SSL介紹
SSL(安全套接層)協定是一種在internet上保證傳送信息安全的通用協定,採用B/S結構(Browser/Server,瀏覽器/伺服器模式)。它處在套用層,SSL用公鑰加密通過SSL連線傳輸的數據來工作。SSL協定指定了在應用程式協定和TCP/IP 之間進行數據交換的安全機制,為TCP/IP連線提供數據加密、伺服器認證以及可選擇的客戶機認證。
SSL協定可分為兩層:SSL記錄協定(SSL Record Protocol):它建立在可靠的傳輸協定(如TCP)之上,為高層協定提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協定(SSL Handshake Protocol):它建立在SSL記錄協定之上,用於在實際的數據傳輸開始前,通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。
VPN介紹
VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網路”。顧名思義,虛擬專用網路我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協定在連線在Internet上的位於不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它並不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬體設備。VPN技術原是路由器具有的重要技術之一,一句話,VPN的核心就是在利用公共網路建立虛擬私有網。
虛擬專用網(VPN)被定義為通過一個公用網路(通常是網際網路)建立一個臨時的、安全的連線,是一條穿過混亂的公用網路的安全、穩定的隧道。虛擬專用網是對企業公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連線,並保證數據的安全傳輸。
虛擬專用網可用於不斷增長的移動用戶的全球網際網路接入,以實現安全連線;可用於實現企業網站之間安全通信的虛擬專用線路,用於經濟有效地連線到商業夥伴和用戶的安全外聯網虛擬專用網。
針對不同的用戶要求,VPN有三種解決方案:遠程訪問虛擬網(Access VPN)、企業內部虛擬網(Intranet VPN)和企業擴展虛擬網(Extranet VPN),這三種類型的VPN分別與傳統的遠程訪問網路、企業內部的Intranet以及企業網和相關合作夥伴的企業網所構成的Extranet(外部擴展)相對應。
目前很多單位都面臨著這樣的挑戰:分公司、經銷商、合作夥伴、客戶和外地出差人員要求隨時經過公用網訪問公司的資源,這些資源包括:公司的內部資料、辦公OA、ERP系統、CRM系統、項目管理系統等。現在很多公司通過使用IPSec VPN來保證公司總部和分支機構以及移動工作人員之間安全連線。
對於很多IPSec VPN用戶來說,IPSec VPN的解決方案的高成本和複雜的結構是很頭疼的。存在如下事實:在部署和使用軟硬體客戶端的時候,需要大量的評價、部署、培訓、升級和支持,對於用戶來說,這些無論是在經濟上和技術上都是個很大的負擔,將遠程解決方案和昂貴的內部套用相集成,對任何IT專業人員來說都是嚴峻的挑戰。由於受到以上IPSec VPN的限制,大量的企業都認為IPSec VPN是一個成本高、複雜程度高,甚至是一個無法實施的方案。為了保持競爭力,消除企業內部信息孤島,很多公司需要在與企業相關的不同的組織和個人之間傳遞信息,所以很多公司需要找一種實施簡便,不需改變現有網路結構,運營成本低的解決方案。
技術演變
隨著應用程式從C/S 結構向Web 的遷移,企業必須面對一個新的挑戰,就是如何在不影響最終用戶使用的前提下實現在任何地方靈活訪問這些應用程式。在最近20 年間,用戶和管理層聽到因為安全原因不能夠在公司以外訪問內部應用程式的聲音不絕於耳。在70 年代,人們對遠程訪問概念幾乎等同於從遠端的辦公地點訪問應用程式,這需要設定非常昂貴的WAN 網並租用連線線路。
到了80 年代,一小部分用戶可以使用數據機直接撥號到modem banks 或他們自己的PC 上,但是使用費用相當高昂只能有非常有限的小部分人使用。而且在那時候,在家使用個人電腦才剛剛成為主流,遠程訪問需求還不是很大。隨著90 年代的來臨, 在家用PC 盛行的同時,移動電腦開始顯現,在家辦公也開始興起。公司管理者和銷售員們開始在外出出差的時候攜帶他們的筆記本電腦,他們需要實時訪問公司內部信息,設立IPSec VPN 可以保護用戶遠程訪問。它可以提供足夠的安全性,但是問題是安裝和維護相當麻煩。任何在PC 上的改變對VPN 而言可能都是一場災難,最終用戶不得不硬著頭皮忍受這些變化,因為他們別無選擇。即使是現在,你也很難找到一個用戶,他的VPN 一點兒問題也沒有。從管理員的角度來講,使用IPSec VPN 不僅僅意味著要對客戶端進行安裝和調試,而且還需要調整整個網路的結構。在數據包進行傳輸時NAT 不能完全工作正常,有時候會出現連線斷開的現象,改變防火牆設定可以解決這一問題但是必須要做大量的管理工作。如果IT 管理部門可以完全控制從後端到客戶的網路結構,其管理複雜性可以忍受;當IT 管理部門不能完全控制時,管理複雜性就要成倍增加。這種情況同樣發生在本地NAT 和防火牆對合作夥伴,在家裡或在酒店。
如今, 公司開始把眼光放在他們是否選擇了合適的安全遠程訪問系統上。使用IPSec VPN 和租用WAN 線路對於不經常更改網路結構的用戶來說是非常好的選擇。如果情況並非如此,用戶就需要另做選擇。現在,已經有公司開始考慮使用架構在網際網路上的SSL 協定,在不破壞已有網路布局的前提下進行安全遠程訪問。SSL 是通過網際網路進行加密傳輸保護一種常用方法,許多公司對他們的內部網和外部網執行了SSL 設定,通過SSL VPN 進行訪問控制。
定義
SSL VPN 的發展對現有SSL 套用是一個補充,它增加了公司執行訪問控制和安全的級別和能力。
SSL VPN 還對那些因為使用遠程訪問套用系統而降低公司安全性的企業有所幫助。從屬性上講,撥號可以保證相對安全性,因為特定的電話線可以確認用戶的身份。客戶端/伺服器和舊版本的VPN 自身也擁有一定級別的安全保障能力,因為客戶端軟體是需要安裝的。但是,以這樣的安全策略和屬性, 不可否認,黑客入侵、安全威脅、身份欺詐呈增長趨勢。現在,使用SSL VPN,安全特性已經發生了改變,人們可以通過瀏覽器訪問應用程式。
