要实现企业的远程办公,请用SSL VPN吧!如今,SSL VPN的宣传越来越多,厂商SSL VPN的案例也越来越多。但是,SSL VPN在远程办公中,到底起到什么样的作用呢?到底什么样的企业应用需求?它的安全性、访问速度如何?
可能,很多人对SSL VNP还并没有深层次的理解,可能有人会认为SSL VPN只能实现Web应用的远程访问控制,也有人将SSL VPN与IPSec VPN完全对立起来。
其实,随着技术的发展,SSL VPN在不断的进步,现在,不少厂商的SSL VPN产品已经发展起全套的远程办公解决方案。
IPsec VPN有不足处 SSL VPN来补充
要深入了解SSL VPN,我们还是得先从VPN、IPsec VPN讲起。
VPN的网络连接类型主要分为Site to Site 和End to Site两种类型。Site to Site主要指的是网络和网络之间的VPN连接。而End to Site指的是移动终端到企业私有网络之间的VPN连接。其中,IPsec VPN属于Site to Site类型的VPN,而SSL VPN 就是 End to Site类型的VPN。
IPsec VPN是VPN中非常成熟的技术了,它能够实现不同子公司与总部两个不同的局域网,远程连接成一个虚拟局域网,从而在广域网间实现以前只有在局域网内才能实现的应用操作。它给当前的企业带来了很多革命性的好处,不过,它也有不足之处,从而给SSL VPN这个新生者留下了机会。
此前,大多数公司都是使用传统的IPSEC VPN来解决远程接入的问题。但是IPSec VPN最初是为了解决Site to Ste的安全问题而制定的协议,因此在此基础上建立的远程接入方案在面临越来越多的End to Site应用情况下已经力不从心。
例如,IPSec VPN存在自身安全问题:往往传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径。如果仅仅在受控的PC上,比如员工办公电脑上使用IPSec客户端则可以通过部署统一的安全策略来解决该问题,但如果要让合作伙伴或者客户的电脑接入,就难以控制了。
SSL VPN融合IPsec VPN?
相对于IPSec VPN,SSL VPN似乎正好可以跟它互补。
相对于传统的IPSEC VPN而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点。
SSL VPN能让企业实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。SSL VPN 通信基于标准 TCP/UDP 协议传输,因而能遍历所有 NAT 设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入,无论是处于其他网络中基于代理的防火墙之后,或是宽带连接中。 而IPSec VPN 在稍复杂的网络结构中则难于实现,因为它很难实现防火墙和 NAT 遍历,无力解决 IP 地址冲突。
VPN网络类型分类
|
SSL VPN |
IPSEC VPN |
|
移动用户远程接入网络为主
End to Site |
远程网络互联
Site to Site (必须使用IPSEC VPN)
也支持End to Site 类型
|
根据主要应用选择
|
SSL VPN |
IPSEC VPN |
|
WEB应用为主,后期支持C/S应用 |
C/S应用,甚至3层应用为主 |
|
单向应用访问,后期支持双向 |
双向应用访问(必须使用IPSEC VPN) |
|
不用支持VOIP类的协议 |
需要支持VOIP类的协议(必须使用IPSEC VPN)
|
|
无广播包类型的应用 |
有广播包类型的应用(必须使用IPSEC VPN) |
根据用户类型
|
SSL VPN |
IPSEC VPN |
|
合作伙伴或者客户,内部用户,移动用户 |
内部用户 |
|
使用无法控制的设备接入的用户
(如网吧的机器)
|
能明确使用收控的设备接入的移动用户
(比如员工自己的笔记本电脑)
|
根据网络终端情况类型
|
SSL VPN |
IPSEC VPN |
|
终端种类很多(PC,NC,PDA…),操作系统种类复杂 |
基本都是PC,操作系统类型较为单一,比如都是windows
|
|
不希望维护客户端
|
有专门的IT部门或供应商维护VPN终端
可以提供员工VPN应用培训
|
此前,SSL VPN并不支持C/S应用远程访问控制,这是IPsec VPN的强项。不过,随着SSL VPN技术的进步,有的厂商通过研发,就实现了部份C/S应用远程访问控制,可能,再经过一段时间,就会支持全部的C/S应用远程访问控制。
其实,我们不能把SSL VPN和IPsec VPN作为对立物来看,有不少产品已经把两者整合在了一个产品里,通过两种技术,共同满足企业的需求。
哪些企业应用需要SSL VPN?
