近年来,销售VPN设备的厂商发现SSL VPN开始窜红,因为不少客户本来规划VPN是为了点对点的办公室连接(Site-to-Site),现有的VPN设备多办公室网络环境当中应用上没有问题。但因为客户的员工外出办公情况增加,所以管理阶层开始考虑到,希望行动工作者能够透过VPN连回公司,以免发生员工在外无法控管的情况。虽然大部分的VPN设备都有Client端软件让使用者连回公司,但由于外界网络环境相当复杂,并不是所有的因特网都能让使用者透过IPsec VPN的方式连接回公司服务器。为了解决这类问题,所以网络设备厂商推出SSL VPN设备,让使用者能够透过SSL VPN的方式连接回公司,藉此达到行动工作者能够达到与公司同事数据同步运作的效果。
SSL VPN运作原理与优势
所谓的SSL VPN,其实是VPN设备厂商为了与IPsec VPN区别所创造出来的名词,指的是使用者利用浏览器内建的Secure Socket Layer封包处理功能,用浏览器连回公司内部SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。
实际上SSL VPN运作的方式是这样,使用者开启支持SSL功能的浏览器,输入公司SSL VPN服务器网址,然后键入使用者账号与密码,远程的SSL VPN服务器就会利用ActiveX的功能,自动在使用者端安装特定程序,产生一个虚拟网络界面。这个时候,使用者就可以点选服务器上面的应用程序画面,然后该应用程序所需的相关数据,就会透过所建立的虚拟网络界面进行转换,将远程公司服务器内部的数据,透过SSL加密的封包传送到远程计算机当中,让远程计算机使用者可以如同在公司内部般地读写数据。如果使用者要结束程序,只要关闭浏览器,所有的SSL VPN也会同步中断。
由于SSL是网络浏览器所内建的功能,因此SSL VPN的连接方式,能够适用于常见的因特网环境,而且不限制使用者用的是Public IP或者是Private IP;再加上ActiveX也是常见的网页语言之一,如果使用者要使用SSL VPN的话,MIS人员并不需要在使用者的计算机当中安装VPN Client应用程序。只要事先设定好公司SSL VPN服务器的相关参数,当使用者连接上来之后,SSL VPN服务器就会透过ActiveX自动安装所需程序,结束之后自动移除,可说是相当方便。
跟传统走IPsec为主的VPN装置来比较,SSL VPN在网络穿通能力与跨平台应用上,兼容性要更高,而且透过SSL的加密方式,可以达到一定的安全效果,再加上不用事先安装程序,简化MIS的人力支出,所以近来SSL VPN非常热门。根据Infonetics Research在’04年第一季的研究报告指出,预计全球SSL VPN的市场规模会持续成长,在’05年可达到360百万美元,而’06年会达到497百万美元,甚至在’07年可以有591百万美金的规模。
SSL VPN设备应用的网络架构
在既有网络的架构当中,SSL VPN的应用方式其实是很简单的,比起传统IPsec VPN要容易许多。因为它所在的位置是在防火墙后方,MIS人员只需要针对SSL VPN装置在防火墙当中开启单一设定,就完成安装了,并不会像IPsec VPN一样,需要针对不同用户开启不同的VPN Profile设定。因为远程的使用者是利用浏览器连接到SSL VPN设备,然后透过IP封包转译的方式,由SSL VPN设备「模拟」远程使用者在「内部」进行数据存取,所以才有办法突破各种网络的限制,达到执行各种ERP、CRM或者是特定应用程序。
传统使用VPN Client程序的架构,由于使用者取得的是内部IP位置,因此在执行企业内部专属程序的时候,只要该程序所使用的连接协议是VPN装置所支持,就没有设定上的问题,但是SSL VPN的设计却不一样。
由于各家的SSL VPN在与内部程序的连接上有不同的设计,所以在规划使用的时候,必须要作事前测试。因为依照厂商技术不同,有的是利用Adapter的方式作网络封包转译,有的则是利用Port Forward的方式作介接,不同厂商所使用的技术差异不小,所以在使用前必须要作应用程序兼容性测试。
除此之外,SSL VPN跟传统VPN在费用计算上最大的差异,是SSL VPN装置需要使用到网络认证(Certificate),传统的VPN装置是不需要的,因此在产品的费用计算上,您需要额外计算网络认证的费用支出。
SSL VPN已经成为VPN应用的热门话题。
IPsec VPN与SSL VPN功能规格比较一览表。
SSL VPN硬件装置的网络应用架构(由Juniper提供)。
透过SSL VPN可以在远程执行特定应用程序。
|
