全狀況。主要包括:主機(jī)檢查、緩存清理。

主機(jī)檢查：檢查用戶用來訪問內(nèi)網(wǎng)資源的主機(jī)是否符合安全要求。

• 殺毒軟件檢查
  
• 防火墻檢查
• 注冊(cè)表檢查
• 文件檢查
• 端口檢查
• 進(jìn)程檢查
• 操作系統(tǒng)檢查

緩存清理

USG可以在用戶訪問虛擬網(wǎng)關(guān)結(jié)束時(shí)，采用必要的手段清除終端.上的訪問痕跡(例如生成的臨時(shí)文件、Cookie等)，以防止泄密，杜絕安全隱患。

清理范圍：

• Internet臨時(shí)文件

• 瀏覽器自動(dòng)保存的密碼

• Cookie記錄

• 瀏覽器的訪問歷史記錄

• 回收站和最近打開的文檔列表

• 指定文件或文件夾

完善的日志功能

• 日志查詢

• 日志導(dǎo)出

• 虛擬網(wǎng)關(guān)管理員日志

• 用戶日志

• 系統(tǒng)日志

認(rèn)證授權(quán)

證書匿名認(rèn)證

NGFW只通過驗(yàn)證用戶的客戶端證書來驗(yàn)證用戶的身份。

1.用戶在SSLVPN網(wǎng)關(guān)登錄界面選擇證書后，客戶端會(huì)將客戶端證書發(fā)送給網(wǎng)關(guān)。

2.網(wǎng)關(guān)會(huì)將客戶端證書以及自己引用的CA證書的名稱發(fā)送給證書模塊。

3.證書模塊會(huì)根據(jù)網(wǎng)關(guān)引用的CA證書檢查客戶端證書是否可信，并將結(jié)果返回給網(wǎng)關(guān)：

• 如果網(wǎng)關(guān)引用的CA證書與客戶端證書是同一個(gè)CA機(jī)構(gòu)頒發(fā)的，且客戶端證書在有效期內(nèi)，則證書模塊認(rèn)為客戶端證書可信，用戶認(rèn)證通過，繼續(xù)執(zhí)行4。

• 如果證書模塊認(rèn)為客戶端證書不可信，用戶認(rèn)證不通過，則執(zhí)行5。

4.網(wǎng)關(guān)根據(jù)用戶過濾字段從客戶端證書中提取用戶名。

• 網(wǎng)關(guān)會(huì)從自己的角色授權(quán)列表中查找用戶所屬角色從而確認(rèn)此用戶的業(yè)務(wù)權(quán)限。

5.網(wǎng)關(guān)將認(rèn)證結(jié)果返回給客戶端。

認(rèn)證結(jié)果為通過的用戶能夠登錄SSLVPN網(wǎng)關(guān)界面，以相應(yīng)的業(yè)務(wù)權(quán)限來使用SSL VPN業(yè)務(wù)。

認(rèn)證結(jié)果為不通過的用戶會(huì)在客戶端上看到“您的證書驗(yàn)證非法，請(qǐng)?zhí)峁┖戏ǖ淖C書”。

證書挑戰(zhàn)認(rèn)證

證書挑戰(zhàn)認(rèn)證是指將驗(yàn)證客戶端證書與本地認(rèn)證或服務(wù)器認(rèn)證結(jié)合起來。

證書+本地用戶名密碼證書+服務(wù)器認(rèn)證

SSL VPN應(yīng)用場(chǎng)景

SSL VPN單臂組網(wǎng)模式應(yīng)用場(chǎng)景分析

在網(wǎng)絡(luò)規(guī)劃時(shí)，SVN的接口IP為內(nèi)網(wǎng)IP地址，此地址需要能與所有被訪問需求的服務(wù)器路由可達(dá)。

防火墻上需配置nat server,將SVN的地址映射到防火墻的某一公網(wǎng)IP. 上。也可以只映射部分端口，如443。如果外網(wǎng)用戶有管理SVN的需求，還需要映射SSH、Telnet等端口。

SSLVPN雙臂組網(wǎng)模式應(yīng)用場(chǎng)景分析

• 在此類組網(wǎng)環(huán)境中，SVN使用兩個(gè)不同的網(wǎng)口連接外網(wǎng)與內(nèi)網(wǎng)，這種組網(wǎng)方式下，具有清晰的內(nèi)網(wǎng)、外網(wǎng)概念;無需做額外的配置，外網(wǎng)口對(duì)應(yīng)虛擬網(wǎng)關(guān)IP，內(nèi)網(wǎng)口配置內(nèi)網(wǎng)管理IP。
  

  
  

• 虛擬網(wǎng)關(guān)IP不一定需要經(jīng)過NAT轉(zhuǎn)換，只要外網(wǎng)用戶能夠訪問此虛擬網(wǎng)關(guān)IP地址即可。內(nèi)外網(wǎng)接口沒有特定的物理接口，任何一個(gè)物理接口都可以作為內(nèi)網(wǎng)或外網(wǎng)接口。

