- 金属破碎机
- 破石机
- 石头破碎机
- 颚式破碎机
- 反击式破碎机
- 锤式破碎机
- 复合式破碎机
- 冲击式破碎机
- 立式复合破碎机
- 重锤式破碎机
- 花岗岩石破碎机
- 高效破碎机
- 双齿破碎机
- 煤矸石破碎机
- 四辊破碎机
- 环锤式破碎机
- 小型破碎机
- 双轴破碎机
- 单辊式破碎机
- 对辊式破碎机
- 圆锥式破碎机
- 振动给料机
- 圆振动筛
- 斗式提升机
- 直线振动筛
- 电磁振动给料机
- 滚筒筛沙机
- 高频筛
- 振动筛
- 滚筒洗石机
- 干式磁选机
- 螺旋溜槽
- 螺旋分级机
售后服务
客户购机前,公司免费派工程技术人员到用户现场为用户规划场地、...
- 先简单说下结论:1.SSL/TLS+HTTP=HTTPs2.SSL/TLS+TCPandUDP=SSLVPN一,什么是SSL/TLSTransportLayerSecurity,直接参考wiki定义,全面又准确。SSL/TLS基本上伴随了互联网的成长,到现在它仍然是具有非常活跃生命力的协议,例如今年起草的TLS1.3。二,为什么是SSL/TLS最初就是为了使HTTP传输更安全,HTTP变成了HTTPs。而随着技术发展,SSL/TLS不仅能为HTTP提供安全保障,也能为其他应用层协议提供保障例如mail,DNS,FTP等,这就是SSLVPN。所以SSL/TLS是一个安全协议,它能在不安全的网络上创建安全的连接,提供安全的数据交换,防止数据受到窃听及篡改。三,SSL/TLS架构SSL/TLS所处的位置位于传输层(TCP/UDP)和应用层(Application)之间,如上图。所以意图很明显,就是要对上层应用提供安全保障。SSL/TLS自己本身的结构又分为两个协议,握手协议(HandshakeProtocol)和记录协议(RecordLayerProtocol),握手协议又分为三个子协议,握手协议(HandshakeProtocol),改变密码规范协议(ChangeCipherSpecProtocol)和告警协议(AlertProtocal)。SSL/TLS报文采用TLV编码方式,不同的值代表不同的报文,具体如下图,HandshakeProtocol功能提供一些重要的安全功能。它执行认证(Authentication),协商加密(Negotiatestheencryption),Hash和压缩算法(Compressionalgorithms)的交互HandshakeProtocolContent值22,包含“ClientHello”,“ServerHello”,“Certificate”和“ServerHelloDone”,4种消息类型,用于SSL/TLS连接建立ChangeCipherSpecProtocolContent值20,它通知对端改变在Handshake阶段协商的加密信息,随后记录层协议都需要使用新的加密方法。TheAlertProtocolContent值21.将错误信息或连接状态改变通告给对方。工作流程如下:RecordProtocol功能从应用层接受和加密数据,然后将处理好的数据交给传输层。它将应用层数据进行加工,通过加密算法对数据进行适当大小的分片,压缩(可选)。如果是对接收的数据则进行解密和解压缩这里就涉及到一个问题,RecordProtocol如何处理上层应用的数据。ApplicationProtocolContent值23,只用来传送datapayload.工作流程如下:四,SSLVPN前面理论介绍完,要开始SSLVPN了。VPN,它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。先以SSL+HTTP=HTTPs为例。原先没有SSL的时候,HTTP的连接是如下图的,数据明文,传输过程不加密,不认证。但是加了SSL以后,连接如下图:在TCP完成以后直接执行SSL/TLS层的过程,再开始传输数据。从而起到了加密的作用。