如果把SSL 和VPN 兩個概念分開,大多數人都清楚他們的含義,但是有多少人知道他們合在一起的意思呢?從學術和商業的角度來講,因為他們代表的含義有所不同,因而常常會被曲解。
SSL 通過加密方式保護在網際網路上傳輸的數據安全性,它可以自動套用在每一個瀏覽器上。這裡,需要提供一個數字證書給Web伺服器,這個數字證書需要付費購買,相對而言,給應用程式設立SSL 服務是比較容易的。如果應用程式本身不支持SSL, 那么就需要改變一些連結,這隻與應用程式有關。對於出現較大信息量的情況,建議給SSL 進行加速以避免流量瓶頸。通常SSL 加速裝置為熱插拔裝置。
VPN 則主要套用於虛擬連線網路,它可以確保數據的機密性並且具有一定的訪問控制功能。過去,VPN 總是和IPSec 聯繫在一起,因為它是VPN 加密信息實際用到的協定。IPSec 運行於網路層,IPSec VPN 則多用於連線兩個網路或點到點之間的連線。
以上我們簡要介紹了SSL和VPN,現在我們要了解一下SSL和VPN是怎樣結合在一起的?大量理論可以證明SSL的獨特性以及VPN所能提供的安全遠程訪問控制能力。到目前為止,SSL VPN是解決遠程用戶訪問敏感公司數據最簡單最安全的解決技術。與複雜的IPSec VPN相比,SSL通過簡單易用的方法實現信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN, 這是因為SSL 內嵌在瀏覽器中,它不需要象傳統IPSec VPN一樣必須為每一台客戶機安裝客戶端軟體。這一點對於擁有大量機器(包括家用機,工作機和客戶機等等)需要與公司機密信息相連線的用戶至關重要。人們普遍認為它將成為安全遠程訪問的新生代。
特徵
從概念角度來說,SSL VPN即指採用SSL (Security Socket Layer)協定來實現遠程接入的一種新型VPN技術。SSL協定是網景公司提出的基於WEB套用的安全協定,它包括:伺服器認證、客戶認證(可選)、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對於內、外部套用來說,使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協定被廣泛套用於各種瀏覽器套用,也可以套用於Outlook等使用TCP協定傳輸數據的C/S套用。正因為SSL 協定被內置於IE等瀏覽器中,使用SSL 協定進行認證和數據加密的SSL VPN就可以免於安裝客戶端。相對於傳統的IPSEC VPN而言,SSL VPN具有部署簡單,無客戶端,維護成本低,網路適應強等特點,這兩種類型的VPN之間的差別就類似C/S構架和B/S構架的區別。
一般而言,SSL VPN必須滿足最基本的兩個要求:
⒈ 使用SSL 協定進行認證和加密;沒有採用SSL 協定的VPN產品自然不能稱為SSL VPN,其安全性也需要進一步考證。
⒉ 直接使用瀏覽器完成操作,無需安裝獨立的客戶端;即使使用了SSL 協定,但仍然需要分發和安裝獨立的VPN客戶端 (如Open VPN)不能稱為SSL VPN,否則就失去了SSL VPN易於部署,免維護的優點了。
國內現狀
深信服SSL VPN
市場狀況
國際權威市場研究機構Frost&Sullivan在2014年發布了《中國SSLVPN市場分析報告》,自2005年推出IPSec/SSL二合一VPN產品以來,深信服在中國市場取得了長足的進步。2008年,深信服以31.1%的市場占有率,首次成為市場第一。如今,憑藉實力出眾的產品以及深受大型企事業單位認可的服務,深信服已連續六年獲SSLVPN市場占有率第一。
產品介紹
深信服為您提供高速、易用、安全且高度可靠的SSLVPN產品。作為中國SSLVPN領域的絕對領導者和中國SSLVPN核心技術標準制定者,深信服SSLVPN解決方案已擁有超過18000家客戶,在政府、金融、運營商、能源、教育、大中型企業等各個領域都得到了廣泛套用。在中國入選世界五百強的企業中,有近70%的企業選擇了深信服SSLVPN解決方案。同時,隨著BYOD和雲計算的趨勢愈演愈烈,SSLVPN有望成為移動安全領域的重要組件,來保障雲訪問的安全性。
輕鬆移動辦公
深信服SSLVPN可助您輕鬆使用筆記本、桌面PC、智慧型手機、Pad等移動終端設備實現安全、便捷的遠程接入區域網路,在降低運營成本的同時大幅提高企業的生產效率。
EasyConnect遠程套用發布
深信服EasyConnect採用套用虛擬化的技術,通過SSLVPN將企業區域網路的應用程式界面以圖形的方式呈現在智慧型終端之上,無需開發APP,即可通過深信服EasyConnectAPP將各辦公系統發布到IOS或Android系統的終端上使用,輕鬆實現安全高效的移動辦公。
App安全加固
深信服EasyApp安全加固解決方案通過在App中集成VPN安全模組,無需開發人員花費大量時間和精力進行二次開發,即可保證企業用戶的辦公App安全接入,實現從用戶登入、數據傳輸、伺服器端和終端設備等方面的安全防護。
第三方遠程接入
深信服SSLVPN為您提供完整的第三方遠程接入方案,融合了多種加速技術並進行細緻的套用許可權訪問控制,讓您的第三方合作夥伴能享受快速資源共享體驗的同時,實現套用的安全、可控的訪問。
區域網路分區邏輯隔離保護
深信服SSLVPN通過細緻的許可權劃分、多種認證安全機制、客戶端安全檢查等多項技術為您實現安全、可靠、低成本、靈活度高的網路邏輯隔離方案。
關鍵業務信息系統安全加固
深信服SSLVPN提供完整的關鍵業務信息系統安全加固方案,提供完整的身份認證機制及訪問過程保護,並具有專利技術主從帳號綁定指定用戶的套用訪問帳號,杜絕帳號冒用及越權訪問。
防範WLAN非法訪問
深信服SSLVPN為您提供安全的WLAN接入方案,通過SSLVPN進行WLAN接入的統一認證,嚴格控制訪問用戶,防止信息泄漏,保護套用安全。
產品榮譽
連續6年獲SSLVPN市場占有率第一
國家SSLVPN技術標準核心制定者
推出全球第一款IPSec/SSLVPN二合一VPN(2005年)