  
  

• 圖中路由器和交換機(jī)之間處于連接狀態(tài)。這是因?yàn)榭蛻艟W(wǎng)絡(luò)中可能有部分應(yīng)用不需要經(jīng)過SSL加密，而是直接通過防火墻訪問外網(wǎng)。這時(shí)就需要在交換機(jī)和路由器.上配置策略路由，需要建立SSLVPN的流量就轉(zhuǎn)發(fā)到SVN上，而普通的應(yīng)用就直接通過防火墻訪問外網(wǎng)。

SSL VPN配置步驟

1.配置接口

2.配置安全策略

• 放行Untrust到L ocal安全區(qū)域的SSL VPN流量。

• 放行Local到Trust安全區(qū)域的業(yè)務(wù)流量。

3.配置VPNDB

4.虛擬網(wǎng)關(guān)配置

5.業(yè)務(wù)選擇

ensp將防火墻該功能閹割

- 完 -
贈(zèng)書福利
贈(zèng)送新書《R語言數(shù)據(jù)分析與可視化從入門到精通》共5本，剛剛上架！由「?北京大學(xué)出版社」贊助提供?，感興趣的朋友推薦入手一本。


R語言是一個(gè)自由、免費(fèi)、源代碼開放的編程語言和環(huán)境，它提供了強(qiáng)大的數(shù)據(jù)分析功能和豐富的數(shù)據(jù)可視化手段。隨著數(shù)據(jù)科學(xué)的快速發(fā)展，R語言已經(jīng)成為數(shù)據(jù)分析領(lǐng)域炙手可熱的通用語言。全書分為3篇共12章，具體內(nèi)容如下。
　　第1篇：入門篇（第1章~第3章）。本篇將帶領(lǐng)讀者逐步走進(jìn)R語言的世界，幫助讀者對(duì)R語言形成初步的認(rèn)識(shí)，并學(xué)會(huì)如何獲取和安裝R語言，以及如何在需要時(shí)獲取幫助。然后介紹R語言的一些基礎(chǔ)知識(shí)，這些知識(shí)是靈活應(yīng)用R語言的必要前提。*后重點(diǎn)介紹R語言函數(shù)的使用方法，同時(shí)也會(huì)涉及一些其他相關(guān)內(nèi)容，如流程控制和R語言環(huán)境等。
　　第2篇：進(jìn)階篇（第4章~第11章）。本篇介紹R語言數(shù)據(jù)管理、數(shù)據(jù)分析和數(shù)據(jù)可視化的三大威力，包括通過數(shù)據(jù)獲取、導(dǎo)出、整合和清理等操作將零散的數(shù)據(jù)整合為可以分析處理的數(shù)據(jù)集的多種方法；并介紹一些常用基礎(chǔ)統(tǒng)計(jì)和高級(jí)統(tǒng)計(jì)的實(shí)現(xiàn)方法，以及R語言的圖形生成、圖形修飾、外部繪圖插件和圖形展示等功能。
　　第3篇：實(shí)戰(zhàn)篇（第12章）。本篇通過一個(gè)實(shí)戰(zhàn)案例，綜合講解R語言在數(shù)據(jù)處理與可視化分析方面的實(shí)戰(zhàn)技能。
?
同樣這次準(zhǔn)備了2種方式抽獎(jiǎng)，「評(píng)論點(diǎn)贊、朋友圈點(diǎn)贊」這兩種方式都可以參與！感謝親愛的讀者們，你們的支持也是我持續(xù)更文最大的動(dòng)力。
本次開獎(jiǎng)時(shí)間為 2022.2.16 14:00
為了避免中獎(jiǎng)后失聯(lián)，提前加我微信號(hào)：itcodexy 。
留言點(diǎn)贊（3本）
本文留言需要根據(jù)文章的內(nèi)容留言會(huì)更大可能被精選，留言點(diǎn)贊數(shù)「第一、二、三名」可獲得一本《R語言數(shù)據(jù)分析與可視化從入門到精通》
PS：買點(diǎn)贊數(shù)等作弊無效，一切解釋權(quán)歸程序IT圈所有，留言點(diǎn)贊之前中過獎(jiǎng)的朋友，1年內(nèi)不得再參與，給新朋友一些機(jī)會(huì) ?。ń?jīng)常發(fā)現(xiàn)點(diǎn)贊中獎(jiǎng)的總是那些熟悉的面孔）
朋友圈點(diǎn)贊抽獎(jiǎng)（2本）
記得先添加我微信，不然參加不了這個(gè)朋友圈活動(dòng) 。
大獎(jiǎng)：本文章我會(huì)在下午6點(diǎn)左右轉(zhuǎn)發(fā)朋友圈，給第n位(具體數(shù)值看朋友圈發(fā)布時(shí)的規(guī)則)點(diǎn)贊朋友圈的同學(xué)送出一本?《R語言數(shù)據(jù)分析與可視化從入門到精通》，共2位。
明天見(??ω??)??