以上是通过HTTPs访问网站的过程,但是如果现在要访问的是公司内部的服务器,那我们可以延伸一下,Web代理模式现在假设某用户在公司内部搭建了一个SSLVPN服务器,在服务器上建立一个Web网站(https://sslvpn.com),然后再将公司内部基于Web的应用(例如报表,订单等)映射到这个Web网站上。这时外部工作人员只需要通过Https登录这个网站,然后点击这个网站上的link,网站就会将https的连接解密后转换成Http连接,代理访问到内部的Web服务器,这样就可以安全的访问内部的Web资源了。这就是最基本的SSLVPN形式,Web代理模式。但是这还是有点问题,这个方式只能访问Web或基于Web的应用,但如果内部的应用不是基于Web的,这种方式还能使用吗?例如,现在要访问FTP怎么办?所以这种方式就不灵了,必须采用其他的方式端口映射由于SSL只能封装在TCP之上,所以端口映射服务器只能针对内部的TCP应用,如FTP应用(tcpport21)。TLS可以支持UDP。这里有两个地方需要做一些改变,第一个改变在SSLVPN服务器,此时,SSLVPN服务器为内部FTP服务器做了端口映射,TCP2021端口映射到FTP的TCP21另一个地方在于公网用户PC上。如果PC直接发起TCP21的连接,那么这将是一个明文的且没有SSL加密的访问,所以我们必须在客户端上安装一个小的SSLVPN的agent,用这个agent来代理FTP的访问,SSLVPN服务器会让公网用户PC自动加载SSLVPNagent程序。当PC访问FTP时,SSLVPNagent会生成一个静态host映射表项,并告诉PC,访问FTP其实就是访问127.0.0.2,那么PC访问的是TCP127.0.0.2:21,SSLVPNagent会监听这个内部地址,然后会对这个访问进行代理,变换成访问服务器TCP6.16.5.6:2021,最后该TCP访问会使用SSL进行加密;访问过程如下:我们可以发现端口映射使整个访问过程由三段会话组成:使用者应用程序与SSLVPN客户端程序的普通TCP会话、SSLVPN客户端程序与服务器的SSL会话、服务器与内部站点的普通TCP会话。但是另外的问题又来了,如果用户想访问基于IP的应用,例如,我要直接ping内部的服务器。这个就得采用第三种方式了IP连接这里仍然需要SSLVPNagent,此时的SSLVPNagent程序的目的是给用户PC创建一个虚拟网卡,然后虚拟网卡创建好后,SSLVPN服务器会给该用户从地址池中取一个地址分配给该用户,假设是192.168.1.2。此时,当PC发起对内部服务器(假设地址是10.6.16.1)的访问时,会先使用SSLVPNagent分配的地址192.168.1.2。该访问的数据包为SourceIP:192.168.1.2-->DestinationIP:10.6.16.1。然后SSLVPNagent会将这个访问当做应用层payload进行加密,然后在出口上封装公网IP,SourceIP:2.17.0.2(PC公网IP)-->DestinationIP:6.16.5.6(SSLVPN服务器公网IP)。当SSLVPN服务器接受到服务器的请求后,会拆掉外层包头SourceIP:2.17.0.2-->DestinationIP:6.16.5.6,解密数据包,发现是192.168.1.2-->DestinationIP:10.6.16.1的数据包,然后转发该数据包给内部服务器。具体过程如下:五,总结最后针对以上的应用,SSLVPN对于客户端有三种不同的部署模式,Web代理,针对Web或基于Web的应用,客户端采用无代理的模式(ClientlessMode);端口重定向,针对TCP或UDP(TLS支持)的应用,客户端采用轻代理的模式(Thin-ClientMode)IP连接,针对直接支持IP的应用,客户端采用隧道的模式(TunnelMode)
SSLVPN是如何工作的从运维部署角度如何快速理解他的工作过程
2019-11-11 04:51:00
- 上一条:上一篇:MaterialDesign的颜色值100200500是怎么表示的
- 下一条:下一篇:DotADOTA2选手有哪些值得钦佩的故事