國內唯一一家入選GartnerSSLVPN魔力象限廠商
申請SSLVPN專利技術30餘項
率先在SSLVPN領域開發了遠程套用發布(套用虛擬化)技術
入圍多家核心單位集采:中央政府、國稅總局、招商銀行等
SSLVPN客戶端並發授權已累計使用超過260萬個
產品功能亮點
最安全:端到端的安全防護體系,採用業內領先加密技術,提供多種身份認證方式、主從綁定等特色功能,保證用戶身份安全、終端/數據安全、傳輸安全、套用許可權安全和審計安全;
最快速:通過多線路智慧型選路、單邊加速等多項專利技術,從鏈路、傳輸、數據、引用,層層最佳化,訪問速度可提升80%,給每個接入用戶不同以往的暢快體驗;
最好用:完整支持Windows、Linux、MACOS、IOS、Android等主流作業系統,辦公電腦、筆記本、智慧型手機、pad等設備均可適配使用;化繁為簡的部署及使用,管理簡單,使用方便,支持非對稱集群,實現高性價比彈性擴容;
全面支持移動網際網路:深信服EasyConnect套用虛擬化技術及App安全加固解決方案,幫助用戶完美實現移動業務,保障移動辦公及業務的安全。
客戶案例
中國人民共和國最高人民法院、中國海關總署、中國人民銀行總行、招商銀行、北京移動、江蘇聯通、南方電網、中國科學院、北京大學、招商局集團、華潤集團等。
F5公司-FirePass SSLVPN
F5於2000年底進駐中國,並在國內推出先進的SSL VPN解決方案。早在2004年12月15日,全球套用流量管理專家美國F5公司在北京發布了其最新款的網路安全產品,包括套用防火牆TrafficShield和安全套接字層虛擬專用網(SSL VPN)解決方案FirePass控制器。著名網際網路安全領域專家、F5公司全球網路安全產品市場總監Andrew Stern和F5中國市場渠道總監柯文聯合向外界發布了這兩款產品。
TrafficShield套用防火牆為企業的web套用及基礎架構提供最全面的安全保護,防禦普通與目標攻擊。該產品中套用的套用流程模型(AFM)利用積極安全邏輯根據用戶會話信息、用戶輸入內容、及套用回響內容對每一個事務進行驗證。在此種高安全模式下,僅允許有效套用流量通過,並阻止其它一切請求。
F5 FirePass控制器通過向企業用戶提供訪問網路套用及資源所需的性能、安全性、管理性及可靠性來滿足企業組織的遠程訪問需求。終端用戶將受益於其在任何地點、使用任何設備、處於任何訪問模式(包括拔號、DSL、cable及無線網路)下對網路的無縫接入的特性。
F5 SSL VPN套用案例
面對企業感到莫名的難題,F5公司通過成熟的系統方案,減少使用IPSec的運營維護成本,使IT管理人員的工作效率大大提高。
企業用IPSec的VPN用於連線遠程移動用戶,這種VPN在某些地點受到某些地區ISP的影響,或者受某些網路設備的影響,不能正常訪問公司總部的內部企業網路。為解決這種莫名的難題,F5公司提供一個專業級的技術方案。
F5公司將F5的SSLVPN產品部署在企業的內部核心交換機上,這樣做是保證不會對用戶的原有網路造成任何影響,而只需要在邊界防火牆上做一個地址轉換,這樣遠程移動用戶或者分支機構就可以先通過防火牆訪問SSLVPN產品,進入到企業內部網路中,進行企業內部Intranet的訪問;同時,遠程移動和分支不受任何接入的限制。
解決方案如圖示:
賽藍ssl vpn
•安全性
多種安全認證,支持指紋認證、簡訊認證、USB KEY認證、U-KEY認證;國密辦認證體系、動態令牌認證、X.509數字證書認證、LDAP,Radius等第三方伺服器認證、E-MAIL賬戶認證,MAC地址綁定認證、VIP用戶認證,並提供多種混合模式認證;點對點全程加密,客戶對資源的每一次操作都需要經過安全的身份驗證和加密,確保點到點的遠程訪問安全。因為是直接開啟套用系統,並沒在網路層上連線,攻擊機會相對就減少。CYLAN SGA VPN還保護不同協定間的通信,增強安全性。
•經濟性
只需要在總部放置一台硬體設備,就可以實現所有用戶的遠程安全訪問快速地接入服務,支持LAN-TO-LAN互訪。
•可擴展性
支持單臂雙臂模式,支持多站點及多站點分級管理,可以滿足企業多部門分級管理的需求,可部署在網路中任一節點處,可以隨時根據需要,添加需要發布的伺服器資源,因此無需影響原有網路結構。
•訪問控制
可以根據用戶的不同身份,給予不同的訪問許可權,提供VIP用戶來符合企業特殊要求,細緻的用戶鎖定策略,支持時段鎖定和管理員解鎖兩種方式,還可以對每個訪問人員進行數字簽名,保證每筆數據的不可否認性,為事後追蹤提供了依據。
•部署與管理成本
部署容易、維護方便、發布快捷、使用簡單,降低了部署客戶軟體的複雜性,縮減了客戶的人力管理成本。
•低頻寬特性
即便使用CDMA和GPRS上網方式也可以流暢的運行您廣域網路上的套用,即使是大型的C/S軟體也僅僅需要20K的頻寬。
•高級管理
支持CA中心,可以申請/頒發/吊銷證書,支持自簽名證書和第三方證書導入,支持PKI體系;支持資料庫認證(MYSQL、ORACLE、SYBASE),支持第三方用戶導入(文本、資料庫)。
網神SSL VPN
簡介
網神SecSSL 3600是一款多功能VPN網關,其提供基於SSL 協定+IPsec協定的二合一VPN服務和網路防火牆服務,實現數據傳輸和保護;採用成熟的VPN技術實現用戶套用客戶端與套用業務的跨地域、跨網路互連;採用多種認證協定實現對用戶的身份的全面認證;並通過詳細的日誌信息提供全面、翔實的審計服務。
網神SecSSL 3600採用SSL協定在遠端用戶與網關之間建立VPN連線,保證數據在傳輸過程中不被竊聽、重放、竄擾等,針對每一個用戶的接入,採用認證技術確保用戶的身份為可信的。網關可以與LDAP/AD/Radius/證書認證伺服器互動,提供了靈活多樣的認證解決方案。
網神SecSSL 3600無需預先安裝客戶端軟體,家庭辦公用戶、移動辦公用戶和合作夥伴等即可輕鬆安全地訪問企業內部網。產品不僅能保護Web套用,而且支持廣泛的基於TCP/UDP的多種套用。為了提高遠程接入的使用範圍,還提供網路連線模式,它允許遠程接入的客戶訪問企業內部網路的任意IP資源,也可以實現兩個區域網路之間的互聯。
網神SecSSL 3600內置IPsec協定功能模組,網路防火牆功能模組和網路入侵檢測已經套用防火牆功能模組,在為用戶提供SSL-VPN服務基礎之上,能夠為用戶提供全面的網路安全防護解決方案。
