[Seguridad de red] Diagrama completo de puntos de conocimiento del firewall (2)

Esta serie de artículos incluye:

• [Seguridad de red] Diagrama completo de puntos de conocimiento del firewall (1)
• [Seguridad de red] Diagrama completo de puntos de conocimiento del firewall (2)
• 【Seguridad de red】 Diagrama completo de puntos de conocimiento del firewall (3)

---

21. ¿Cómo es la lista de control de acceso del enrutador?

Por lo general, una regla se compone de varias ACL y una ACL también se denomina entrada . Un elemento de la tabla consta de objeto ( object), comportamiento ( action), selección ( option) estos $Compuesto\; por\; 3$ elementos.

Por ejemplo: lista de control de acceso estándar de Cisco , la entrada solo permite la dirección IP de origen como objeto y el comportamiento es elegir entre permitir ( permit) y denegar ( ). denyCuando se cumple la condición, es decir, cuando se activa el objeto, la opción puede especificar operaciones como "registro" o "entrada de tiempo válido". Si se utiliza la opción de hora efectiva, puede establecer una entrada que solo apunte al horario comercial de la empresa.

Lista de control de acceso extendida , el objeto no es solo la dirección IP, sino también el número de protocolo IP, la dirección IP de origen, la dirección IP de destino, el campo de datos ToS, el tipo ICMP, el mensaje ICMP, el número de puerto TCP/UDP de origen, el número de puerto TCP/UDP de destino. , si se ha establecido la sesión TCP, etc.

Por ejemplo: permita que 10.1.1.2el cliente con la dirección IP 172.16.1.1realice una conexión Telnet al servidor con la dirección IP, el puerto TCP de Telnet es 23y la lista de control de acceso es la siguiente:

access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet

22. ¿Cuál es la política de seguridad del firewall?

En comparación con la lista de control de acceso del enrutador, la mayor diferencia entre la política de seguridad del firewall es el objeto: el firewall usa el área como objeto y también puede usar información como el nombre del programa de aplicación y el nombre de usuario como objeto.

número de serie	área de origen	área objetivo	Dirección de la fuente	Dirección de destino	Puerto de destino	Comportamiento
1	Confianza	Desconfiar	192.168.1.0/24	Cualquier	Cualquier	Permitir
2	Confianza	Desconfiar	192.168.2.0/24	Cualquier	80	Denegar
3	Desconfiar	DMZ	Cualquier	10.1.1.1	80	Permitir

Por ejemplo: en la política de seguridad de la tabla anterior, cuando se comunica 192.168.2.1desde una zona confiable a un puerto en una zona no confiable , el firewall primero ejecuta los primeros 180$1$ política de seguridad, se descubre que la dirección de origen no coincide y no se ejecutaráAllow. Luego ejecuta el$2$ políticas de seguridad, encuentre que la dirección y el puerto coincidan, ejecútelasDeny, es decir, rechace la comunicación. La política de seguridad del firewall se ejecuta secuencialmente de arriba a abajo, lo que también se denomina búsqueda de políticas de seguridad (policy lookup).

AnyIndica que cualquier valor coincide con la política. Si hay comunicación no definida en la política de seguridad, como DMZla comunicación de la zona de confianza a la zona, el firewall la negará de forma predeterminada. Esta política se llama " Denegación predeterminada " ( implicit deny).

Si es necesario ejecutarlo cuando el firewall no coincide , puede configurar la política con el objeto y el comportamiento como Allowen la última línea de la política de seguridad .AnyAllow

número de serie	área de origen	área objetivo	Dirección de la fuente	Dirección de destino	Puerto de destino	Comportamiento
1	Confianza	Desconfiar	192.168.1.0/24	Cualquier	Cualquier	Permitir
2	Confianza	Desconfiar	192.168.2.0/24	Cualquier	80	Denegar
3	Desconfiar	DMZ	Cualquier	10.1.1.1	80	Permitir
4	Cualquier	Cualquier	Cualquier	Cualquier	Cualquier	Permitir

Por supuesto, la política de seguridad del firewall tiene un límite superior, que está determinado por la especificación del producto. Además, cuando haya más entradas, el rendimiento del dispositivo disminuirá en consecuencia.

