天融信SSLVPN产品培训.ppt

SSL协议主要提供三方面的服务 ： 用户和服务器互相认证其合法性 加密数据隐藏传输 保护数据的完整性 SSL协议通信流程： 接通阶段：Hello 密码交换阶段：双方交换认可的密钥算法。 会谈密码阶段：双发选择确定会谈密钥。 结束阶段：双发告知对方结束协商。 数据通讯：开始安全的交换数据。 SSL协议安全交互说明：假设B要从A安全的获取数据 SSL协议握手过程： Client-------------------------------Server Client告诉Server我要和你通讯，我支持的加密算法和密钥交换算法有SSL_RSA_WITH_RC4_128_MD5 Client -----------------------------Server Server告诉Client我们就用SSL_RSA_WITH_RC4_128_MD5这一组好了，我把我的证书发给你，里面包含我的名字和公钥，你来验证。 Client ------------------------------- Server Client验证Server的证书，然后产生对称密钥并用Server的公钥加密，封装在ClientKeyExchange中发给Server Client ------------------------------- Server Client告诉Server我将以协商好的方式发送密文了，结束握手吧 Client ------------------------------ Server Server告诉Client我将以协商好的方式发送密文了，结束握手吧。 疑问： 1.SSL协议的报文格式是什么？ SSL协议是一种处理协议没有自己特定报文格式，它是将原有报文中的应用层数据进行加密处理。 2.SSL协议为什么安全？ a.对称加密技术：对称密钥，加密解密的密钥相同，快捷 b.非对称加密技术：密钥分为公钥和私钥两部分，用公钥加密的数据只能用对应的私钥解密，更安全但速度慢。 c.PKI：(Public Key Infrastructure)：公开密钥体系包括CA、对称加密技术、非对称加密技术等，是提供数据安全服务的基础设施。 d.密钥算法：RSA，RC4、MD5、3DES等（这些都是非常成熟的加密技术，确保数据安全） SSL协议怎么实现安全通讯的： 1.Client和Server握手时，双方会交换各自的公钥并进行身份验证，并协商出对称密钥。而私钥自己妥善保管确保不会泄露。 2.认证时，数据发送方A先用对方B的公钥加密对称密钥发送给B。（加密的内容只有B用自己的私钥才能解密） 3. 传输数据时，发送方A再用对称密钥加密要传输的数据发送给对方B。 4.数据接收方B收到数据后，先用自己的私钥解密得到对称密钥。（只有自己可以解密因为自己的私钥别人没有） 5.接收方B再用对称密钥解密真正的数据。 总之：用SSL协议传输数据是绝对安全的。 SSL VPN就是利用上述SSL协议的安全特性构建的VPN应用。 SSL VPN的实现方式一般是在企业的防火墙后面放置一个SSL VPN设备如图所示： SSL VPN的特点（优点）： 保护对象是应用，而不会向外公开1台主机或一个网络。所以不容易受到病毒蠕虫的威胁和黑客的攻击，更加安全 由于SSL VPN是建立在TCP协议之上的，所以只要网络是通的就可以应用SSL VPN，不会有IPSEC VPN的NAT穿越防火墙的技术困扰。 因为SSL VPN通过Web浏览器或者应用软件访问，所以不需要安装特定的客户端软件，降低了成本 由于目前流行的浏览器都能很好的支持SSL协议，所以SSL VPN应用灵活广泛 所有数据都是通过443端口转发的，应用时防火墙只需要打开443端口即可，不必改变现有网络环境，更易用更安全 由于是对应用数据的加密传输，速度会所影响，可以用硬件加密卡弥补 不易实现象IPSEC VPN的全网接入功能（我们的产品有一项功能弥补这个不足） 总的特点：安全、成本低、应用容易 SSL VPN和IPSEC VPN对比 TOPSEC SSLVPN 对比 IPSecVPN网络拓扑布局 VPN选择标准(总) VPN选择标准之用户类型 VPN选择标准之客户端网络与设备 VPN选择标准之应用于内容 天融信SSLVPN产品满足的需求：使员工、合作伙伴和分公司等可以通过不安全的网络环境安全、快捷、轻松的访问公司内的资源。 天融信SSLVPN产品的特点： 基于Web的管理和访问方式，简单易用 基于角色的用户管理机制，资源访问控制更加灵活，逻辑更加清晰 提供多种功能满足用户对各种应用的需求 支持IE、OPERA8.0、FireFox等多种浏览器 采用128位