SSL/TLS和SSL VPN
1、SSL/TLS
SSL安全套接字层:是一种加密协议,用于在网络通信中建立安全连接。它在应用层和传输层(TCP/IP)之间提供数据加密、服务器身份验证以及信息完整性验证
SSL只保护TCP流量,不保护UDP协议
TLS:传输层安全协议
在SSH3.0版本后,更名为TLS
SSL协议中包含多个子协议,它们协同工作以确保通信的安全性
SSL握手协议:允许服务器和客户端相互认证,并在应用层协议传输数据之前协商出加密算法,哈希算法,和会话密钥等,然后通过这些参数去构建SSL会话
SSL密码变化协议:只有changecipherspec这一个信息,客户端和服务器都可以发送,目的是通知对端,后续的报文都将使用新协商后的加密套件和密钥进行保护和传输
SSL告警协议:告警机制,用于在SSL通信过程中传递与安全性相关的告警信息
SSL记录协议:用于封装高层协议的数据,对应用层数据加密之后,放置在记录层中
这四个协议并不一定同时会出现,握手协议,密码变化协议和告警协议可能在建立SSL会话时按照顺序出现,在数据传输过程中主要出现的是记录协议
1)SSL工作流程
第一步:TCP三次握手,建立网络连接会话
第二步:Client Hello
客户端的随机数:是生成会话密钥的一个参数,该会话密钥需要三个参数共同计算出来
加密套件:将加密算法、鉴别算法常用的组合搭配在一起,用于进行选择
第三步:Server Hello(SSL服务器回复消息)
注意:一般情况下,server hello和服务器的证书是分开发送的,当然也可以在一个数据包中发送
服务器证书是由CA机构颁布的,是通过CA机构的私钥,将服务器的公钥以及一些证书相关的信息进行加密之后的产物。客户端本身具有信任CA的公钥,则可以使用CA机构的公钥对服务器证书进行解密,之后得到服务器的公钥。
注意:服务器的身份认证是强制要求的,必须提供证书,证书如果不合法,则会提供一个选择给客户,可以选择继续访问。但是客户端的认证是可选的,如果需要认证,则服务器会发送请求证书的报文,之后,需要客户端提供自己的证书
Server key exchange:用于提示密钥变更
Server hello done:一条空信息,用于通知客户端服务器已经做好协商最终密钥的准备
也可以通过一个数据包来发送server hello以及证书等信息。
第四步:客户端回应
Pre-master-key:预主密钥,本质也是一个随机数,用于计算最终的会话密钥,但是这个参数可以被服务器的公钥进行加密传输(电脑生成的随机数是伪随机数,所以使用三个伪随机数计算最终的密钥,会更加安全一些。)
第五步:服务器回应
在客户端中,可以携带这个会话复用票据,用于省略会话建立过程中,身份认证的环节,仅协商算法和密钥即可
会话票据:客户端在下次与服务器通信时,可以携带这个Session Ticket,以告知服务器自己希望复用之前的会话密钥。
如果服务器验证通过Session Ticket的有效性,就可以直接使用其中的会话密钥,而无需再次进行完整的TLS握手过程
1、无客户端认证的握手过程
2、有客户端认证
3、会话复用场景
SSL工作流程总结:在TCP三次握手建立网络连接后,客户端向服务器发送Client Hello与服务器协商参数,服务端回复Server Hello确认参数并发送证书。客户端验证服务器证书,生成并使用服务器公钥加密发送预主密钥。服务器解密预主密钥并生成会话密钥,使用会话密钥进行数据传输
2)SSL协议数据传输流程
1. 分片(Fragmentation):SSL协议会将较大的应用数据分成较小的数据块进行传输,以避免单个过大的数据包可能造成的网络拥塞或处理不当的问题
2. 压缩(Compression):SSL 3.0及其后续版本支持数据压缩功能,以减少通过网络传输的数据量,从而加快数据传输速度并节约带宽
3. 增加HMAC(Hashing):HMAC是一种数据完整性检验方法,用于确保数据的完整性不被破坏。SSL协议使用HMAC来确保消息的完整性,防止数据在传输过程中被篡改。
4. 加密(Encryption):SSL协议通过使用对称密钥加密算法(如AES、DES、3DES等)对应用层数据进行加密,以确保数据的保密性。
5. 增加SSL记录首部(Record Header):SSL协议的记录层负责将应用层数据转换为SSL记录,并为每个记录添加首部信息,包括版本号、SSL记录类型、序列号、以及是否包含压缩选项等信息。首部信息之后是对称密钥加密后的应用层数据。SSL记录首部提供了SSL记录的元信息,帮助后续的解密过程正确地组装和解密记录层的数据。
SSL协议脆弱性分析:
- 无法保护UDP应用
- 客户端假冒
- SSL协议不能对抗流量分析
2、SSL VPN
IPSEC在Client to LAN场景下比较吃力的表现:
- 在用户认证方面比较薄弱
- 因为需要进行参数协商,所以,IPSEC VPN需要客户端安装对应的应用程序;
- 因为需要进行感兴趣流的抓取,所以,策略需要进行调整,不太方便;
- 因为IPSEC VPN是基于网络层和传输层进行权限管理,但也仅能深入到服务层面,如果我们需要一款可以针对应用层面进行更细细颗粒管理的VPN技术,就不能选择IPSEC VPN
SSL VPN的优势:
- 因为SSL协议封装在传输层和应用层之间,仅针对应用层的数据进行保护,这样,在进行组网时,任何场景下都不会影响到网络传输;
- SSL VPN采用的是一种基于B/S架构的模式,所以,只要客户拥有浏览器就可以访问,方便快捷;
- 最主要的是,和IPSEC VPN针对网络层的控制相比,SSL VPN可以基于应用层做更细颗粒度的控制。
SSL VPN:虚拟网关技术,是一种基于SSL加密技术的虚拟私人网络。可以理解为是用户的一个接入的接口,用户可以通过在浏览去中输入虚拟网关的IP地址(或者域名)访问到虚拟网关,这个过程需要进行用户认证,划分用户的权限。用户认证通过后,虚拟网关会向远程用户提供可也访问的内网资源列表,远程用户通过点击或者触发便可访问到内网的资源。
一台防火墙可以创建多个虚拟网关,每个虚拟网关相互独立,互不影响,不同的虚拟网关可以
配置各自的用户和资源进行单独管理。
SSL VPN的总体流程:
1)认证
本地认证:本地认证就是用户名和密码信息在防火墙本地存储,登陆时在防火墙本地进行比对验证,由防火墙进行判断
服务器认证:用户名和密码信息存储在服务器上,防火墙需要将登录信息发送给服务器,由服务器进行判断,之后将结果返回给防火墙,做出对应的动作
证书匿名认证:需要客户端提交证书,防火墙通过验证客户端的证书来认证用户
要求:
- 客户端证书和防火墙上导入的客户端CA证书由同一个CA机构颁发
- 客户端证书必须在有效期内
- 客户端证书中用户过滤字段必须是防火墙上配置已有的用户。例如,用户过滤字段的结果CN=user00019
证书挑战认证:比证书匿名认证多增加了用户名密码校验,可以理解为双因子验证
2)资源发布
1、Web代理
2、文件共享
3、端口转发
可以针对所有TCP协议的资源进行发布
使用ActiveX控件
4、网络扩展
需要在用户客户端上安装一张虚拟网卡,会下发一个私网的IP地址和路由
可靠传输模式:
快速传输模式:
相关文章:

