02.hcie sec和參考1安全hc ssl技術(shù)原理

1、HC13031071SSL技術(shù)原理Copyright 2010Technologies Co.,.s.目標(biāo)學(xué)完本課程后，您將能夠:了解SSL的技術(shù)原理熟悉SVN產(chǎn)品的基本功能和特性掌握SSL配置方法Copyright 2010Technologies Co.,.s.Page 1目錄概述技術(shù)應(yīng)用場(chǎng)景分析1.2.3.SSLSSLSSLCopyright 2010Technologies Co.,.s.Page 2SSL概述SSLSSLCopyright 2010Technologies Co.,.s.Page 3SSL概述SecureNot SecureHTTPHTTPSSLTCPTCPI PI

2、PSSL在TCP/IP協(xié)議棧中的位置Copyright 2010Technologies Co.,.s.Page 4SSL與IPSec安全防護(hù)對(duì)比SSLIPSecTCPI PI PCopyright 2010Technologies Co.,.s.Page 5HTTPSSLAPP+DataTCP I PIPSec傳統(tǒng)存在L2TP及撥號(hào)不安全撥號(hào)上網(wǎng)的額外費(fèi)用撥號(hào)接入服務(wù)器端口限制缺少信息鑒別無(wú)基于應(yīng)用的控制策略泄漏內(nèi)網(wǎng)IPMPLSIPSec不安全無(wú)用戶認(rèn)證無(wú)應(yīng)用無(wú)審計(jì)無(wú)加密客戶端 NAT問(wèn)題安全風(fēng)險(xiǎn)用高無(wú)基于應(yīng)用的用戶認(rèn)證審計(jì)無(wú)控制造價(jià)高跨運(yùn)營(yíng)商互通互聯(lián)問(wèn)題適用于大型企業(yè)內(nèi)網(wǎng)互聯(lián)Copyrig

3、ht 2010Technologies Co.,.s.Page 6SSL技術(shù)優(yōu)勢(shì)SSL無(wú)客戶端的便捷部署應(yīng)用層接入的安全保護(hù)企業(yè)延展的效率Copyright 2010Technologies Co.,.s.Page 7SSL安全技術(shù)SSL協(xié)議從以下方面確保了數(shù)據(jù)通信的安全認(rèn)證性完整性Copyright 2010Technologies Co.,.s.Page 8目錄概述技術(shù)應(yīng)用場(chǎng)景分析1.2.SSLSSL3.SSLCopyright 2010Technologies Co.,.s.Page 9SSL協(xié)議結(jié)構(gòu)Copyright 2010Technologies Co.,.s.Page 10應(yīng)用層

4、協(xié)議SSL握手協(xié)議SSL變化協(xié)議SSL警告協(xié)議SSL協(xié)議TCPIPSSL主要協(xié)議介紹SSL協(xié)議過(guò)程通過(guò)3個(gè)元素來(lái)完成握手協(xié)議SSL協(xié)議結(jié)構(gòu)協(xié)議警告協(xié)議Change CipherSecure Sockets LayerCopyright 2010Technologies Co.,.s.Page 11TCPRecord LayerApplica tionaknd-eAlerHTTPSSL原理握手協(xié)議在用SSL進(jìn)行通信之前，首先要使用SSL的HandShake協(xié)議在通信兩端握手，協(xié)商數(shù)據(jù)傳輸中要用到的相關(guān)安全參數(shù)（如加密算法、共享密鑰、產(chǎn)生密鑰所要的材料CCntntServeroServero*Se

5、rver Key Exchange*Request*等），并對(duì)對(duì)端的驗(yàn)證。進(jìn)行ServeroDone*nt Key ExchangeVerify*CChangeCipherSpecFinishedChange Cipher SpecFinishedCopyright 2010Technologies Co.,.s.Page 12SSL握手協(xié)議第一階段客戶端首先發(fā) Co消息到服務(wù)器端，服務(wù)器端收到o消息回應(yīng)客戶端。nto消息后再發(fā)Server客戶端服務(wù)器CntoServeroCopyright 2010Technologies Co.,.s.Page 13SSL握手協(xié)議第二階段服務(wù)器向客戶端發(fā)送