23. ¿Qué es la política de seguridad de contenidos?

El firewall no solo puede establecer políticas de seguridad basadas en áreas, direcciones IP, números de puerto, aplicaciones, etc., sino que también utiliza políticas de seguridad de contenido para el control de la comunicación. La política de seguridad de contenido incluye antivirus , IPS (Sistema de prevención de intrusiones), filtrado de URL , DLP (Prevención de fuga de datos) y otros mecanismos de seguridad basados ​​en contenido, que pueden bloquear comunicaciones ilegales y evitar tráfico innecesario. También es posible no interceptar estas comunicaciones, sino registrarlas en el registro de alarmas y luego liberarlas.

La configuración predeterminada del dispositivo de seguridad es bloquear ataques de alta gravedad y registrar solo los ataques de baja gravedad en el registro de alarmas. Por supuesto, el nivel de gravedad se puede personalizar y la configuración también se puede modificar para bloquear ataques de baja gravedad.

Los antivirus y los IPS pueden tener errores de juicio, y los errores de juicio se dividen en errores falsos positivos y errores falsos negativos .

• El error falso positivo significa que no hay ningún comportamiento de ataque o intrusión de virus, pero se considera que es un comportamiento de ataque o intrusión de virus y se registra en el registro o se intercepta la comunicación. Este tipo de error es fácil de detectar para los usuarios.
• El error falso negativo significa que hay un ataque, pero se determina que no hay ataque y se permite la comunicación, pero no se registra en el registro y no se pueden detectar consecuencias graves. Los ataques no reconocidos sólo se pueden encontrar si hay un software antivirus o un firewall instalado en la PC. Este tipo de error generalmente se debe al hecho de que la firma digital en sí no existe, o la falla de detección se debe a que se cree erróneamente que la firma digital existe.

24. ¿Qué es NAT?

Las direcciones IP privadas solo pueden comunicarse en la red interna. Si desea acceder a la red externa (Internet), puede convertir la dirección IP privada a una dirección IP de la red pública a través de un enrutador o firewall. Este proceso se llama NAT ( ) Network Address Translator.

NAT solía ser una función de los enrutadores y, posteriormente, los firewalls en el borde de la red suelen utilizar esta función. Después de que los enrutadores y firewalls ejecutan la función NAT, también se denomina puerta de enlace ( gateway).

1. NAT estática

NAT estática (Static NAT) se refiere a la correspondencia uno a uno entre la dirección antes de la traducción NAT y la dirección después de la traducción NAT. Por lo general, una dirección de red privada corresponde a una dirección de red pública y la información correspondiente se configura manualmente en la puerta de enlace.

2. NAT dinámica

NAT dinámica (Dynamic NAT) sirve para configurar un grupo de direcciones IP (IP address pool) en la puerta de enlace, y el grupo de direcciones contiene varias direcciones IP. Cuando NAT establece una sesión, a las direcciones IP en el grupo de direcciones se les asigna una dirección IP traducida en secuencia. Dado que el rango de direcciones se puede configurar y cambiar manualmente, este método se utiliza más ampliamente.

Aunque es algo similar a la NAT estática, la dirección privada y la dirección de red pública tienen una relación de mapeo uno a uno, pero no es la dirección especificada después de la traducción NAT, sino la dirección válida que se asigna dinámicamente y se clasifica en primer lugar en el Grupo de direcciones IP.

3. NAT de origen

NAT de origen (Source NAT) sirve para realizar la traducción NAT en la dirección IP de origen del remitente. El cliente en la red interna de la empresa desea acceder al servidor en Internet. La dirección privada del cliente se utiliza como fuente de envío. Al enviar datos a la puerta de enlace, la dirección IP privada debe convertirse en una dirección IP pública.

Para comunicarse con servidores en Internet se deben utilizar direcciones IP públicas, pero las direcciones IPv4 son limitadas y es imposible asignar una dirección de red pública a cada cliente. En la mayoría de los casos, la NAT de origen puede ahorrar recursos de direcciones de red pública a través de NAT dinámica. Configure el grupo de direcciones en la puerta de enlace o utilice NAPT en la interfaz de la puerta de enlace para que la red privada pueda acceder a Internet.