SSL/TLS和SSL VPN
1、SSL/TLS SSL安全套接字层:是一种加密协议,用于在网络通信中建立安全连接。它在应用层和传输层(TCP/IP)之间提供数据加密、服务器身份验证以及信息完整性验证 SSL只保护TCP流量,不保护UDP协议 TLS:传输层…...
浅谈WebSerice
一. 什么是WebService Web Service也称为web服务,它是一种跨编程语言和操作系统平台的远程调用技术。Web Service采用标准的SOAP协议传输(SOAP:Simple Object Access Protocol简单对象访问协议,soap属于w3c标准。并且soap协议是基…...
linux快速入门-学习笔记
linux快速入门-学习笔记 第一章:Linux系统概念及命令学习Linux系统基本概念命令终端介绍命令格式介绍Linux系统辨别目录与文件的方法通过文件详细属性辨别ls 查看目录/文件命令Linux 系统下的归属关系命令行编辑技巧Linux 基本权限的类别课后练习 第二章:…...
科普文:5种Linux下软件部署方式说明
在Linux世界里,高效、灵活地安装和管理软件是每个系统管理员和开发者的基本功。从传统的RPM包管理,到便捷的YUM软件仓库,再到颠覆性的Docker容器技术,Snap,源码安装,每一种方法都有其独到之处,适…...
Redisson中的RBlockingQueue的使用场景及例子
Redisson 的 RBlockingQueue 是一个实现了 Java BlockingQueue 接口的分布式队列,它可以用于在分布式系统中实现生产者-消费者模式。RBlockingQueue 提供了线程安全的阻塞队列操作,允许生产者在队列满时阻塞,消费者在队列空时阻塞,…...