6、消息?？蛻舳朔?wù)器*Server Key Exchange*Request*ServeroDoneCopyright 2010Technologies Co.,.s.Page 14SSL握手協(xié)議第三階段客戶端收到服務(wù)器發(fā)送的一系列消息并消化后，發(fā)送客戶端相應(yīng)的消息給服務(wù)器?？蛻舳朔?wù)器*Cnt Key ExchangeVerify*Copyright 2010Technologies Co.,.s.Page 15SSL握手協(xié)議第四階段完成握手協(xié)議，建立SSL 連接?？蛻舳朔?wù)器ChangeCipherSpecFinishedChange Cipher SpecFinishedCopyright

7、 2010Technologies Co.,.s.Page 16SSL原理會(huì)話恢復(fù)會(huì)話恢復(fù)是指只要客戶端和服務(wù)器已經(jīng)通信過(guò)一次，它們就可以通過(guò)會(huì)話恢復(fù)的方式來(lái)跳過(guò)整個(gè)握手階段而直接進(jìn)行數(shù)據(jù)傳輸。CntServerCntoSSL采用會(huì)話恢復(fù)的方式來(lái)減少SSL握手過(guò)程中造成的巨大開(kāi)銷。ServeroChangeCipherSpecFinishedChangeCipherSpecFinishedCopyright 2010Technologies Co.,.s.Page 17SSL原理協(xié)議協(xié)議主要用來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)塊的分SSL塊、加密、壓縮與解壓縮、完整性檢查及封裝各種協(xié)議。在SSL協(xié)議中內(nèi)容類型 主版

8、本號(hào)子版本號(hào) 壓縮長(zhǎng)度，所有的傳輸數(shù)據(jù)都被封裝在中，數(shù)據(jù)的協(xié)議規(guī)定了頭和SSL格式。被壓縮數(shù)據(jù)HMAC每個(gè)SSL包含以下信息：內(nèi)容類型；協(xié)議版本號(hào)，目前已有2.0和3.0版本；記錄數(shù)據(jù)的長(zhǎng)度；數(shù)據(jù)有效載荷：散列算法計(jì)算消息認(rèn)證代碼（MessageAuthenticate Code，簡(jiǎn)稱MAC),用于進(jìn)行數(shù)據(jù)完整性檢查和。Copyright 2010Technologies Co.,.s.Page 18SSL原理協(xié)議應(yīng)用數(shù)據(jù)分片壓縮增加HMAC加密增加SSL首部Copyright 2010Technologies Co.,.s.Page 19虛擬網(wǎng)關(guān)A整合了多種功能的虛擬SSL網(wǎng)關(guān)部門A員工SG

9、 AG部門B員工SG門USG通過(guò)虛擬網(wǎng)關(guān)提供SSL服務(wù)Copyright 2010Technologies Co.,.s.Page 20SSL功能技術(shù)介紹SVN安全接入網(wǎng)關(guān)USG系列設(shè)備先擬Web代文件終端安全關(guān)用戶安全絡(luò)代Copyright 2010Technologies Co.,.s.Page 21Web實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)Web資源的安全實(shí)現(xiàn)了無(wú)客戶端的頁(yè)面有兩種實(shí)現(xiàn)方式： Web-link和Web改寫(xiě)WebWebGWEB服務(wù)器用戶Copyright 2010Technologies Co.,.s.Page 22文件共享提供對(duì)內(nèi)網(wǎng)文件系統(tǒng)的安全采用協(xié)議轉(zhuǎn)換技術(shù)，無(wú)需安裝件系統(tǒng)；客戶端，直接通過(guò)通

10、用瀏覽器安全接入文將客戶發(fā)起的文件共享請(qǐng)求轉(zhuǎn)換成相應(yīng)的協(xié)議格式，與服務(wù)器進(jìn)行交互支持：SMB協(xié)議（Windows）NFS協(xié)議（LINUX）支持Windows(SMB)/UNIX(NFS)文件改 名文文(夾)文上文()Copyright 2010Technologies Co.,.s.Page 23文件共享實(shí)現(xiàn)過(guò)程以內(nèi)網(wǎng)Windows文件服務(wù)器為例：客戶端向內(nèi)網(wǎng)文件服務(wù)器發(fā)起HTTPS格式的請(qǐng)求，發(fā)送到USG；USGUSG將HTTPS格式的請(qǐng)求報(bào)文轉(zhuǎn)換為SMB格式的報(bào)文；發(fā)送SMB格式的請(qǐng)求報(bào)文給文件服務(wù)器。文件服務(wù)器接受請(qǐng)求報(bào)文，將請(qǐng)求結(jié)果發(fā)送給USG，用的是SMB報(bào)文；USG將SMB應(yīng)答報(bào)文