網神SecSSL 3600提供全面的日誌、審計和監控功能,管理員可以查看用戶使用系統的歷史紀錄、當前系統的運行狀態和當前線上用戶的實時信息。
產品亮點
All in One VPN技術,實現各種終端安全接入,集成SSL-VPN與IPsec VPN,同時支持windows, Linux, Mac, iOS, Android的全網路接入,使用更靈活,業務支持更全面。
用戶桌面遠程喚醒功能,實現隨時隨地辦公與節能減排的最佳平衡,管理員可以為用戶註冊用戶的桌面電腦,這樣用戶在登錄系統後可以通過遠程喚醒的方式啟動辦公的桌面電腦,實現遠程訪問自己的辦公主機;
多鏈路智慧型選路技術,實現對遠程用戶接入的快速回響,支持多條鏈路接入,即滿足不同運營商的頻寬差別,又能實現冗餘備份;
領先的虛擬安全桌面技術,確保業務數據遠端不落地,虛擬安全桌面使得用戶的桌面數據都在虛擬安全桌面裡面,業務數據不會泄漏,滿足客戶當前形勢下的防數據泄漏要求。
靈活組合的認證模式,確保用戶身份安全,支持多種認證方式組合;支持用戶終端的綁定,確保用戶身份的安全和仿冒;
支持動態簡訊授權,確保關鍵業務訪問可控,滿足審計要求,用戶訪問關鍵業務的時候,可以設定簡訊臨時授權,這種功能對於外包業務人員訪問企業業務數據具有滿足企業IT系統高安全的作用。
具備套用審計,能夠對套用業務命令進行審計,對遠程接入用戶的http, telnet套用,可以記錄用戶的命令,並展現日誌報表,從而使得遠程接入部分滿足對外包接入人員的安全審計合規性要求。
特點
SSL VPN的客戶端程式,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經預裝在了終端設備中,因此不需要再次安裝;
SSL VPN可在NAT代理裝置上以透明模式工作;
SSL VPN不會受到安裝在客戶端與伺服器之間的防火牆等NAT設備的影響,穿透能力強;
SSL VPN將遠程安全接入延伸到IPSec VPN擴展不到的地方,使更多的員工,在更多的地方,使用更多的設備,安全訪問到更多的企業網路資源,同時降低了部署和支持費用; 客戶端安全檢查和授權訪問等操作,實現起來更加方便。
SSL VPN可以在任何地點,利用任何設備,連線到相應的網路資源上。IPSec VPN通常不能支持複雜的網路,這是因為它們需要克服穿透防火牆、IP位址衝突等困難。所以IPSec VPN實際上只適用於易於管理的或者位置固定的地方。可以說從功能上講,SSL VPN是企業遠程安全接入的最佳選擇。
但是雖然SSL VPN具有以上眾多的優點,卻由於SSL協定本身的局限性,使得性能遠低於使用IPSec協定的設備。用戶往往需要在簡便使用與性能之間進行痛苦選擇。這也是第二代VPN始終無法取代第一代VPN的原因。
優點
1、方便。實施sslvpn只需要安裝配置好中心網關即可。其餘的客戶端是免安裝的,因此,實施工期很短,如果網路條件具備,連安裝帶調試,1-2天即可投入運營。
2、容易維護。sslvpn 維護起來簡單,出現問題,就維護網關就可以了。實在不行,換一台,如果有雙機備份的話,備份機器啟動就可以了。
3、安全。sslvpn 是一個安全協定,數據全程加密傳輸的。另外,由於ssl網關隔離了內部伺服器和客戶端,只留下一個web瀏覽接口,客戶端的大多數病毒木馬感染不到內部伺服器。而ipsec vpn就不一樣,實現的是ip級別的訪問,遠程網路和本地網路幾乎沒有區別。區域網路能夠傳播的病毒,通過vpn一樣能夠傳播。
產品縱覽
隨著SSLVPN套用的逐漸加溫,越來越多的企業開始採納SSL VPN的網路架構,來解決企業的遠程訪問需求。SSL VPN技術幫助用戶通過標準的Web瀏覽器就可以訪問重要的企業套用。這使得企業員工出差時不必再攜帶自己的筆記本電腦,僅僅通過一台接入了Internet的計算機就能訪問企業資源,這為企業提高了效率也帶來了方便。由於SSLVPN不像IPSec VPN那樣要購買和維護遠程客戶端或軟體,因而要比後者造價低很多。現在許多企業對於SSL VPN的需求非常強烈,而且未來這種企業網路安全需要還將持續增長。許多國際網路安全廠商正在對SSL VPN這種新型業務形態進行重點投資,取代目前的IPSec系列產品將成為一種趨勢。
產品套用
SSL VPN網關位於企業網的邊緣,介於企業伺服器與遠程用戶之間,控制二者的通信。SSL VPN採用標準的安全套接層(SSL)對傳輸中的數據包進行加密,從而在套用層保護了數據的安全性。在不斷擴展的網際網路Web站點之間、無線熱點和客戶端間、遠程辦公室、酒店、傳統交易大廳等場所,SSL VPN克服了IPSec VPN的不足,用戶可以輕鬆實現安全易用、無需客戶端安裝且配置簡單的遠程訪問,從而降低用戶的總成本並增加遠程用戶的工作效率。而同樣在這些地方,設定傳統的IPSec VPN非常困難,甚至是不可能的,這是由於必須更改網路地址轉換(NAT)和防火牆設定。
產品選購
對廣大的用戶來說要挑選一個明顯的SSL VPN產品最愛比較困難,雖然有的SSL VPN產品表現一般,但是,多數SSLVPN產品是各有其優勢。有的SSL VPN產品提供了一個成熟的套用層防火牆,有的SSLVPN產品提供了範圍最為廣泛的套用轉換功能。SSL VPN產品是否最終令人滿意,還取決於用戶對自己需求的了解程度,適合自己的是最好的。
SSL VPN的發展主要是為了迎合用戶在遠程訪問時能實現性價比的高要求。到目前為止,SSL VPN已經套用於各行各業,有企業用戶,也有SOHO用戶。用戶在選購SSL VPN時,應根據自身特點和不同企業的業務規模,選擇適合自己的SSL VPN產品。最好的選擇,就是適合自己的。
一般,在選購SSL VPN產品時要注意以下幾個問題:
具有強力的安全保障:首先是用戶端接入的安全;其次是數據傳輸的安全;再次是內部資源的訪問安全。
支持全面套用的連線。
使用操作性強,易於管理和維護。
運行要穩定,無網路中斷。
不會因為處理SSL而降低了運行速率。
良好的綜合性能和服務。
市面上的SSL VPN精品
目前,國內外的網路設備商都相繼推出了自己SSL VPN產品,其中包括F5、Cisco、華為、ArrayNetworks等著名設備供應商。下面,我們羅列了目前市面上的主要的SSL VPN產品。