【办公软件】Office 2019以上版本PPT 做平滑切换
Office2019以上版本可以在切页面时做平滑切换,做到一些简单的动画效果。如下在快捷菜单栏中的切换里选择平滑。 比如,在两页PPT中,使用同一个形状对象,修改了大小和颜色。 选择切换为平滑后,可以完成如下的动画显示。 …...
connect-multiparty中间件用法以及实例--文件上传中间件(保姆级别教学)
connect-multiparty中间件的用法包括安装和引入、基本设置、路由应用、文件处理以及安全和优化等步骤。 connect-multiparty是一个专为Connect和Express框架设计的文件上传中间件,它基于multiparty库,用于处理多部分表单数据,尤其针对文件上传…...

0503触发器的电路结构和工作原理
触发器的电路结构和工作原理 如何区分锁存器还是触发器, 看有没有这个三角符号,告诉是上升沿触发还是下降沿触发,没有三角符号就是电平触发。低电平触发就画个小圈。高电平触发就不画小圈。有小圈的三角就是下降沿触发 setup建立时间 hold 保…...
LeetCode:二叉树的中序遍历(C语言)
1、前序遍历:根左右 2、中序遍历:左根右 3、后序遍历:左右根 1、问题概述:二叉树中序遍历 2、示例 示例 1: 输入:root [1,null,2,3] 输出:[1,3,2] 示例 2: 输入:root […...
MySQL数据库基本安装与部署
目录 概念 数据库的基本概念 关系型数据库 非关系型数据库 MySQL 商业版与社区版 示例 初始化MySQL 添加系统服务 概念 数据库的基本概念 数据(Data) 描述事物的符号记录包括数字、文字、图形、图像、声音、档案记录等以“记录”形式按统一的…...

paraFoam 运行 报错 usr/lib/x86_64-linux-gnu/libQt5Core.so 已解决
在日常项目开发中。使用ubuntu 视图开发的时候。报错 缺少 libQt5Core 核心组件! whereis libQt5Core.so.5sudo strip --remove-section.note.ABI-tag /usr/lib/x86_64-linux-gnu/libQt5Core.so.5 完美解决,并且能正常打开,前提是,…...

科技前沿:Llama 3.1的突破与革新
在科技的长河中,每一次模型的更新都是对人类智慧的致敬。今天,我们将聚焦于Meta公司最新发布的Llama 3.1系列模型,探索其在AI领域的前沿突破。 新模型的诞生 自去年以来,Meta公司不断推进人工智能技术的发展,终于在近…...
每天一个数据分析题(四百四十七)- 业务系统
业务系统往往因为系统故障、设备故障、人为失误等原因导致数据中存在异常数据,下列哪一项方法对于发现异常值有帮助( ) A. 计算均值加减三倍标准差的范围 B. 梯度下降法 C. 相关性分析 D. 计算四分位距 数据分析认证考试介绍:…...
如何保护你的网络安全?
在2024年4月,一次创纪录的DDoS(分布式拒绝服务)攻击震惊了网络世界,这次攻击达到每秒840百万数据包(Mpps)。你可能会问,DDoS攻击到底是什么?为什么它这么重要呢? 什么是…...

Nginx 怎样处理请求的重试机制?
🍅关注博主🎗️ 带你畅游技术世界,不错过每一次成长机会! 文章目录 Nginx 怎样处理请求的重试机制?一、为何需要重试机制?二、Nginx 中的重试机制原理三、Nginx 重试机制的配置参数四、Nginx 重试机制的实际…...