La red externa solo puede ver la información de la dirección de la red pública y la NAT de origen puede ocultar la dirección IP realmente utilizada por el cliente, reduciendo así el riesgo de ser atacado por la red externa.

4. NAT de destino

La NAT de destino (Destination NAT) sirve para realizar la traducción NAT en la dirección IP de destino recibida.

Cuando un cliente de Internet desea acceder a un servidor de red interno a través de una puerta de enlace, dado que el servidor interno de la empresa utiliza una dirección de red interna, no se puede acceder a él directamente desde Internet y se requiere NAT de destino. Como agente del servidor interno, la puerta de enlace asigna la dirección de red interna del servidor a la dirección de la red pública. Cuando recibe un cliente de red externa que accede a la dirección de la red pública, la puerta de enlace convierte la dirección de destino del mensaje en la dirección privada de el servidor interno para completar el enrutamiento y el acceso. Los servidores de la empresa suelen estar ubicados en el área DMZ, lo que puede proteger la dirección del servidor interno de la red externa, evitando así que la red interna sea atacada.

5.TNA

Cuando hay una gran cantidad de clientes de intranet para comunicarse con la red externa, pero solo una o una pequeña cantidad de direcciones de red pública, la puerta de enlace no puede completar la asignación uno a uno de direcciones privadas y direcciones de red pública.

En este momento, la puerta de enlace necesita combinar el número de puerto TCP o UDP para completar la conversión de asignar múltiples direcciones privadas a una dirección de red pública. Este método de conversión se llama NAPT ( traducción de puerto de dirección de red ).Network Address Port Translation

25. ¿Qué es una VPN?

VPN , el nombre completo esVirtual Private Network, es una red privada virtual . VPN es una tecnología que utiliza la red pública proporcionada por los operadores de telecomunicaciones para construir una red interna.

Los datos financieros y de personal de la red interna son información confidencial para el mundo exterior y deben transmitirse internamente de forma cerrada. Si solo hay una oficina, puede crear una intranet a través de LAN. Sin embargo, si tanto Beijing como Shanghai tienen sucursales, es necesario construir una intranet entre las diferentes ubicaciones de las oficinas . Los operadores de telecomunicaciones cuentan con servicios de línea privada , que pueden completar la construcción de intranets en diferentes regiones. La línea arrendada es una línea que se usa sola, por lo que no hay necesidad de preocuparse por la escucha de datos y se puede garantizar la calidad de la comunicación, pero la línea arrendada es costosa.

También existe un servicio de acceso a Internet como el ADSL, que aunque es una red compartida, es barato y tiene una ventaja de coste a la hora de construir una intranet. Todos los enrutadores, firewalls y dispositivos VPN admiten la función IPsec-VPN. En cada sucursal, estos dispositivos se utilizan para establecer túneles IPsec para completar el establecimiento de VPN.

26. ¿Qué tipos de topologías de red tiene VPN?

Las topologías de red VPN comunes son VPN punto a punto , VPN central y VPN de acceso remoto .

1. VPN punto a punto

VPN punto a punto (site-to-site VPN) es una topología que conecta dos redes a través de un túnel IPsec. La puerta de enlace de la red, normalmente un dispositivo de red como un enrutador o un firewall, establece un túnel IPsec entre dos redes utilizando una topología punto a punto.

La red aquí se refiere a una red que no está en la misma red de área local, como cualquier sitio en las oficinas centrales de Chengdu o Guangzhou. Debido a que es siteuna conexión entre sitios ( ), se le llama VPN punto a punto.

2. VPN central

VPN central (hub and spoke VPN) es una topología en estrella, es decir, un dispositivo de sitio central está conectado a múltiples dispositivos de sitio remoto para formar una estructura de red. El sitio central (center site) en la red de la sede, es decir, el centro de datos, se convierte en el sitio central de toda la estructura. Generalmente, es un servicio VPN proporcionado por un proveedor de telecomunicaciones, con la infraestructura del proveedor de telecomunicaciones como sitio central y conectándose a otros sitios a través de la VPN.