F5公司FirePass SSL VPN系列
F5的Fire Pass SSL VPN設備通過採用標準We b瀏覽器為用戶提供了一種安全訪問企業套用和數據的方式。無論在家中還是在路上,FirePass出色的性能、可擴展性、易於使用特性以及安全特性,均有助於提高工作效率,並保持企業數據的安全。
FirePass可提供
·安全兼容系統自動偵測,防止病毒感染。
· 與業內數量最多的病毒掃描及個人防火牆解決方案(超過100種不同的防病毒(AV)和個人防火牆版本)自動集成。
· 自動攔截受感染的檔案上傳或電子郵件附屬檔案。
· 自動重新路由並隔離受感染或非兼容的系統,將其放入自我補救網路(self remediation network)中——以減少呼叫幫助中心的次數。
·安全工作區可防止竊聽及竅取敏感數據。
· 使用隨機鍵輸入系統進行安全登錄,可防止按鍵記錄器竊聽。
· 由於能夠與Fire Pass可視化策略編輯器完全集成,因此,可創建基於端點訪問您的網路及您公司的安全配置檔案的定製模板策略。
主要優勢
一流的策略管理——獨特的可視化策略編輯器能夠提供直觀、易用的“指向並點擊”(poin-tand-click)界面,在降低管理成本的同時,輕鬆管理精細訪問策略。
集成的端點安全性——提供安全虛擬工作區、預先登錄終端完整性檢查,以及端點信任管理等功能,從而解除了您的後顧之憂,使您無需浪費精力於管理事務。
廣泛的套用支持——可實現從管理的及非管理的客戶端設備從任何地方輕鬆、安全地訪問電子郵件,Web門戶、網路檔案服務、終端服務、客戶關係管理系統以及其它主要企業套用。
廣泛的客戶支持——Fire Pass可提供廣泛的多平台支持,允許用戶從Windows(98、2000、ME、XP、Vista)、MAC、Linux和Pocket PC客戶端安全訪問網路。還支持全新的Vista客戶端作業系統和IE7。
企業級可擴充性與性能——在單一且易於管理的設備上可支持高達2,000個並發會話。通過與F5 BIG-IP本地流量管理器的集成,可支持幾萬個並發會話。藉助任意IP套用流量的壓縮和Web套用的伺服器端高速快取功能,可以最佳化最終用戶的體驗。
廣泛的互操作性——藉助Active Directory、Radius、LDAP、PKI、RSA ACE及其它方式,為現有網路基礎設施和身份管理系統提供支持。所提供的Web門戶集成產品可支持Java applets、Javascript重寫及其它技術(已通過VPNC認證)。
業內領先全球的高可用性——與F5 BIG-IP廣域流量管理器的獨特集成,能夠於發生站點災難時在整個WAN上提供高度可用性。故障切換支持在站點內提供高度可用性。
適用於大中型企業
Quidway SecPath 1000F 防火牆
Quidway SecPath 1000F防火牆是華為3Com公司開發的新一代專業防火牆設備,支持SSL VPN,同時支持多種VPN業務可以作為大中型企業的內部防火牆設備,也可以作為中小企業的出口防火牆設備。
Quidway SecPath 1000F防火牆支持外部攻擊防範、區域網路安全、流量監控、網頁過濾、郵件過濾等功能,能夠有效地保證網路的安全;採用ASPF狀態檢測技術,可對連線過程和有害命令進行監測,並協同ACL完成動態包過濾;提供多種智慧型分析和管理手段,支持郵件告警,支持多種日誌,提供網路管理監控,協助網路管理員完成網路的安全管理;支持AAA、NAT等技術,可以確保在開放的Internet上實現安全的、滿足可靠質量要求的網路;支持多種VPN業務,如L2TP VPN、IPSec VPN、GRE VPN、華為動態VPN、SSL VPN等等,可以構建Internet、Intranet、Access等多種形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持豐富的QoS特性,提供流量監管、流量整形及多種佇列調度策略。
Quidway SecPath 1000F防火牆提供兩個固定的10/100/1000M自適應GE口,支持光口和電口兩種形式。提供一個MIM 擴展槽位,支持多功能接口模組熱插拔,目前可選的接口模組有1FE/2FE/4FE/1GE/2GE/HDC六種。提供雙電源冗餘備份解決方案(AC+AC,DC+DC兩種機型),提供機箱內部環境溫度檢測功能,並支持網管,可滿足電信級產品的高可靠性要求。
Array SPX5000
Array SPX5000是全球領先的套用智慧型安全設備供應商Array Networks推出一款面向大型企業網路核心套用的產品設備:新一代SSL VPN遠程安全接入產品。這款新品的推出,不僅標誌著Array Networks產品性能的顯著提升,更表明了Array Networks進一步鞏固了在高端企業市場的領先地位。
Array SPX5000是面向大型企業和電信運營商核心業務/套用的新一代SSL VPN產品。它能保證企業客戶在任何時間、任何地方,以任何接入設備,都可以通過Internet安全地訪問企業的核心套用。由於其並發用戶數達到64000個,250個VLAN(虛擬區域網路)和128個虛擬門戶;對於大型企業/電信網路來說,無論在安全保密、性能,還是在可擴展性方面,Array SPX5000的表現都非常優秀; Array SPX5000可向各大機構提供最強大的網路安全和Web套用最佳化功能,包括利用SSL VPN登錄訪問Web套用和傳統套用、身份管理、套用層防火牆,以及基於Web的流量管理等等。值得一提的是Array SPX5000的反應速度要比以往的SSL VPN快近2倍,並且能夠保持近千兆的線路速率進行SSL通訊傳輸。達到如此高的傳輸指標,對於SSL VPN產品來說還是第一次,這就意味著取代大型企業中以往所套用的IPSec VPN網關的日子不遠了。
Cylan SGA 600系列安全網關
CYLAN SGA 600系列安全網關適合於中大型規模的企業,它用於滿足移動用戶、分支機構、供應商、合作夥伴等對IT資源(如基於Web的套用、Unix套用、企業郵件系統、檔案伺服器、FTP伺服器、遠程控制、C/S套用系統等)的遠程安全接入的需求。這樣,企業就可以利用自身的網路平台,建立一個安全的VPN網路。所有遠端用戶的訪問都是經過標準Web瀏覽器內置的加密套件進行加密並經過伺服器端認證許可的,即經過授權用戶只要能上網,就可以通過瀏覽器接入遠程的套用伺服器,建立安全SSL VPN隧道。CYLAN SGA利用瀏覽器來協助用戶在任何地方任何時間安全的訪問公司的任何資源。另外,Cylan SSL VPN產品還可以實現智慧型手機的接入(如iphone\ipad\android\windows mobile)。