SSL VPN是以HTTPS为基础的VPN,但也包括可支持SSL的应用程序,例如,电子邮件客户端程序,如Microsoft Outlook或Eudora。SSL VPN经常被称之“无客户端”,因为目前大多数计算机在出货时,都已经安装了支持HTTP和HTTPS(以SSL为基础的HTTP)的Web浏览器。
目前,SSL已由TLS传输层安全协议(RFC 2246)整合取代,它工作在TCP之上。如同IPSec一样,它必须首先进行配置,包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器,还可选择性地通过签名或其他方法让服务器验证客户端的合法性,接着可安全地产生会话密钥进行信息加密并提供完整性检查。 SSL可利用各种公钥(RSA、DSA)算法、对称密钥算法(DES、3DES、RC4)和完整性(MD5、SHA-1)算法。
从当前的使用情况,以及接合今后的发展趋势看来,SSL VPN主要用来满足以下三种应用需求
1、远程接入平台: 远程接入速度,访问加密和安全(包括客户端安全),提高接入方式的网络适应性 和可访问的方便性(比如整网访问) 该方向就是替代传统VPN和传统接入。
2、统一认证门户: 内外部统一身份认证,权限分配,内部访问审计,内部服务器保护。
3、应用/平台转换网关: 将原来不能应用于某些终端的应用在流经SSL VPN时进行转换。比如去掉一些元素,使得Web应用可以显示在不同的浏览器,对页面根据浏览器的种类重新排版。对常用应用(网上邻居等)做Web转换,以使得其可以应用于多种平台。
为此,我们将SSL VPN的应用功能进行了分解,这也是企业用户的应用需求。一般来说,对于大多数厂商的SSL VPN设备,总结起来有以下五类应用:
1、Web应用远程访问控制
2、通用C/S应用远程访问控制
3、远程网络邻居功能(文件共享/传输等)
4、特定C/S应用远程访问控制(终端服务实现)
5、远程桌面控制、UDP、ICMP协议应用远程控制
SSL VPN的安全性如何保障?
SSLVPN为用户构建的“虚拟网线”除了从技术上讲,能够为用户的远程接入访问提供可能外,还需要在安全性、快速性等多个方面进行保障。
SSLVPN的安全实际上分为四块:
1. 传输的安全:采用业界标准的SSLVPN架构体系和实现方式,辅以高强度的加密算法保障数据传输的安全性。
2. 认证的安全:如果无法区分真假用户,所有的安全保障措施都是空中楼阁;而通过USB-Key、数字证书、动态令牌、短信认证等双因素身份认证技术,则能够强化认证的安全,尤其是通过将用户帐号和接入终端设备的硬件(如CPU、主板、硬盘等硬件信息)特征绑定的技术,将进一步提升认证的安全性。
3. 权限的安全:领导和普通员工的接入,第三方合作伙伴的接入,都需要严格的权限控制,而SSLVPN天生可以精细到URL级别的权限划分,有效控制了资源的访问行为;用户的所有访问行为日志也需要进行详细记录和方便的查询审计。
4. 端点安全:接入终端设备如笔记本,本身的不安全因素如病毒、蠕虫怎样抵挡于内网之外?笔记本被黑客远程控制,再随着SSLVPN隧道进入内网怎么办?这些都需要SSLVPN厂商提供一体化的端点安全解决方案。
SSL VPN访问速度如何保障?
对于Web应用来说,它本身就能够实现远程办公,如果仅仅从安全的角度出发,有些企业不一定会购买SSL VPN的。
对于这类用户需求,SSL VPN所实现的不仅仅是安全接入的功能,它还能起到Web应用的访问加速的效果。这也是SSL VPN重要的作用之一。
对于SSL VPN厂商来说,一般采用专利性的加速技术,并配置硬件的SSL VPN设备的CPU,实现硬件加速,从而提高应用远程办公的运转效率。
例如,Array Networks SPX产品采用了专利性的SPEEDSTACK技术,同时通过独有的操作系统、反向代理引擎等技术让SSL VPN的应用速度大大提升。另外,独具的SSL槽硬件加速器的应用和对操作系统内核的进一步优化,更让Array Networks SPX产品在应用速度上脱颖而出。
而深信服则将LZO流压缩技术结合到了SSL VPN中。LZO压缩算法是SSL VPN领域压缩效率最高的技术,可将SSL VPN数据传输率提高20%-30%;深信服科技的Web Push专利技术通过对Web页面的整合发布,减少了大量的TCP响应次数,当用户通过SSL VPN访问B/S架构的服务时,其加速效果非常明显。
SSL VPN正在不断的发展,可能用不了多久,它就能够跟IPSEC VPN完全融合在一起,现在已经不少VPN产品把两者放在了一个产品里。或者,有的SSL VPN就具有IPSEC VPN的功能。总之,SSL VPN是企业远程访问管理的有效工具。