3. VPN de acceso remoto

En casa o en un viaje de negocios, utilice el software en la PC para establecer un túnel IPsec con el dispositivo VPN de la empresa a través de Internet y pueda acceder a la topología de la red interna de la empresa, que se denomina VPN de acceso remoto .

Para el acceso remoto, IPsec-VPNdebe instalar el software cliente VPN en la PC, pero SSL-VPNusar SSL para conectarse a la VPN de la empresa a través de un navegador web HTTPSy conectarse a la red interna de la empresa a través de SSL ( ).

27. ¿Cuáles son los términos adecuados para IPsec VPN?

• SA (Security Association): Conexión lógica establecida durante la comunicación IPsec.

• ESP (Encapsulating Security Payloads): El mensaje originalse cifra utilizando cualquier algoritmo en //, y HMAC determina si los datos han sido manipulados. El número de protocolo IP utilizadoesDES50 503DESAES$50$ .

• AH (Authentication Header): protocolo de autenticación que determina si un mensaje ha sido manipulado en función de la información HMAC. No cifre el mensaje, el número de protocolo IP utilizado es$51$ .

• IKE (Internet Key Exchange):keyEl protocolo utilizado por el protocolo IPsec para intercambiar información, también llamadoISAKMP/Oakley. El proceso de intercambio implementadoenISAKMPel protocolo. Se está utilizando el puerto UDP número 500 500Oakleykey$500$ . Dividido en Fase 1 y Fase 2 para su tramitación.

• HMAC (Keyed-Hashing for Message Authentication code): Una especie de MAC (Message Authentication code) utilizada para verificar si la información ha sido manipulada, es decir, el código de autenticación del mensaje, que se calcula mediante la combinación de la función hash y la información clave, y el algoritmo utilizado por el La función hash es generalmenteMD5oSHA-1.

• SPI (Security Pointer Index): Indica el número de SA,$32$ bits. Al cifrar un mensaje, utilice este valor para indicar qué algoritmo de cifrado e información de clave se utilizan.

• Recorrido de NAT : un mensaje cifrado por ESP no puede usar NAPT porque no hay un encabezado TCP/UDP. Puede utilizarNAT traversaltecnología para agregar un encabezado UDP a un mensaje cifrado con ESP, a fin de realizar una comunicación IPsec en un entorno NAPT. Uso general$500$ o$El\; número\; de\; puerto\; de\; 4500$ .

• Conexión IPsec-VPN : al establecer un túnel IPsec, la parte que inicia la negociación se denomina iniciador (initiator) y la otra parte se denomina respondedor (responder). El remitente es el dispositivo que primero envía paquetes a través del túnel IPsec.

• Tecla de actualización (rekey): una vez establecido el túnel IPsec, se operará cada vez o después de una cierta cantidad de datosrekey. El equipo VPN tienerekeyla función de modificar la hora.

28. ¿Cuál es el proceso de VPN punto a punto?

Por ejemplo: cuando la red A y la red B están conectadas a través de un túnel IPsec, la PC1 de la red A quiere comunicarse con la PC2 de la red B.

La PC1 envía una solicitud a la puerta de enlace de la red A, es decir, al dispositivo VPN A. En este momento, el mensaje no ha sido cifrado y está en texto sin formato. El dispositivo VPN A cifra el mensaje, agrega el encabezado ESP y el encabezado IP utilizados en el túnel (llamado dirección IP de capa externa) y luego lo envía a través del túnel IPsec.

El dispositivo VPN B en la red B recibe el mensaje cifrado a través del túnel IPsec y verifica el encabezado ESP y el encabezado AH. Si el número de serie de ESP es incorrecto, el dispositivo VPN B lo considerará un ataque de repetición y generará un mensaje de error; si el valor de SPI es incorrecto, generará un Bad SPImensaje de notificación de error de " ".

Si el mensaje cifrado es normal, se realiza la operación de descifrado, se eliminan la IP externa, ESP, AH y otros encabezados, y la dirección de destino del encabezado IP original se enruta para llegar a la PC2.