iGate SSL VPN 4.0
與同類產品相比,iGate4.0是目前市場上惟一一款集成雙因素身份認證令牌的SSL VPN設備,iGate Pro集成套用了硬體SSL加速裝置。新推出的iGate4.0與原有產品相比,提高了SSL接入能力,完全可以支持全網連線;簡化了安裝和管理,使原有Web用戶界面變得更加簡單易用;新增加了對PKI的支持能力和客戶端策略檢查功能,具備了更高級別的安全性。此外,iGate4.0還增加了對基於Web的PDA或其他移動設備的支持能力。這次重大升級,使iGate在產品性能、易用性等方面都有了長足進步,並一躍成為目前市場中最具實力的SSLVPN產品。
iGate SSL VPN 4.0是一款基於SSL的移動遠程訪問設備,它通過Internet在遠程訪問雙方建立安全通道,使移動用戶可以輕鬆訪問公司內部資源。適用於大型企業,政府部門 的採用。iGate可以通過多種方式確保信息的安全性,主要包括:
採用專用硬體對Web和非Web應用程式的通訊進行SSL加密。
採用硬體令牌和口令登錄相結合的方式確保遠程訪問的合法性。
通過客戶端完整性掃描確定遠程訪問環境的安全性,並相應調整對內部資源的訪問許可權。
會話結束後清除客戶端臨時檔案,防止泄漏敏感數據。
集成現有用戶資料庫,按照角色集中管理和控制訪問許可權。
iGate作為惟一入口,有效隱藏內部信息,杜絕網路攻擊。
豐富的訪問控制和日誌管理工具;全面支持PKI認證、無線設備和PDA等。
Cisco VPN 3000系列集中器
VPN 3000系列集中器是Cisco公司發布的一款SSL VPN產品,由通用的遠程訪問虛擬專網(VPN)平台和將高可用性、高性能和可擴展性與當今最先進的加密和認證技術結合在一起的客戶機軟體組成。利用Cisco VPN 3000集中器系列,客戶可以充分發揮最新VPN技術的優勢,極大地降低通信費用。特別是,該產品是業界唯一的能夠提供現場可更換和客戶可升級部件的可擴展平台。這些稱為可擴展加密處理(SEP)模組的部件使用戶可以輕鬆地增加容量和吞吐量。
Cisco客戶可以在眾多的VPN 3000集中器中選擇最適合自己需求和套用的具體型號,這些型號支持各種企業客戶,包括從只有不到100個遠程訪問用戶的小公司到有多達10000名同時遠程用戶的大型機構。不論Cisco VPN 3000集中器的哪一種版本,都可以在不增加更多費用的情況下提供Cisco VPN客戶機,並給予不受限制的安裝許可證。Cisco VPN 3000集中器提供非冗餘和冗餘兩種配置,允許客戶構建最穩健、最可靠和經濟高效的網路。另外,還提供高級路由功能,如OSPF、RIP和網路地址轉換(NAT)。
UU200系列
UU200 iSTAR系列產品中的發布單元(Publisher),它位於套用伺服器子網路中。由於UU200對應用程式是透明的,因此可以將套用伺服器所提供的各種服務、檔案、甚至於子網路安全的發布出來。通過SSL協定以及end to end加密技術,使用者可以安全的使用Publisher所發布的服務。UU200 iSTAR 系列產品主要特點:在套用層建立用戶訪問管理。對應用程式透明,能發布Web,Client/Server應用程式及檔案共享。子網路虛擬接入(UURemote、UUSoft)為選項功能。UU200可以選擇以Public IP進行連線配置,或是通過UUExchange/UUSwitch連線:此時的UU200可以使用Private IP進行連線配置。使用cluster技術,支持負載均衡。
UU200 iSTAR 系列產品適應有公共靜態IP位址和沒有公共靜態IP位址的企業,後者需要連到UUExchange/UUSwitch。適合大中型企業建立SSL VPN。
神獒VPN L(SSL)系列產品
神獒L(SSL)系列VPN產品是北京巨龍數碼自主研發的SSL VPN系統,無需安裝客戶端軟體,只需通過瀏覽器(Browser)便可安全的訪問企業內部受控資源,建立安全快速高效的VPN隧道,更好的實現用戶端的安全控制及節約整體項目成本。神獒L系列VPN是基於數字證書和SSL技術實現的獨立安全系統,無需改變套用系統的網路結構和套用模式。
選購注意事項
選擇哪種SSL VPN取決於終端用戶需要訪問的應用程式類型。基於瀏覽器的SSL VPN最適合訪問網頁應用程式或下載檔案,同時也方便BYOD工作者從任意設備接入,包括智慧型機和平板電腦。瘦和胖客戶端支持更廣泛的用途但是沒有那么好的兼容性,這使得它們更適用於平板電腦。出於靈活性和安全性的考慮,把SSL和IPsec VPN結合起來是一個不錯的解決方法。擁有一個混合VPN,遠程工作人員就可以使用各種不同設備接入,每個接入的終端用戶都可以找到客戶端所需的精確類型並連線到網路。
SSL VPN由於其強大的功能和實施的方便性套用越來越廣泛,市場上的SSL VPN品牌也越來越多,如何選擇適合自己的產品是需要用戶仔細考慮的一個問題,本文從下面幾個方面描述如何選擇SSL VPN產品:
套用需求
選擇VPN是為了支持遠程訪問內部網路的套用,因此這一點也是最先需要考慮的一點,目前,大多數SSL VPN支持我們日常經常會用到的郵件系統、OA系統、CRM/ERP等等,但並不是所有的套用SSL VPN都能夠提供支持,如動態連線埠的套用就只有部分SSL VPN能夠提供支持。因此,在決定使用一款SSL VPN前一定要先確定是否能支持你的套用。
安全需求
要構建一個安全的系統,不僅僅需要傳輸過程安全,還要提高系統安全性,以下幾個方面是缺一不可的:
1 傳輸過程安全
傳輸的過程加密強度是確保內部數據不在傳輸過程中被黑客盜取的關鍵因素。傳輸過程加密強度越高,傳輸安全性就越有保障。目前,擁有128位加密以上的SSLVPN產品是比較適宜的,56位DES加密相對強度低,選擇時需要特別注意。
2 用戶身份驗證
用戶名加密碼的驗證方式安全性相對較低,除了用戶名和密碼外,能提供其他的雙因素驗證方式的產品更加具有優勢,如支持PKI體系等。