11、轉(zhuǎn)換為HTTPS格式；將請(qǐng)求結(jié)果（HTTPS格式）發(fā)送到客戶端；5SMB/NFSHTTPS643客12SMB/NFSHTTPSCopyright 2010Technologies Co.,.s.Page 24文件共享應(yīng)用特點(diǎn)文采用文加權(quán)文件共享有文要認(rèn)接入SVN增外Sucs factors當(dāng)然，Ctrl+C等組合鍵無(wú)法使用。Copyright 2010Technologies Co.,.s.Page 25本 文 系！端口轉(zhuǎn)發(fā)提供豐富的內(nèi)網(wǎng)TCP應(yīng)用服務(wù)廣泛支持靜態(tài)端口的TCP應(yīng)用單端口單服務(wù)器（如：net，SSH，MS RDP，VNC等）單端口多服務(wù)器（如： Lotus Notes）多端口多服

12、務(wù)器（如： Outlook ）支持動(dòng)態(tài)端口的TCP應(yīng)用動(dòng)態(tài)端口（如： FTP，Oracle）提供端口級(jí)的控制Copyright 2010Technologies Co.,.s.Page 26端口轉(zhuǎn)發(fā)實(shí)現(xiàn)原理SERVERCNTTCP 23提供對(duì)內(nèi)網(wǎng)TCP應(yīng)用的安全接入！應(yīng)用請(qǐng)TCP 110TCP 25SSLernetSVNTCP 21Copyright 2010Technologies Co.,.s.Page 27端口轉(zhuǎn)發(fā)應(yīng)用特點(diǎn)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)TCP應(yīng)用的廣泛支持端口轉(zhuǎn)發(fā)保證TCP應(yīng)用的安 全性、可 靠性，提 供方便快 捷的操作、管理方式！桌面、Outlook、Notes、FTP、SSH等所有數(shù)據(jù)流

13、都經(jīng)過(guò)加密認(rèn)證對(duì)用戶進(jìn)行的、認(rèn)證提供對(duì)TCP應(yīng)用的控制只需標(biāo)準(zhǔn)瀏覽器，不用安裝客戶端Copyright 2010Technologies Co.,.s.Page 28終端安全終端安全是在請(qǐng)求接入內(nèi)網(wǎng)的主機(jī)上部署一個(gè)查終端主機(jī)的安全狀況。，通過(guò)該檢終端安全包括：主機(jī)檢查檢查用戶用來(lái)合安全要求。內(nèi)網(wǎng)資源的主機(jī)是否符緩存清除接入虛擬網(wǎng)關(guān)的主機(jī)的痕跡。終端標(biāo)識(shí)碼認(rèn)證終端標(biāo)識(shí)碼是SVN從登錄虛擬網(wǎng)關(guān)的客戶端上收集的硬件信息。通過(guò)管理員的配置，控制用戶只能在特定的終端上登錄虛擬網(wǎng)關(guān)。通過(guò)配置，確保接入虛擬網(wǎng)關(guān)的主機(jī)符合安全要求。Copyright 2010Technologies Co.,.s.Page

14、29網(wǎng)絡(luò)擴(kuò)展實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)所有復(fù)雜應(yīng)用的全網(wǎng)通過(guò)建立安全SSL隧道，實(shí)現(xiàn)對(duì)基于IP的內(nèi)網(wǎng)業(yè)務(wù)的全面實(shí)現(xiàn)方式：ActiveX控件；客戶端方式：一次安裝，零配置；全路由模式（Full Tunnel）分離模式（Split Tunnel ）手動(dòng)模式（Manual Tunnel ）Copyright 2010Technologies Co.,.s.Page 30網(wǎng)絡(luò)擴(kuò)展實(shí)現(xiàn)過(guò)程在客戶端控件，安裝虛擬網(wǎng)卡，虛擬網(wǎng)卡獲得一個(gè)可被內(nèi)網(wǎng)識(shí)別的IP地址；客戶端發(fā)起基于IP的內(nèi)網(wǎng)應(yīng)用，虛擬網(wǎng)關(guān)截獲報(bào)文進(jìn)行封裝加密，發(fā)往USG；USG對(duì)報(bào)文后發(fā)往內(nèi)網(wǎng)服務(wù)器；內(nèi)網(wǎng)服務(wù)器的響應(yīng)報(bào)文發(fā)到USG，由USG進(jìn)行封裝加密，發(fā)往客戶端