Cuando la PC2 responde un mensaje a la PC1, el dispositivo VPN B lo cifra y el dispositivo VPN A lo descifra.

Este también es el caso de las comunicaciones VPN entre clientes de sitio remoto de una VPN central y el servidor del sitio central.

29. ¿Cuál es el proceso de comunicación entre sitios remotos?

Por ejemplo: sitio remoto A, sitio remoto B y dispositivo VPN del sitio central C. La PC1 de A se comunica con la PC2 de B.

El paquete pasa a través del túnel IPsec entre el dispositivo VPN A y el dispositivo VPN C, luego pasa a través del túnel IPsec entre el dispositivo VPN C y el dispositivo VPN B y finalmente llega a la PC2.

Si el sitio central es un enrutador o un dispositivo VPN, normalmente solo se procesan el descifrado, el cifrado y el enrutamiento. Si el sitio central es un firewall, verificará los paquetes después de descifrarlos y solo cifrará los paquetes seguros antes de enviarlos al sitio remoto.

30. ¿Qué es una VPN basada en políticas?

Los enrutadores y dispositivos VPN suelen utilizar VPN basadas en políticas. VPN basada en políticas se refiere a controlar el flujo a través del túnel IPsec de acuerdo con la política ( lista de control de acceso ), de modo que incluso si la ruta cambia, no afectará la comunicación IPsec.

La VPN basada en políticas necesita configurar la política IPsec y la información de ID de proxy. proxyID especifica la red local y la red remota para los paquetes de transmisión del túnel IPsec.

Por ejemplo: el sitio A y el sitio B usan una VPN punto a punto para formar una red, donde la red del sitio A es 192.168.1.0/24y 192.168.2.0/24y la red del sitio B es 192.168.3.0/24y 192.168.4.0/24. Si solo hay comunicación cifrada 192.168.1.0/24entre y , entonces el dispositivo VPN en el sitio A debe configurar el proxyID local en remoto . En el dispositivo VPN en el sitio B, configure el proxyID local en y el proxyID remoto en .192.168.3.0/24192.168.1.0/24proxyID 为 192.168.3.0/24192.168.3.0/24192.168.1.0/24

31. ¿Qué es una VPN basada en rutas?

Las VPN basadas en rutas suelen ser el tipo de VPN que utilizan los productos de firewall. El firewall realizará un control preciso sobre los paquetes IPsec.

En una VPN basada en rutas, el túnel IPsec es la interfaz virtual utilizada, también llamada interfaz de túnel ( tunnel interface), a través de la cual el tráfico ingresa al túnel IPsec. Si hay tráfico que debe transmitirse en el túnel IPsec, puede configurar el enrutamiento y reenviarlo a la interfaz del túnel.

Las VPN basadas en políticas utilizan políticas para controlar el flujo de las comunicaciones IPsec, mientras que las VPN basadas en rutas utilizan información de enrutamiento en las interfaces de túnel para controlar el flujo de las comunicaciones IPsec. Por lo tanto, al realizar una comunicación IPsec, puede definir el filtrado de paquetes y el procesamiento del firewall a través de políticas de la misma manera que procesa los paquetes normales.

32. ¿Qué es la Fase 1?

En la comunicación IPsec, para establecer la SA del túnel cifrado es necesario utilizar el protocolo IKE para completar el intercambio de claves entre los dispositivos.

Para mejorar la seguridad, el protocolo IKE se divide en fase 1 y fase 2. La fase 1 de IKE es completar la identificación y protección de ambos lados de la comunicación SA y, al mismo tiempo, generar la clave pública requerida por la fase 2, establecer IKE SA y otros trabajos.