3 客戶端設備的安全性:
客戶端設備是否安裝了個人防火牆、防病毒軟體等。如果客戶端設備不夠安全,比如有木馬程式,那么系統依然存在安全隱患。目前部分SSL VPN能夠提供客戶端環境檢測,比如檢測客戶端是否安裝了防火牆和防病毒軟體。
4 完成訪問後,客戶端需要清除客戶端機器的快取
在移動用戶完成遠程訪問後,是否就萬事大吉了呢?當然不是,黑客或不法分子可以通過拷貝、複製駐留在客戶端緩衝區內數據盜取企業機密。
5服務端的日誌跟蹤
SSL VPN伺服器應該提供訪問統計和跟蹤功能,這樣管理員能夠根據日誌隨時掌握系統訪問情況。
對於以上這些安全特性,SafeNet iGate SSL VPN均能夠提供支持。
⒈SafeNet iGate 使用高強度的128位加密技術。
⒉對於遠程移動用戶,iGate能夠結合PKI體系以及本地活動目錄,值得一提的是,SafeNet獨有的iKey雙因素身份認證USB Key與iGate SSL VPN完美結合,充分實現安全的雙因素身份驗證功能。
⒊SafeNet iGate支持客戶端環境檢測功能,SafeNet iGate能夠設定訪問策略,當客戶端不符合某個條件時,系統將禁止用戶登入。
⒋為此,SafeNet iGate在用戶離線後可自動清除用戶緩衝區的內容。另外,在拔除iKey後,訪問也會自動中斷。
⒌SafeNet iGate在用戶界面上集成了日期查詢功能,能夠非常方便的進行日誌跟蹤。
易於管理維護
SSLVPN的突出優勢之一就在於移動性強、易用性強。但這些特性往往會增加管理難度。因此用戶在選購SSL VPN時要重點考慮產品的管理性能。產品要做到界面簡單,使用方便,靈活、細緻地設定訪問許可權,採用基於用戶/組/角色的認證機制,每個檔案、網址或套用都可進行單獨設定,使訪問控制更易於管理。
SafeNet iGate 提供兩個Web方式的管理UI,一個是Simple-UI,一個是Classic-UI,把常用的設定和不常用的設定分別開來,這樣大大降低了管理維護的複雜性。
性能
由於是集中系統,SSL加速決定整個網路的吞吐量。如果SSL加速跟不上,遠程接入就會比實際的Internet接入頻寬低很多。有的SSL VPN產品採用專門的SSL加速硬體,從而提高了VPN的回響速度。另外,通過數據壓縮技術,還對所有的傳輸數據進行壓縮後再進行傳輸,這樣就提高了整個網路的運行效率和實用性。
SafeNet iGate配置硬體SSL加速卡,能夠大大提高訪問速度,另外iGate 還提供數據壓縮功能,能夠大大增加網路吞吐量。
服務
除了上面提到的幾點外,具有良好服務也至關重要。SSL VPN還是一個在不斷發展的技術,更新的可能會比較快,提供SSL VPN的廠家是否具有良好的產品服務質量、渠道回響速度和本地支持能力也非常重要。比如承諾免費或低費用升級,等等。
結束語
SSL VPN的發展迎合了用戶對低成本、高性價比遠程訪問的需求。現在,它已經廣泛套用於各行各業。選購SSL VPN時,用戶還要根據自身特點和不同的業務模式,選擇適合自己的SSL VPN產品,再次強調,VPN是正在發展的技術,更新換代可能會比較快,因此用戶在選購時可以少考慮一些擴展性,多注重產品的實用性。畢竟,只有適合自己的,才是最理想的選擇。
技術現狀
最近SSL VPN的市場突飛猛進,各種媒體上相關SSL VPN的文章也很多,但是目前存在很多的關於SSL VPN的誤區,隨便在網上搜尋就可以看到很多錯誤的說法:
⒈ SSL VPN和IPSec VPN各有優缺點,SSL VPN只能適用於web套用;
⒉ XX國內廠商推出了廉價集IPSec VPN與SSL VPN於一體的設備,必將大大促進VPN的市場推廣;
⒊ 經過使用SpirentAvalanche測試,XX廠家的SSL VPN產品的TPS(每秒新建用戶數)達到了1300, 最大線上用戶數可以達到64’000個,完全可以適用大型的商業套用。
這就引入了幾個問題:
⒈ 究竟SSL VPN有哪些功能?是否只能解決web套用?
⒉ 什麼才是一個真正的SSL VPN產品?怎樣區別市場上林林總總的號稱的SSL VPN產品?
⒊ 如何衡量SSL VPN產品的性能?
下面逐個回答問題:
1 究竟SSL VPN有哪些功能?是否只能解決web套用?
SSL VPN的出現是為了解決IPSec VPN的固有缺點而出現的,SSL VPN繼承了IPSec VPN的遠程使用與區域網路使用體驗一致、與套用無關的優點,避免了因有客戶端而導致的使用維護不便、某些網路條件下無法接通、帶來大量病毒和蠕蟲的入侵、無法與企業現有認證伺服器結合、無法審計等問題,從功能上有網路訪問、網上應用程式、Windows檔案共享、移動電子郵件、應用程式訪問、傳統主機、終端伺服器等眾多功能,可以提供C/S套用和B/S套用訪問,並非只能解決web套用。這其中最為重要的是網路訪問功能,SSL VPN的網路訪問功能避免了IPSec VPN的缺點而又繼承了IPSec VPN的優點。
2 什麼才是一個真正的SSL VPN產品?怎樣區別市場上林林總總的號稱的SSL VPN產品?
現在有很多廠商聲稱自己的產品是SSL VPN,或者說融合了IPSec VPN和SSL VPN的功能,實際上大部分的廠商只是實現了SSL VPN中的網上應用程式,也就是Web反向代理的功能,某國內廠商大肆宣稱的集IPSec VPN與SSL VPN於一體的設備也只是在原有的IPSec VPN的設備上加了一個Web反向代理的功能而已,根本不能稱之為真正的SSL VPN產品。那么什麼才是一個真正的SSL VPN產品?
前文說到SSL VPN從功能上說有網路訪問、網上應用程式、Windows檔案共享、移動電子郵件、應用程式訪問、傳統主機、終端伺服器等眾多功能,其中網路訪問是SSL VPN最為重要和標誌性的功能,只有具備了網路訪問這個看似IPSec VPN而又從根本上解決了IPSec VPN缺陷的功能才稱得上是一款真正的SSL VPN產品。當然為了安全性考慮的終端安全檢查和審計、與企業認證伺服器的結合等功能也是一款優秀SSL VPN的必備功能。
vpnc中有通過該組織認證的SSL VPN廠商列表,也可以說,只有在這兒能夠查到的SSL VPN廠商的產品,才是真正的SSL VPN產品。
3 如何衡量SSL VPN產品的性能?