15、Server。Cnt0000擬20源IP目的IP始文源IP目的IP后Copyright 2010Technologies Co.,.s.Page 31000000FullTunnel全路由模式總部?jī)?nèi)網(wǎng)資源LANernetSSL隧道全通道方式,所有流量都流向網(wǎng)關(guān)Copyright 2010Technologies Co.,.s.Page 32SplitTunnel分離模式LAN總部?jī)?nèi)網(wǎng)資源ernet分離通道方式：除了SSL隧道可以夠內(nèi)網(wǎng)，還能客戶端所在的本地子網(wǎng)。Copyright 2010Technologies Co.,.s.Page 33ManualTunnel手動(dòng)模式LAN總部?jī)?nèi)網(wǎng)資源e

16、rnet自定義方式：能夠內(nèi)定網(wǎng)段的資源，同時(shí)SSL隧道，客戶端本地子網(wǎng)和ernet的操作不受影響。Copyright 2010Technologies Co.,.s.Page 34認(rèn)證認(rèn)證：DB 認(rèn)證服務(wù)器認(rèn)證第（Radius、LDAP、AD、SecurID）數(shù)字認(rèn)證（X.509 / USB Key + X.509）輔助認(rèn)證認(rèn)證服務(wù)器文件服務(wù)器ernetWeb服務(wù)器OA服務(wù)器Copyright 2010Technologies Co.,.s.Page 35完善的日志功能虛擬網(wǎng)關(guān)管理員日志用戶日志日志導(dǎo)出系統(tǒng)日志日志查詢Copyright 2010Technologies Co.,.s.Page

17、 36SSL功能總結(jié)WebWebWebSSL文件共享文件終端安全端口轉(zhuǎn)發(fā)SVNNotes、net等TCP應(yīng)用IPSec網(wǎng)絡(luò)擴(kuò)展其他復(fù)雜業(yè)務(wù)IPSecCopyright 2010Technologies Co.,.s.Page 37目錄概述技術(shù)應(yīng)用場(chǎng)景分1.2.3.SSLSSLSSLCopyright 2010Technologies Co.,.s.Page 38SSL應(yīng)用場(chǎng)景典型網(wǎng)絡(luò)位置合動(dòng)辦公USG業(yè)支WEB服務(wù)器客NFS數(shù)據(jù)庫(kù)加密的內(nèi)外連接標(biāo)準(zhǔn)的連接網(wǎng)關(guān)多部署于企業(yè)的網(wǎng)絡(luò)出，應(yīng)用服務(wù)器之前，介于用SSL戶和服務(wù)器之間，控制兩者的通信。Copyright 2010Technologies C

18、o.,.s.Page 39SSL單臂組網(wǎng)模式應(yīng)用場(chǎng)景分析單臂和雙臂組網(wǎng)的方式，多用于SVN設(shè)備，SVN單臂掛接在、路由器或交換機(jī)上，內(nèi)網(wǎng)和式稱為單臂模式。ernet 都通過(guò)這個(gè)網(wǎng)口與SVN進(jìn)行通信，這種模合伙V辦公數(shù)據(jù)庫(kù)分支AAAWEB服務(wù)器客戶加密的內(nèi)外連接標(biāo)準(zhǔn)的連接Copyright 2010Technologies Co.,.s.Page 40SSL雙臂組網(wǎng)模式應(yīng)用場(chǎng)景分析SVN 雙臂掛接在、路由器或交換機(jī)上。內(nèi)網(wǎng)和ernet 都通過(guò)不同的網(wǎng)口與SVN進(jìn)行通信，這種模式稱為雙臂模式。V數(shù)據(jù)庫(kù)分AAAWEB 服務(wù)器公加密的內(nèi)外連接標(biāo)準(zhǔn)的連接Copyright 2010Technologie

19、s Co.,.s.Page 41SSL應(yīng)用運(yùn)營(yíng)商IDC應(yīng)用企A托管IDSSSLB企客A群SWernetSSLFW企客BCIDC客CCopyright 2010Technologies Co.,.s.Page 42火SSL網(wǎng)在SVN上啟用Web功能配置步驟：配置接口IP地址綁定Web和IP地址，并綁定使用的端口。運(yùn)行網(wǎng)絡(luò)瀏覽器程序，在地址欄鍵入SVN Web，格式為“，回車，進(jìn)入Web面。的IP地址”登陸頁(yè)在Web戶名和登錄頁(yè)面中輸入用，登錄SVN。Copyright 2010Technologies Co.,.s.Page 43虛擬網(wǎng)關(guān)配置及相關(guān)參數(shù)登錄到USG的Web管理頁(yè)面后，選擇“ SS