自己开发软件实现网站抓取m3u8链接
几天前一个同学说想下载一个网站的视频找不到连接,问我有没有什么办法,网站抓取m3u8链接 网页抓取m3u8链接。当时一听觉得应该简单,于是说我抽空看看。然后就分析目标网页,试图从网页源码里找出连接,有的源代码直接有,但是有的没有…...
[Python3] 多模式字符串搜索 `Aho-Corasick`
ahocorasick.Automaton 是 Python 中 pyahocorasick 库提供的一个类,用于实现 Aho-Corasick 自动机。Aho-Corasick 算法是一种用于精确或近似多模式字符串搜索的高效算法。 通过 pip install pyahocorasick 安装 pyahocorasick 库。 并且,该模块是用 C 编…...
4 Types of Kaggle Competitions
1---Featured Competitions🤑🤑 These are comprehensive Machine Learning challenges posed by difficult, often business-oriented predictive problems. For example, 1⃣️Using customers history of buying insurance to predict the price t…...
【STM32】stm32中GPIO_ReadInputDataBit()是什么意思
GPIO_ReadInputDataBit()函数用于读取指定GPIO端口的某一引脚上的电平状态,并返回该引脚的电平是高电平(1)还是低电平(0)。 在STM32单片机中,GPIO(General-Purpose Input/Output)端…...
Study--Oracle-07-ASM相关参数(三)
一、ASM初始化参数 1、ASM全量参数,见附件 2、ASM重要参数 无需求不需要调整 3、ASM权限 ASM的三大系统权限包括SYSDBA、SYSOPER和SYSASM。 SYSDBA(系统管理员):这是最高级别的权限,允许用户执行所有的数据库管理任务,包括启动和关闭数据库,以及执行…...
Python|GIF 解析与构建(5):手搓截屏和帧率控制
目录 Python|GIF 解析与构建(5):手搓截屏和帧率控制 一、引言 二、技术实现:手搓截屏模块 2.1 核心原理 2.2 代码解析:ScreenshotData类 2.2.1 截图函数:capture_screen 三、技术实现&…...

测试微信模版消息推送
进入“开发接口管理”--“公众平台测试账号”,无需申请公众账号、可在测试账号中体验并测试微信公众平台所有高级接口。 获取access_token: 自定义模版消息: 关注测试号:扫二维码关注测试号。 发送模版消息: import requests da…...
服务器硬防的应用场景都有哪些?
服务器硬防是指一种通过硬件设备层面的安全措施来防御服务器系统受到网络攻击的方式,避免服务器受到各种恶意攻击和网络威胁,那么,服务器硬防通常都会应用在哪些场景当中呢? 硬防服务器中一般会配备入侵检测系统和预防系统&#x…...
Auto-Coder使用GPT-4o完成:在用TabPFN这个模型构建一个预测未来3天涨跌的分类任务
通过akshare库,获取股票数据,并生成TabPFN这个模型 可以识别、处理的格式,写一个完整的预处理示例,并构建一个预测未来 3 天股价涨跌的分类任务 用TabPFN这个模型构建一个预测未来 3 天股价涨跌的分类任务,进行预测并输…...
Spring AI 入门:Java 开发者的生成式 AI 实践之路
一、Spring AI 简介 在人工智能技术快速迭代的今天,Spring AI 作为 Spring 生态系统的新生力量,正在成为 Java 开发者拥抱生成式 AI 的最佳选择。该框架通过模块化设计实现了与主流 AI 服务(如 OpenAI、Anthropic)的无缝对接&…...
css3笔记 (1) 自用
outline: none 用于移除元素获得焦点时默认的轮廓线 broder:0 用于移除边框 font-size:0 用于设置字体不显示 list-style: none 消除<li> 标签默认样式 margin: xx auto 版心居中 width:100% 通栏 vertical-align 作用于行内元素 / 表格单元格ÿ…...

技术栈RabbitMq的介绍和使用
目录 1. 什么是消息队列?2. 消息队列的优点3. RabbitMQ 消息队列概述4. RabbitMQ 安装5. Exchange 四种类型5.1 direct 精准匹配5.2 fanout 广播5.3 topic 正则匹配 6. RabbitMQ 队列模式6.1 简单队列模式6.2 工作队列模式6.3 发布/订阅模式6.4 路由模式6.5 主题模式…...

【C++进阶篇】智能指针
C内存管理终极指南:智能指针从入门到源码剖析 一. 智能指针1.1 auto_ptr1.2 unique_ptr1.3 shared_ptr1.4 make_shared 二. 原理三. shared_ptr循环引用问题三. 线程安全问题四. 内存泄漏4.1 什么是内存泄漏4.2 危害4.3 避免内存泄漏 五. 最后 一. 智能指针 智能指…...

客户案例 | 短视频点播企业海外视频加速与成本优化:MediaPackage+Cloudfront 技术重构实践
01技术背景与业务挑战 某短视频点播企业深耕国内用户市场,但其后台应用系统部署于东南亚印尼 IDC 机房。 随着业务规模扩大,传统架构已较难满足当前企业发展的需求,企业面临着三重挑战: ① 业务:国内用户访问海外服…...
Python 高级应用10:在python 大型项目中 FastAPI 和 Django 的相互配合
无论是python,或者java 的大型项目中,都会涉及到 自身平台微服务之间的相互调用,以及和第三发平台的 接口对接,那在python 中是怎么实现的呢? 在 Python Web 开发中,FastAPI 和 Django 是两个重要但定位不…...