淺析：華為的SSL

才發(fā)現(xiàn)V/P/N 會(huì)被屏蔽。。。下面的3個(gè)星號(hào)代表的就是這個(gè)
優(yōu)點(diǎn)：
最直接的優(yōu)點(diǎn)是無(wú)需客戶端，可以直接通過(guò)web界面進(jìn)行連接（web界面上你使用相應(yīng)的功能會(huì)幫你安裝對(duì)應(yīng)的插件）/技術(shù)優(yōu)點(diǎn)：封裝在TCP/IP 的4層以上，不受NAT的影響
適用的場(chǎng)景：
點(diǎn)到站點(diǎn)（point to site）,只需要一端有公網(wǎng)IP地址/端口，另一端可以是私網(wǎng)地址，實(shí)際場(chǎng)景：在外出差的員工訪問(wèn)公司內(nèi)網(wǎng)資源
需要根據(jù)不同的用戶做限制，可以使用SSL-×××的多個(gè)虛擬網(wǎng)關(guān)，實(shí)現(xiàn)訪問(wèn)隔離
SSL-×××的會(huì)話建立過(guò)程：
初次建立：

初次建立需要使用到13個(gè)報(bào)文交互。
已經(jīng)建立過(guò)了，會(huì)話恢復(fù)只需要6個(gè)包：

再次建立就減少了鏈路開銷。

SSL-×××提供的功能：

1. Web 代理：
   a. web代理有2種模式：web 改寫/web link
   i. web代理：提供了加密功能：能將將真實(shí)要訪問(wèn)的URL加密成亂碼，從而實(shí)現(xiàn)了隱藏內(nèi)部真實(shí)的URL，提供了安全性/適配終端:可以將頁(yè)面改寫從而適配類如安卓/電腦終端等
   ii. Web link ：只是簡(jiǎn)單的一個(gè)代理轉(zhuǎn)發(fā)功能，不做其他的處理，所帶來(lái)的優(yōu)點(diǎn)就是它的轉(zhuǎn)發(fā)處理速度快于web 改寫
   Web 代理的功能主要是提供了×××終端用戶訪問(wèn)內(nèi)部的web站點(diǎn)的能力

2. 文件共享：基于本人淺薄的了解，就是在文件共享業(yè)務(wù)中提供了簡(jiǎn)單的文件協(xié)議轉(zhuǎn)換的功能：SSL-×××服務(wù)器端將客戶端發(fā)送過(guò)來(lái)的HTTPS請(qǐng)求轉(zhuǎn)換為SMB協(xié)議請(qǐng)求報(bào)文（對(duì)應(yīng)windows系統(tǒng)）/NFS協(xié)議請(qǐng)求報(bào)文（對(duì)應(yīng)Linux系統(tǒng)）發(fā)往文件共享服務(wù)器，從而實(shí)現(xiàn)在web界面上可以訪問(wèn)遠(yuǎn)程文件的功能

3. 端口代理：端口代理簡(jiǎn)單地說(shuō)就是：服務(wù)器端會(huì)給客戶端分配已設(shè)置好的對(duì)應(yīng)IP要轉(zhuǎn)發(fā)的端口（比如說(shuō)X），當(dāng)客戶端要訪問(wèn)這個(gè)IP與端口時(shí)，本地會(huì)經(jīng)過(guò)處理后添加私有報(bào)文頭，再發(fā)往服務(wù)器端，服務(wù)器端拆封裝解密后再發(fā)給內(nèi)網(wǎng)服務(wù)器。
   端口代理可以實(shí)現(xiàn)基于TCP協(xié)議的應(yīng)用服務(wù)
   類如使用靜態(tài)端口的SSH/Telnet/遠(yuǎn)程桌面的需求，同時(shí)也能實(shí)現(xiàn)使用動(dòng)態(tài)端口的類如FTP被動(dòng)模式/Oracle
   下圖為原理圖：

4. 網(wǎng)絡(luò)擴(kuò)展：
   網(wǎng)絡(luò)擴(kuò)展就厲害了。。。它就相當(dāng)于給了你一個(gè)子網(wǎng)IP，讓你可以通過(guò)建立起來(lái)的SSL-×××隧道去訪問(wèn)內(nèi)網(wǎng)的全部資源（這個(gè)時(shí)候終端相當(dāng)于一部?jī)?nèi)網(wǎng)的主機(jī)）
   它的數(shù)據(jù)包轉(zhuǎn)發(fā)路徑其實(shí)是：首先，一個(gè)去往子網(wǎng)的包匹配到走向虛擬網(wǎng)卡，虛擬網(wǎng)卡收到后進(jìn)行封裝加密，再轉(zhuǎn)發(fā)向本地實(shí)際網(wǎng)卡，實(shí)際網(wǎng)卡再根據(jù)路由表轉(zhuǎn)發(fā)出去（此時(shí)的包3層為IP層，4層以上的SSL封裝中哈有1段3層IP層為內(nèi)網(wǎng)IP）。這其實(shí)就已經(jīng)是常規(guī)×××的包的模式了：嵌套多層三層。
   下圖為原理圖：

