ssl虚拟专线
虚拟专线的区别
ipsce 少量分支,运维成本高
ds 多分支扁平化
ssl资源下放,端到端
mpls 追求非常高的的链路质量,和保密性,服务质量有保障,跨运营商有优势
ssl概述
基于tcp的应用层协议提供安全连接,SSL介于TCP/IP协议栈第四层和第七层之间。SSL可以为HTTP协议提供安全连接。SSL协议广泛应用于电子商务、网上银行等领域,为网络上数据的传输提供安全性保证。
ssl协议的可以分为两层,底层为记录协议,主要负责对上层的数据进行分块,压缩,计算并添加mac,加密,最后把记录块传给对方。上层为握手协议,密码变化协议和警告协议。
SSL握手协议
客户端和服务器通过握手协议建立一个会话。会话包含一组参数,主要有会话ID、对方的证书、加密算法列表(包括密钥交换算法、数据加密算法和MAC算法)、压缩算法以及主密钥。SSL会话可以被多个连接共享,以减少会话协商开销。
第一阶段
过程描述:(1)客户端发送建立会话请求,其中包含版本,随机数,会话id,客户端支持的密码算法列表,和压缩方式列表。
(2)服务器也发送请求其中包含版本,随机数,会话id
(3-6)服务器继续发送证书,发送变化秘钥,证书请求,并发送发送结束
(7-11)客户端发送自己的证书,秘钥,已核实对方证书,以共通的加密算法加密发送一条信息,结束
(12,13)服务端以加密算法回复对方,结束
第二阶段,服务端向客户端发送消息
第三阶段,客户端收到消息并解析后。将本段的消息也发送给服务器
SSL密码变化协议:客户端和服务器端通过密码变化协议通知接收方,随后的报文都将使用新协商的加密算法列表和密钥进行保护和传输。
SSL密码变化协议:客户端和服务器端通过密码变化协议通知接收方,随后的报文都将使用新协商的加密算法列表和密钥进行保护和传输。
ssl的优势无客户端的便捷部署,应用层接入的安全保护,延展的效率提升
主要功能
Web代理:帮助访问,只能使用http协议
文件共享:类似代理,牵扯协议转发,支持smb和nfs
端口转发:针对tcp应用,必须有客户端,使用本地的应用代理来实现,改IP改端口
网络扩展:隧道技术
ssl封装
防火墙
支持2层,支持3层,支持混合复用
防火墙的四个区域
域内
域外
本地
非军事化区
包过滤技术:对需要转发的数据包,先获取包头信息,然后比较安全策略,决定放行或转发
安全策略工作流程
流量进入后先从条件逐一匹配,如果无匹配,直接丢弃,然后匹配动作,如果为允许,还会对包内进行检测
配置流程
防火墙的NAT
会话会保持,第一个包允许后,后续包也会允许,当一个允许的流量出去后,回来不需要重新匹配。
从内网到外网,需要允许私网源
从外网到内网,需要允许允许私网目的
总结,出,转换前。回,转换后