一.SSLVPN技术简介
IPSEC是由IP安全性工作组定义的协议集,它提供了最高级别的VPN安全协议。有了IPSec,就可以对网络层的每一项内容进行加密,确保网络层之间的安全通信。
SSL协议
安全套接层协议(SSL,SecuritySocketLayer)是网景(Netscape)公司提出的基于WEB应用的安全协议,如果你使用过hotmail(用户密码保护),使用过网上银行(用户认证和传输数据加密),那你已经对它有所了解,它是一种鉴证和保密机制,特别针对网络电子商务而开发。
SSL它运行在OSI模式的第四层(传输层),在TCP/IP和HTTP,FTP等之间。SSL协议主要包含两类子协议——SSL握手协议和SSL记录协议,握手协议负责协商约定服务器和客户端间联系的协议版本、服务器认证方式、客户端认证方式(可选)以及用于数据加密和认证的共享密钥。SSL记录协议要将传输的数据流转换成加密数据块,形成“隧道”,并实施认证和完整性检验,使用的是SSL握手协议产生的密钥。
SSL协议与应用层协议无关的,高层的应用层协议(例如:HTTP,FTP,TELNET等)可以建立于SSL协议之上,由于SSL协议在应用层协议通信之前完成加密算法、通信密钥的协商及服务器认证工作,从而保证在其上的应用层协议所传送的数据都会被加密,从而保证通信的安全性,包括:数据的加密;数据的完整性检验,提供检验机制对传输的加密数据进行校验,保证数据在传输过程中没有被篡改过;端点的安全验证,提供检验机制对SSL协议的服务器和客户端进行认证,保证使用者的拥用正确身份。
同时,SSL协议运行在传输层,只对通信双方所进行的应用通道进行加密,而不是对从一个主机到另一主机的整个通道进行加密(网络层)。在使用SSL协议的通信中,每一个应用是一个安全的体。利用SSL协议进行VPN通信,进行通信的应用必须能够支持SSL技术,常见应用,IE、Netscape浏览器,OutLook、Eudora邮件等一般都可直接运用SSL协议。
二.SSLVPN
SSLVPN利用了SSL协议,并针对VPN应用加入了必要的功能特征:
■代理、协议转换和端口转发:为了让应用层协议和程序可以不加改动地利用SSL协议隧道,建立SSLVPN连接,它必须提供应用层协议到SSL协议的转换和访问代理,以及必要的通讯端口转发,如HTTPS,SMB/FTP/NFS等等
■面向远程访问的设计:
1.无客户端访问:不论何种SSLVPN产品,均可利用浏览器和HTTPS进行WEB
SERVER访问,避免客户端的安装和配置工作。高端产品则提供某种基于Java或ActiveX客户端扩展,或者直接安装客户端来提供扩展应用
2.从SSLVPN部署和配置上尽量简化客户端一方,而在服务器一端表现出门户式的服务入口
3.强化的客户端身份认证机制和客户端安全保障,确保访问位置的无条件和安全4.强化的安全审计
■灵活的用户授权和访问控制:SSL代理为应用层的应用服务,结合用户权限设置和安全策略,SSL更容易提供细粒度远程访问控制。
三.应用方向
■SSLVPN面向远程访问,面向应用系统的接入和保护,特别是基于浏览器(WEB方式)的B/S结构网络应用。
■SSLVPN将远程安全接入延伸到其他VPN方案不易扩展到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和支持费用。SSLVPN正在成为远程接入的一种模式。
四.应用场景:
■企业内部运行了的办公自动化软件(OA系统),在外地的分公司和出差员工利用SSLVPN就可以访问企业的OA,并且有足够的安全措施保证数据和系统安全。
■文件分发和共享,这是在用户LAN内的重要网络应用,通过SSLVPN,员工可以从外地和合作伙伴的办公地点对LAN内的文件和文件夹进行安全读写,同时必须遵守由管理员制定的权限规则。
■企业已将ERP、CRM或进销存系统纳入企业的核心作业工具,业务人员和分公司不论身在何处均必须及时将信息反馈到数据库,并即时取得业务数据。有了SSLVPN,用户只要可以上网,就可及时安全地访问处于总部内网的数据库服务器。■部署网络图
五.SSLVPN方案优势:远程接入VPN的首选1.SSLVPN的优势
■SSLVPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。这就易于安装和配置,明显降低成本
■只要安装好SSLVPN,后需的专业服务需求较少,用户没有专业IT支持部门也完全可以使用,所以维护成本可以忽略不计。
■SSLVPN可以在任何地点,利用任何设备,连接到相应的网络资源上。SSLVPN通信运行在TCP/UDP协议上,具有穿越防火墙和NAT的能力。这种能力使SSLVPN能够从网络防火墙背后的客户端安全访问处于中心网络内中的服务器资源。IPSecVPN通常不能支持复杂的网络,这是因为它们需要克服穿越防火墙、IP地址冲突等困难。
■支持多种设备,只要此设备提供标准浏览器,如可以上网的手机和PDA通信产品。也适用于大多数操作系统:不管是Windows、Macintosh、UNIX还是Linux,只要运行标准的浏览器,都可以支持SSLVPN对企业内部网站和Web站点进行访问。
■良好的安全性:
SSLVPN使用SSL代理为上层应用提供服务,只向用户提供针对授权资源的代理连接,远程用户不会直接连接到企业网络上,因而不会威胁到其他网络资源,提供更高的安全性。SSLVPN具有划分隧道的功能,即一位用户同时访问Internet和企业内部资源的能力在SSLVPN上是可以控制的。
■SSLVPN还具有精细的访问控制能力,可以为不同的用户提供不同的访问权限。这种精确的访问控制功能是IPSecVPN通常所不具有的。2.SSLVPN方案不足
■对于C/S结构的非Web系统应用支持需要一定的配置和技术支持,在服务器端要进行针对性的配置,客户端则可能需要安装杂件插件,这带来部署和应用上的不便。这种配置只能基于已知或流行的应用系统。
■由于对移动用户的良好支持,SSLVPN要经受用户从任意地点和设备访问应用系统的考验,要承受更大风险,如用户可能从信息亭或网吧种上网来访问,地点和设备均不受用户控制,也不可预测设备安全状况。
■SSLVPN是应用层加密,性能比较差,需要使用加速装置。