       i. 啟動(dòng)網(wǎng)絡(luò)擴(kuò)展功能，會(huì)觸發(fā)以下幾個(gè)動(dòng)作：
       ii. 遠(yuǎn)程用戶與虛擬網(wǎng)關(guān)之間會(huì)建立一條SSL ×××隧道。
       iii. 遠(yuǎn)程用戶本地PC會(huì)自動(dòng)生成一個(gè)虛擬網(wǎng)卡。虛擬網(wǎng)關(guān)從地址池中隨機(jī)選擇一個(gè)IP地址，分配給遠(yuǎn)程用戶的虛擬網(wǎng)卡，該地址作為遠(yuǎn)程用戶與企業(yè)內(nèi)網(wǎng)Server之間通信之用。有了該私網(wǎng)IP地址，遠(yuǎn)程用戶就如同企業(yè)內(nèi)網(wǎng)用戶一樣可以方便訪問(wèn)內(nèi)網(wǎng)IP資源。
       iv. 虛擬網(wǎng)關(guān)向遠(yuǎn)程用戶下發(fā)到達(dá)企業(yè)內(nèi)網(wǎng)Server的路由信息。

   虛擬網(wǎng)關(guān)會(huì)根據(jù)網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)中的配置，向遠(yuǎn)程用戶下發(fā)不同的路由信息。
   v. 遠(yuǎn)程用戶向企業(yè)內(nèi)網(wǎng)的Server發(fā)送業(yè)務(wù)請(qǐng)求報(bào)文，該報(bào)文通過(guò)SSL ×××隧道到達(dá)虛擬網(wǎng)關(guān)。
   vi. 虛擬網(wǎng)關(guān)收到報(bào)文后進(jìn)行解封裝，并將解封裝后的業(yè)務(wù)請(qǐng)求報(bào)文發(fā)送給內(nèi)網(wǎng)Server。
   vii. 內(nèi)網(wǎng)Server響應(yīng)遠(yuǎn)程用戶的業(yè)務(wù)請(qǐng)求。
   viii. 響應(yīng)報(bào)文到達(dá)虛擬網(wǎng)關(guān)后進(jìn)入SSL ×××隧道。
   遠(yuǎn)程用戶收到業(yè)務(wù)響應(yīng)報(bào)文后進(jìn)行解封裝，取出其中的業(yè)務(wù)響應(yīng)報(bào)文。
   網(wǎng)絡(luò)擴(kuò)展其實(shí)還有3種模式：
   i. 全路由模式：全部數(shù)據(jù)包都走向虛擬網(wǎng)卡，由虛擬網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)
   ii. 分離模式：數(shù)據(jù)包與本地實(shí)際網(wǎng)卡非同一網(wǎng)段的都走向虛擬網(wǎng)卡，賦予虛擬IP，這就導(dǎo)致除了與實(shí)際網(wǎng)卡同一網(wǎng)段的本地資源都不能訪問(wèn)：因?yàn)楸毁x予的是虛擬IP，本地子網(wǎng)是沒(méi)有回程路由的；對(duì)端子網(wǎng)都能訪問(wèn)
   iii. 手動(dòng)模式：手動(dòng)決定哪些子網(wǎng)是走向虛擬網(wǎng)卡，其他的仍然走向本地實(shí)際網(wǎng)卡
   我目前對(duì)華為的SSL-×××也就這些理解，目前在現(xiàn)網(wǎng)部署的話應(yīng)該是夠了，畢竟這篇只是入門篇，我參考的資料也是華為NA級(jí)別的資料。SSL-×××在現(xiàn)網(wǎng)種算是部署比較多的了，如果真是一個(gè)項(xiàng)目/現(xiàn)網(wǎng)的部署，建議各位還是學(xué)習(xí)一下會(huì)比較好
   需要注意的一點(diǎn)是：這篇并不是實(shí)際部署操作步驟，是偏向原理向的。至于實(shí)際部署的話。。。我確實(shí)有實(shí)際部署的經(jīng)驗(yàn)，看看有沒(méi)有看客需求的，如果有的話我再做這方面的吧，畢竟華為給的文檔其實(shí)就能當(dāng)大多數(shù)的模板了（我覺(jué)得應(yīng)該比我做的標(biāo)準(zhǔn)。。。）
   PS：這篇是基于華為的USG6000系列防火墻所寫的；文中的截圖部分來(lái)自華為的產(chǎn)品文檔和教育機(jī)構(gòu)的PPT