网络技术SSH工作原理 思科CCIE工程师必读-ielab

网络工程师的实用网络安全技术SSH工作原理 值得收藏

SEO：

网络技术SSH工作原理 思科CCIE工程师必读

       SSH 为 Secure Shell 的缩写，由 IETF 的网络小组（Network Working Group）所制定；SSH 为建立在应用层基础上的安全协议。SSH 是较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。

       在整个通讯过程中，为实现SSH的安全连接，服务器端与客户端要经历如下五个阶段：

一、协商阶段：（明文方式传输）

       1、服务器打开端口22，等待客户端连接。

       2、客户端向服务器端发起TCP初始连接请求，TCP连接建立后，服务器向客户端发送第一个报文，包括版本标志字符串，格式为“SSH－<主协议版本号>.<次协议版本号>－<软件版本号>”，协议版本号由主版本号和次版本号组成，软件版本号主要是为调试使用。

       3、客户端收到报文后，解析该数据包，如果服务器端的协议版本号比自己的低，且客户端能支持服务器端的低版本，就使用服务器端的低版本协议号，否则使用自己的协议版本号。

       4、客户端回应服务器一个报文，包含了客户端决定使用的协议版本号。服务器比较客户端发来的版本号，决定是否能同客户端一起工作。

       5、如果协商成功，则进入密钥和算法协商阶段，否则服务器端断开TCP连接。

二、密钥算法协商：

       1、服务器端和客户端分别发送算法协商报文给对端，报文中包含自己支持的公钥算法列表、加密算法列表、MAC（Message Authentication  Code，消息验证码）算法列表、压缩算法列表等。

       2、服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法。

       3、服务器端和客户端利用DH交换（Diffie-Hellman Exchange）算法、主机密钥对等参数，生成会话密钥和会话ID。

       通过以上步骤，服务器端和客户端就取得了相同的会话密钥和会话ID。对于后续传输的数据，两端都会使用会话密钥进行加密和解密，保证了数据传送的安全。

认证阶段：

       1、客户端向服务器端发送认证请求，认证请求中包含用户名、认证方法、与该认证方法相关的内容（如：password认证时，内容为密码）。

       2、服务器端对客户端进行认证，如果认证失败，则向客户端发送认证失败消息，其中包含可以再次认证的方法列表。

      3、客户端从认证方法列表中选取一种认证方法再次进行认证。

      4、该过程反复进行，直到认证成功或者认证次数达到上限，服务器关闭连接为止。

四、会话请求阶段：

       认证通过后，客户端向服务器发送会话请求。服务器等待并处理客户端的请求。在这个阶段，请求被成功处理后，服务器会向客户端回应SSH_SMSG_SUCCESS包，SSH进入交互会话阶段；否则回应SSH_SMSG_FAILURE包，表示服务器处理请求失败或者不能识别请求。

五、交互阶段

       会话请求成功后，连接进入交互会话阶段。在这个模式下，数据被双向传送。客户端将要执行的命令加密后传给服务器，服务器接收到报文，解密后执行该命令，将执行的结果加密发还给客户端，客户端将接收到的结果解密后显示到终端上。

       在交互阶段，客户端可以通过粘贴文本会话的方式发送要执行的命令，但文本会话不能超过2000字节。如果粘贴的文本会话超过2000字节，可以采用将配置文件上传到服务器，利用新的配置文件重新启动的方式执行这些命令。

了解最新开班，最新课程优惠，获取免费视频！一定要+WXdcm220681哦！

简单易懂网络安全技术SSL VPN全面解析 面试必备

SEO：

思科CCIE 网络安全技术SSL VPN 全面详解

       SSL VPN是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP协议）为基础的VPN技术，工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。

       SSLVPN是解决远程用户访问公司敏感数据最简单最安全的解决技术。与复杂的IPSecVPN相比，SSL通过相对简易的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要像传统IPSecVPN一样必须为每一台客户机安装客户端软件。