談到SSL VPN產品的性能,首先要區分的是SSL Server和SSL VPN,SSL Server相當於SSL VPN中的反向代理功能,二者的要求是不一樣的,SSL Server面對的是業務系統,如電子商務網站、網上銀行等等,它強調的是性能,目前國內可見的SSL Server產品性能可達20000TPS和4百萬同時線上用戶數;而SSL VPN面向的是遠程接入即管理系統,它強調的是易於使用和管理、安全性等等,一個SSL VPN用戶的登錄包括SSL握手、認證、授權、記錄日誌等過程,其中認證、授權、記錄日誌所耗費的時間遠遠高於SSL握手,不可能達到SSL Server那樣高的性能,如果需要非常高的性能,要使用多台SSL VPN堆疊來實現。
SpirentAvalanche是一款優秀的基於Web套用的測試儀器,但只適用於測試SSL Server性能,不適用於測試SSL VPN的性能,某廠商的設備集合了SSL Server 和SSL VPN的功能,雖然SSL Server的性能在業界根本不入流,但顯然會高於SSL VPN的性能。該廠商利用大家對於SSL Server和SSL VPN之間認識的混淆,到處宣稱使用SpirentAvalanche測試證明自己的SSL VPN具有很高的性能,實際上從測試過程可以發現,測試的只是其中SSL Server的性能。
SSL VPN的性能測試,因為涉及建立VPN隧道,非常複雜,只能使用業界某些測試軟體如LoadRunner 加上廠家自己的動態庫來實現,只能在廠家自己的測試實驗室來做,試圖用某種測試儀器來統一測試所有廠家的SSL VPN性能是行不通的,所以只能參考各個廠家自己提供的性能,當然,要區分大的上市企業公布的真實的性能指標的和某些小企業不負責任的信口胡言。
發展前景
SSL VPN的出現,使得原來基於IP安全的IPSec VPN廠商不得不重新思考它們的產品方略。我們知道基於IP安全協定的IPSec VPN已經占領了很大一部分市場,成為VPN市場的主流。但是隨著SSL VPN技術的出現,基於IP協定的IPSec VPN正經受著一場前所未有的考驗。但是不是SSL VPN會取代現有的IPSec VPN成為主流呢?
雖然SSL VPN有許多相對IPSec VPN的優點,但這些對於主流套用VPN的客戶--大、中型企業來說這些優點就顯得不是很重要了。
據有關網路安全專家認為這就目前的SSL VPN技術來講是不可能的。主要體現在目前的SSL VPN套用非常有限,僅適用於基於Web的套用。SSL的支持者認為,當企業工作人員需要遠程訪問Web套用如電子郵件或者接入企業區域網路的時(因為SSL可以繞過防火牆和代理伺服器)才套用,SSL只不過是一種更低廉而且更容易部署的選擇而已。況且目前,傳統的IPSec VPN廠商為了滿足這部分用戶的需求,正在匆忙地為其產品增加SSL性能,這樣只能單獨提供SSL性能的VPN產品就可能大受冷落了。
市場研究家們預計在今後幾年中,SSL VPN設備的全球銷售將會出現持續增長,但同時也表明IPSec VPN設備不會因SSL VPN設備的增長而受到大的影響,相反也會技術快速增長,因為整個VPN市場將在近幾來得到極快的增長。Infonetics研究公司預測,SSL VPN市場將會從2002年的5600萬美元增長到2005年的8.4億美元。IPSec VPN設備也將從2002年的15億美元增長到2005年的25億美元。
隨著基於Web的套用越來越多,以及遠程接入需求的增長,SSL可能會成為一個熱門市場,成為傳統IPSec VPN設備廠商需要考慮的一個發展方向。Check Point公司就曾於去年7月發布過一款SSL VPN產品,它認為SSL對於需要通過Extranet與業務合作夥伴交換數據但又不想安裝VPN客戶端的企業來說非常理想。其他IPSec VPN廠商像北電網路和SonicWall都持此觀點。北電網路於去年9月發布了Alteon SSL設備;SonicWall則在兩年以前收購Phobos的時候就開始提供SSL產品了。
其他IPSec VPN支持者,如賽門鐵克,正在計畫如何將SSL安全技術集成進它的產品中。另外一些小廠商,如Aspelle、Air Gap、Aventail、Neoteris和Whale等通信公司都已經意識到SSL VPN市場需求增長。
有些企業客戶認為需要同時擁有SSL和IPSec VPN。他們想為部分數量有限的員工提供IPSec VPN連線(如採用Cisco的VPN設備),因為他們需要訪問企業的生產系統和其他非Web套用。但同時,也為大多數員工提供SSL VPN(如使用Whale的e-Gap遠程接入產品)的遠程接入,可供其接入Intranet和電子信箱。
Whale公司的SSL產品只需運行在該企業數據中心的一台伺服器上。利用這種無客戶端接入方式,企業就能夠提供安全的連線,而不需要改寫上萬台最終用戶設備上的程式。
如目前紐約的德勤諮詢公司就在混合使用SSL和IPSec VPN。該公司的大多數員工都可以通過SSL VPN(Aventail產品)接入企業網路,少數員工則通過IPSec VPN(北電網路產品)接入,因為這些員工需要訪問運行在該企業4個數據中心中的套用。德勤的CIO Larry Quinlan就很喜歡SSL VPN,因為它具有可穿越防火牆而不必重新配置防火牆的性能。他說,“這很重要,因為安全部門不必著急去重新配置防火牆了。” Quinlan認為,SSL的缺陷在於只能訪問Web套用。但IPSec也有其缺陷,因為它不容易穿越防火牆,所以當移動工作人員需要在旅店或分支辦公地點接入企業網時就難以實現。
因為SSL只能用於Web套用,讓一些用戶有所退避。芝加哥的一家個人服務公司Divine就主要採用了NetScreen公司的IPSec VPN,因為它的很多遠程工作人員都是諮詢師,需要訪問企業眾多的應用程式,不可能只限定在Web套用上。Divine的網路服務部經理Chuck Horvat說,他們還沒有發現需要使用SSL VPN的理由。不過,該公司也有一個Web套用前端和內置的SSL加密。遠程工作人員通過身份認證和口令可獲得訪問公司信箱和目錄的許可權。
Horvat說,“對我們來說,擁有IPSec VPN管道是最好的,因為我們的人有很多套用需要訪問。他們可以通過SSL獲得電子郵件,但大多數人需要的套用都不是電子郵件。雖然有另外一種選擇是很不錯,但每個人的需求是非常不同的。”
所以,雖然目前有很多人都認為SSL VPN將會取代IPSec VPN,但大多數工業觀察家卻認為這兩種VPN將會共存,因為兩者的市場空間都不小,而且可以相互補充。
從以上的分析我們可以看到SSL VPN在未來幾年中的發展前景,但是更多的專家們認為,目前處於競爭的IPSec VPN與SSL VPN將很快走向結合。因為它們都有各自的優點,而且各自的缺點又不是能通過自身的技術可以克服的。
VPN技術
Array Networks SSL
Array Networks SSL VPN可以為任何規模的企業組織提供強大而且高性能的安全訪問接入。SPX系列產品使用存在於所有的Web瀏覽器上的SSL安全協定,無需安裝任何客戶端軟體,無論在任何地方,無論使用哪種接入終端。
使用說明
SSL VPN使用說明 ( IE6 )
點擊IE,選擇“工具”,“Internet選項”,選“安全”
點擊“受信任的站點”,再點擊“站點”
選擇“查看證書”
選擇“安裝證書”,選“下一步”兩次,再按“完成”
選擇“是”,退回安全警報,選“是”,配置完成。輸入用戶和密碼登錄即可。登錄帳號是使用人姓名首字母+“."+單位名稱首字母,初始密碼是上報用戶辦公室電話號碼。