parámetro	valor	ilustrar
modelo	mainmodo o aggressivemodo	En mainmodo, la dirección IP se utiliza para identificar el dispositivo. Si los dos dispositivos VPN en el terminal del túnel tienen direcciones IP asignadas fijamente, puede usar mainel modo. Si un terminal usa PPPoEu DHCPobtiene automáticamente una dirección IP, debe usar aggressiveel modo
método de verificación	Certificado digital o clave precompartida	Utilizar un certificado de seguridad emitido por una institución pública es más seguro, pero el proceso de solicitud es engorroso. La clave precompartida es el método mediante el cual los dispositivos en ambos extremos del túnel usan la misma contraseña para iniciar sesión, y la introducción es muy simple. Cuando utilice un certificado digital, debe especificar el tipo ( RSAo DSA) y la longitud ( bitnúmero) de la clave. La longitud general de la clave es $512$ /$768$ /$1024/2048$ 2048_$2048$ bit , ybitcuanto mayor sea el número, más fuerte será la seguridad.
Grupo Diffie-Hellman	group1、group2、group5	Se conoce como DH groupy cuanto mayor es el número, Oakleymás fuerte será la clave pública utilizada en el intercambio de claves. group1La longitud de es $768$ bit ,group2cuya longitud es$1024$ bit ,group5la longitud es$1536$ bit
Algoritmo de cifrado	DES、3DES、AES	Puede elegir que la longitud de la clave sea $56$ bit ,DESla longitud de la clave es$168$ bit o3DESla longitud de la clave es$128$ /$192$ /$256$ , cuyobitusoes más común. Cuanto mayor sea la longitud de la clave y mayor la fuerza, más tiempo llevará el procesamientoAESAES
algoritmo de autenticación	MD5、SHA-1	MD5utilizar $128$ bit ,SHA-1uso$Valor\; hash\; 160$ bit para la autenticación del péndulo. SHA-1El valor hash utilizado de esta manera es muy largo ylacolisión" de hash entre diferentes datos debido al mismo resultado del cálculo de hash es menor.
identificación ike	Dirección IP o FQDN	Identificador utilizado para identificar un dispositivo como objetivo para realizar IKE. La mayoría usa direcciones IP y algunos usan FQDN, etc. como identificadores

33. ¿Qué es la Fase 2?

IKE Phase 2 es responsable de generar claves utilizadas en las comunicaciones IPsec y establecer SA IPsec.

parámetro	valor	ilustrar
IPsecprotocolo	AH、ESP	AHSolo se puede utilizar para autenticación ESPy puede realizar procesamiento de autenticación y cifrado.
modelo	modo túnel, modo transparente	Utilice el modo túnel al crear una VPN sobre IPsec y utilice el modo transparente al establecer un túnel IPsec entre puntos finales
ESPopciones		Especifica si ESPel protocolo se utiliza sólo para el procesamiento de cifrado o para el procesamiento de cifrado y autenticación. Este parámetro generalmente se establece en este último
Algoritmos de cifrado y algoritmos de autenticación	DES、3DES、AES	Puede elegir que la longitud de la clave sea $56$ bit ,DESla longitud de la clave es$168$ bit o3DESla longitud de la clave es$128$ /$192$ /$256$ , cuyobitusoes más común. Cuanto mayor sea la longitud de la clave y mayor la fuerza, más tiempo llevará el procesamientoAESAES
Opción anti-repetición	ON、OFF	Después de hacer clic en la opción anti-reproducción, el túnel IPsec verificará la información del número de serie del mensaje cifrado recibido, descartará el mensaje con un número de serie incorrecto y notificará al administrador a través de registros de grabación. Esta función se utiliza principalmente para evitar ataques de repetición. es decir, después de obtener el contenido del mensaje cifrado, enviar el mismo contenido nuevamente para "revertir" el ataque del orden del mensaje original.
PFSopciones	ON、OFF	这个选项用于防止某密钥成为破解其它密钥的线素，点选 PFS 选项后，当 IPsec SA 密钥生成 / 更新时会再次执行 Diffie-Hellman 算法，同时与阶段 $1$ 一样, 选择 Diffie-Hellman 的 group 类型。

34、什么是 SSL-VPN ？

SSL-VPN 是通过浏览器使用 HTTPS（HTTP over SSL）进行 Web 访问的远程接入 VPN 。

如果要使用 IPsec-VPN ，需要在 PC 上安装专用的客户端软件。这个客户端软件不一定支持 Mac OS 、手机等操作系统。同时 IPsec-VPN 连接过程，可能会因为防火墙过滤了 IPsec-VPN 的协议号或 NAT traversal 的端口号，而导致连接失败。