20、L虛擬網(wǎng)關(guān)管理”，新建虛擬網(wǎng)關(guān)。Copyright 2010Technologies Co.,.s.Page 44Web實(shí)例（一）在“虛擬網(wǎng)關(guān)列表”導(dǎo)航樹(shù)上單擊“Web”，進(jìn)入配置頁(yè)面。Copyright 2010Technologies Co.,.s.Page 45Web實(shí)例（二）點(diǎn)擊某一，能夠看到該對(duì)應(yīng)的web頁(yè)面：子頁(yè)面Copyright 2010Technologies Co.,.s.Page 46文件共享實(shí)例（一）在“虛擬網(wǎng)關(guān)列表”導(dǎo)航樹(shù)上單擊“文件共享”，進(jìn)入配置頁(yè)面。Copyright 2010Technologies Co.,.s.Page 47文件共享應(yīng)用實(shí)例（二）在客戶端頁(yè)

21、面上看到的文件共享資源列表：點(diǎn)擊文件共享列表中的某一資源，需要輸入用戶名、服務(wù)器進(jìn)行用戶認(rèn)證：、域，提交文件Copyright 2010Technologies Co.,.s.Page 48文件共享應(yīng)用舉例（三）看到該共享文件夾下的資源列表：Copyright 2010Technologies Co.,.s.Page 49文件共享應(yīng)用舉例（四）瀏覽文件：Copyright 2010Technologies Co.,.s.Page 50端口轉(zhuǎn)發(fā)應(yīng)用舉例（一）在“虛擬網(wǎng)關(guān)列表”導(dǎo)航樹(shù)上單擊“端口轉(zhuǎn)發(fā)”，進(jìn)入配置頁(yè)面。Copyright 2010Technologies Co.,.s.Page 51

22、端口轉(zhuǎn)發(fā)實(shí)例（二）點(diǎn)擊端口轉(zhuǎn)發(fā)“啟動(dòng)”按鈕，啟用端口轉(zhuǎn)發(fā)服務(wù)：Copyright 2010Technologies Co.,.s.Page 52端口轉(zhuǎn)發(fā)實(shí)例（三）可采用端口轉(zhuǎn)發(fā)對(duì)配置的資源進(jìn)行。舉例netCopyright 2010Technologies Co.,.s.Page 53終端安全舉例在頁(yè)面上可配置配置主機(jī)檢查策略。Copyright 2010Technologies Co.,.s.Page 54終端安全舉例Copyright 2010Technologies Co.,.s.Page 55終端安全舉例Copyright 2010Technologies Co.,.s.Page 56

23、網(wǎng)絡(luò)擴(kuò)展實(shí)例（一）在頁(yè)面上可配置客戶端IP分配方式以及客戶端路由方式。Copyright 2010Technologies Co.,.s.Page 57網(wǎng)絡(luò)擴(kuò)展實(shí)例（二）點(diǎn)擊網(wǎng)絡(luò)擴(kuò)展啟動(dòng)按鈕，啟動(dòng)網(wǎng)絡(luò)擴(kuò)展功能。網(wǎng)絡(luò)擴(kuò)展啟動(dòng)成功后，在電腦任務(wù)欄上會(huì)提示網(wǎng)絡(luò)擴(kuò)展已啟動(dòng)。Copyright 2010Technologies Co.,.s.Page 58網(wǎng)絡(luò)擴(kuò)展實(shí)例（三）查看PC 機(jī)的IP地址，已經(jīng)分配到了地址池中的地址。此時(shí)，可以開(kāi)始使用網(wǎng)絡(luò)擴(kuò)展功能網(wǎng)絡(luò)資源。Copyright 2010Technologies Co.,.s.Page 59網(wǎng)絡(luò)擴(kuò)展實(shí)例（四）應(yīng)用實(shí)例登錄桌面，瀏覽內(nèi)應(yīng)用實(shí)例 FTP：網(wǎng)文件Copyright 2010Technologies Co.,.s.Page 60DB應(yīng)用實(shí)例（一）在虛擬列表中，點(diǎn)擊“DB配置”進(jìn)入此頁(yè)面。Copyright 2010Technologies Co.,.