cisco anyconnect (SSL )为何能够访问网络层(使用远程桌面协议)?
发布网友
发布时间:2022-04-30 16:36
共1个回答
热心网友
时间:2023-10-09 00:41
首先SSL 不属于应用层。它属于表示层和会话层,在OSI模型中位于应用和传输层中间。
SSL VPN就是用到了系统已有的SSL协议来构建安全的通道,但并不等于SSL VPN只支持WEB应用。
目前,新的SSL VPN已经可以通过 【应用重定向】支持的IPSEC 的所有应用了。简单说就是将原应用再次进行封装,将原数据经过SSL构建的加密隧道发往服务端,然后进行解析还原后转发。
如下图,实际上正在ping 谷歌的DNS服务器并得到了回应。然而数据封装却看不到ICMP协议,可见ICMP必然是被重新封装了进入了VPN隧道,data部分必然包含了ICMP的数据包。等到服务端解密后即可看到,然后进行转发。
当然要实现上述功能,需要有插件和客户端。
无论你是安装思科的anyconnect 客户端或者是登陆网页输入账号密码,你都会自动形成你的虚拟VPN网卡,同时自动装好了其对应的驱动和插件。
至于你说的SSL over IPsec VPN,很少有人这么做,不过也是可行的。一般是指站点间的IPsec VPN,由于此VPN只提供了点到点的加密安全,可能有部分需求希望实现端到端的安全。可以在已有的IPsec VPN(比如公司已经搭建)隧道中,再构建一个SSL 隧道。不过效率会较低,其实也就是一个二次封装而已。
长沙宏宇提供专业的咨询与回复,希望对你有帮助
追问非常感谢!关于应用重定向,你的意思是指SSL VPN client对ICMP协议进行SSL封装,然后到了VPN server也就是cisco asa防火墙后再解析并转发ICMP协议对吗?追答是的 SSL VPN 都是用这种方式来解决非web应用
实际上思科的SSL VPN本身就有三种方式
1.无客户端模式
2.瘦客户端模式(端口转发)
3.全隧道模式
目前他厂商一般都是相当于思科最后一种模式,也就是会出现虚拟网卡,也会下载驱动等。
