SSL VPN GitBook

经过多年的发展，SSL版本发展到了3.0，也被标准组织采纳为TLS（Transport Layer Security传输层安全） 1.0之中，所以SSL VPN也叫TLS VPN。 由于HTTPS具备安全性，也具备传输数据的能力，也就被研究VPN技术的专家盯上了，觉得HTTPS可以用于组建VPN方案，于是乎SSL VPN技术就呼之欲出了。 可随时自动获取、可弹性伸缩的云服务器 隔离的、私密的虚拟网络环境 虚拟专用网络VPN之旅

终端入云VPN支持客户端指定分配IP，支持主动断连 在集中星型 VPN 拓扑中，中心终端（集线器节点）与多个远程终端（辐射节点）连接。 手动或自动为 VPN 身份验证定义预共享密钥，没有默认密钥。 撤销的证书由联机证书状态协议 (OCSP) 服务器管理，或在存储于 LDAP 服务器上的证书撤销列表 (CRL) 中列出。

更新 IKE 提议和 IPSec 策略以匹配 威胁防御 6.70 中支持的策略，然后再部署配置更改。 对等体可以在从其他对等体接受证书之前对证书进行检查。 CA 还可以为不再参与网络的对等体撤销证书。 PKCS#12 或 PFX 文件将服务器证书、任何中间证书和私钥保存在一个加密文件中。

这些部署为所有员工提供对公司网络的受控访问权。 在点对点 VPN 拓扑中，两个终端彼此直接通信。 在创建新的 VPN 拓扑时，您必须至少为其提供唯一名称，指定拓扑类型，然后选择 IKE 版本。

如果符合强加密要求，在从评估许可证升级到智能许可证之前，请检查并更新加密算法以实现更强的加密，从而使 VPN 配置正常工作。 对于 IKEv2，您可以配置多个加密算法。 然而，通常情况下，应用于隧道的加密越强，系统性能越差。 而控制这一点的，则是您在向思科智能许可证管理器注册时是否选择了允许在设备上使用出口控制功能的选项。

Ipsec 提议是应用于设备上 VPN 接口的一个或多个加密映射的集合。 进入 IPsec 隧道的流量由安全协议和算法组合保护。 使用 IPsec，数据通过隧道在公共网络上传输。 如果生命周期不相同，则应用远程对等体策略中较短的生命周期。 第 1 阶段协商两个 IKE 对等体之间的安全关联，使对等体能够在第 2 阶段中安全通信。

通过为每种用途使用单独的密钥，泄露密钥的风险降至最低。 单独的签名和加密密钥有助于降低泄露密钥的风险。 生成一个用于签名和加密的通用 RSA、ECDSA 或 EDDSA 密钥对，也可以为每种用途生成单独的密钥对。 两个对等体上必须具有一个匹配的模数组。 模数越大，安全性越高，但需要的处理时间更长。

传入隧道数据包经过解码后才发送到 Snort 进程。 在 威胁防御设备上，默认情况下，不允许任何流量没有显式权限而通过访问控制。 IPsec 是设置 VPN 的最安全方法之一。

IKEv1 策略不支持下面列出的所有组。 对于 IKEv2，您可以配置多个散列算法。 在 IKE 策略中，散列算法创建消息摘要，用于确保消息的完整性。 如果不符合强加密要求，则只能选择 DES。 您要在安全性和性能之间实现平衡，在提供充分保护的同时不牺牲效率。 如果您使用的是评估许可证，或者您没有启用出口控制功能，则无法使用强加密。

此证书包含 CA 的公钥，用于解密和验证收到的对等体证书的 CA 数字签名和内容。 SSL 使用密钥进行加密而非签名，但是，IKE 使用密钥进行签名而非加密。 这对密钥相互补充，用其中一个密钥加密的任何内容都可用另一个密钥解密，保证了连接上数据流的安全性。 在公钥加密中，连接的每个终端均具有包含公钥和私钥的密钥对。 要配置预共享密钥，请选择是使用手动还是自动生成的密钥，然后指定 IKEv1/IKEv2 选项中的密钥。