       SSL VPN广泛应用于基于Web的远程安全接入，为用户远程访问公司内部网络提供了安全保证。SSL VPN的典型组网架构如图 1所示。管理员在SSL VPN网关上创建企业网内服务器对应的资源；远程接入用户访问企业网内的服务器时，首先与SSL VPN网关建立HTTPS连接，选择需要访问的资源，由SSL VPN网关将资源访问请求转发给企业网内的服务器。SSL VPN通过在远程接入用户和SSL VPN网关之间建立SSL连接、SSL VPN网关对用户进行身份认证等机制，实现了对企业网内服务器的保护。

       SSL VPN的工作机制为：

       (1)        管理员以HTTPS方式登录SSL VPN网关的Web管理界面，在SSL VPN网关上创建与服务器对应的资源。

       (2)        远程接入用户与SSL VPN网关建立HTTPS连接。通过SSL提供的基于证书的身份验证功能，SSL VPN网关和远程接入用户可以验证彼此的身份。

       (3)        HTTPS连接建立成功后，用户登录到SSL VPN网关的Web页面，输入用户名、密码和认证方式（如RADIUS认证），SSL VPN网关验证用户的信息是否正确。

       (4)        用户成功登录后，在Web页面上找到其可以访问的资源，通过SSL连接将访问请求发送给SSL VPN网关。

       (5)        SSL VPN网关解析请求，与服务器交互后将应答发送给用户。

       SSL VPN是一种既简单又安全的远程隧道访问技术，使用非常简单。SSL VPN采用公匙加密的方式来保障数据在传输的过程中的安全性，它采用浏览器和服务器直接沟通的方式，既方便了用户的使用，又可以通过SSL协议来保证数据的安全。SSL协议是采用SSL/TLS综合加密的方式来保障数据安全的。SSL协议从其使用上来说可以分为两层：第一层是SSL记录协议，这种协议可以为数据的传输提供基本的数据压缩、加密等功能；第二层是SSL握手协议，主要用于检测用户的账号密码是否正确，进行身份验证登录。与IPSec VPN相比，SSL VPN具有架构简单、运营成本低、处理速度快、安全性能高的特点，所以在企业用户中得到大规模的使用。但是SSL协议是基于WEB开发的，通过浏览器来使用，由于近年来电脑病毒的多样性，要想保障SSL VPN的安全运营，就需要在SSL VPN的安全技术上有所更新。

认证方式：

1) LDAP认证：

       系统组织已经采用LDAP进行用户管理。它只需要在SSL VPN设备中根据LDAP中的OU组结构建立用户组结构，并为用户组绑定相应的OU结构，不需要再在设备中建立具体用户。当用户向SSL VPN提交用户名密码认证身份时，SSL VPN可自动将此认证信息提交给LDAP认证，并根据反馈的信息判断该用户是否为合法用户。

1) Radius认证

       在 SSL VPN设备中建立相应的用户组结构，并选用Radius认证并绑定相应的Class属性值。当用户向SSL VPN提交用户名密码认证信息时，SSL VPN就会将此信息以标准的Radius协议格式向Radius服务器发出认证请求，之后Radius将返回认证结果。

1) CA认证

       内置CA的SSL VPN安全网关，可以支持PKI体系的认证。

1) USB KEY认证

       将CA中心生成的数字证书颁发给USB KEY，并为该USB KEY设置PIN码。利用“硬件存储数字证书+PIN码”的方式为用户提供高安全的认证方式。

1) 硬件绑定

       仅使用用户名/密码认证的用户，为了保证用户登录 SSL VPN限定在某一台或是某几台客户端上，有效解决用户账号意外泄露、账号盗用导致数据泄露的问题，可绑定登录客户端。通常情况下，客户端绑定都是采用IP/MAC、MAC、IP绑定方式实现的。

1) 动态令牌认证

       动态令牌认证是技术领先的一种双因素身份认证体系，内嵌特殊运算芯片，与事件同步的技术手段。它是通过符合国际安全认可的OATH动态口令演算标准，使用HMAC-SHA1算法产生6位动态数字进行一次一密的方式认证。

        SSL VPN认证方式多种多样，指定的用户登录SSL VPN后，通过指定的账号访问指定的应用，可以达到增强重要系统认证安全性的目的。

了解最新开班，最新课程优惠，获取免费视频！一定要+WXdcm220681哦！