SSL-VPN 就方便很多，只要设备带有浏览器，就能够通过反向代理的方式完成 VPN 的连接。而且防火墙几乎不会拦截，因为使用的是 HTTPS 的 $443$ 端口，让 VPN 远程连接摆脱了操作系统和连接方式的限制。

远程接入 IPsec-VPN	SSL-VPN
需要专用的客户端软件	无需专用客户端软件，只需有 Web 浏览器即可
依赖操作系统或 NIC 驱动	不受操作系统和 NIC（Network lnterface Card）驱动的限制
在通过防火墙中需要设置多个安全策略（IKE、ESP 用的端口等）	使用防火墙运行通过的 HTTPS（TCP $443$）端口
在 NAT 环境下需要 NAT traversal 过程	不受 NAT 环境限制
需要注意 MTU 大小	不受 MTU 大小限制
需要管理个人计算机	无需管理个人计算机
报文头部小于 SSL-VPN	报文头部较大，数据吞吐量较低
网络层以上的协议都支持实现隧道传输	使用反向代理以及端口转发方式时只有 TCP 协议上特定的应用程序可以支持隧道传输，使用隧道方式时网络层以上的所有协议都支持隧道传输

IPsec-VPN 是在网络层实现的，能够完成传输层 TCP 和 UDP 的加密和隧道传输处理。而 SSL-VPN 是在会话层实现的，基于 TCP 的 $443$ 端口运行。只有特定的几种 TCP 能够使用反向代理和端口转发方式，而 ICMP 和 UDP 等传输层通信，只能选择隧道方式。

35、什么是反向代理？

反向代理，又叫做 无客户端 SSL-VPN。SSL-VPN 的终端在 $443$ 端口号上，通过 HTTPS 完成解密工作后，转换为 $80$ 端口号的 HTTP 通信，与内部网络上的 Web 服务器进行交互。这种方式只有使用 $80$ 端口号、通过浏览器访问 Web 的应用程序才能使用。

在内部客户端访问互联网时，进行中继的代理服务器，叫做 转发代理服务器。如果访问方向相反，也就是在互联网上的客户端访问内部网络服务器时，进行中继的代理服务器叫做 反向代理服务器（reverse proxy）。

36、什么是端口转发？

端口转发，又叫做 瘦客户端 SSL-VPN。使用 ActiveX 或 Java applet 等浏览器插件来创建 PC 和服务器的 SSL 隧道。用户只要登录 Web 门户（SSL-VPN 网关），并完成认证，就能够下载相关插件。用户能够使用公司内网服务器上的特定应用程序，也能够使用端口固定且无需浏览器支持的 TCP 应用程序，比如 E-mail 。有些产品还能够支持端口号变动的应用和 UDP 应用程序等。

37、什么是隧道？

隧道方式 是使用 SSL-VPN 客户端软件的方式。和 IPsec-VPN 一样，支持网络层以上协议的隧道传输。

用户通过浏览器访问 SSL-VPN 设备，并完成认证，就可以下载应用程序，并安装在用户的 PC 上。接下来就是通过客户端软件建立 PC 和 SSL-VPN 设备的隧道。由于使用了客户端软件，还是会不可避免的受到操作系统的限制。

38、什么是主机检查？

支持主机检查（Host Checker）功能的 SSL-VPN ，在客户端与 SSL-VPN 设备连接时，能够对连接的客户端主机进行检查，检查信息如下表。

检查项	检查内容
是否安装了防毒软件	检查反病毒软件的签名版本信息
是否安装了个人防火墙	检查特定的进程是否启动（硬件加密软件以及日志收集软件等）
OS 和 Service Pack 的种类、补丁兼容性	检查特定的注册信息
MAC 地址	检查是否存在特定文件

Si el host verifica el resultado OK, se permite la conexión SSL-VPN del cliente y se puede acceder a la intranet de la empresa desde la red externa. Si el resultado es sí NO, se rechaza la conexión SSL-VPN del cliente o solo se puede realizar un rango específico de operaciones de acceso, como actualizaciones de software.