基本信息
SSLVPN指的是基於安全套接層協定(Security Socket Layer-SSL)建立遠程安全訪問通道的VPN技術。它是近年來興起的VPN技術,其套用隨著Web的普及和電子商務、遠程辦公的興起而發展迅速。
SSL協定主要是由SSL記錄協定和握手協定組成,它們共同為套用訪問連線提供認證、加密和防篡改功能。SSL握手協定相對於IPSEC協定體系中的IKE(網際網路密鑰交換協定)協定,主要是用於伺服器和客戶之間的相互認證,協商加密算法和MAC(Message Authentication Code-訊息認證碼)算法,用於生成在SSL記錄協定中使用的加密和認證密鑰。SSL記錄協定是為各種套用協定提供基本的安全服務,類似於IPSEC的傳輸模式,應用程式訊息參照MTU(最大傳輸單元)被分割成可治理的數據塊(可進行數據壓縮處理),並產生一個MAC信息,加密後插入新的報頭,最後在TCP中加以傳輸;接收端將收到的數據解密,做身份驗證(MAC認證)、解壓縮、重組數據報然後交給套用協定進行處理。實際上就是在套用層和傳輸層之間加入了一個數據處理層,和傳統的網路套接字模型在同一層次,這也就是安全套接層的由來。
IPSecVPN
IPSec VPN採用的是IPSec協定,其典型部署是在Site-to-Site端點到端點的網路環境中。IPSec是網路層的VPN技術,它獨立於應用程式,以自己的封包封裝原始IP信息,因此可隱藏所有套用協定的內容,一旦IPSec建立加密隧道後,就可以實現各種類型的連線。IPSec以其相對較高的吞吐量以及安全性,被很多企業所接受。
但是,部署IPSec需要對網路基礎設施進行重大改造,花費的人力物力甚巨,同時IPSec VPN在解決遠程安全訪問時有幾個比較大的缺點:
安全性低
雖然數據在傳輸過程中是加密的,但是IPSecVPN對於終端安全檢查卻是零,這一點相信企業的網路管理者深有感觸,其表現為:
第一、IPSec的用戶驗證方式單一併且簡單,它無法明確區分使用該終端的人是否是可 授權的指定用戶,管理員無法準確知曉究竟是誰在利用VPN使用區域網路資源;
第二、IPSec無法對終端設備軟體系統的安全性做出評估,無法檢查終端用戶的套用環境,斷開VPN連線後,所有曾經訪問過的cookie、URL等均保留在終端,增加了不安全因素;
第三、IPSec VPN隧道一旦建立,用戶的PC機就像在公司區域網路內部一樣,用戶能夠直接訪問公司全部的套用,由此會大大增加風險;
第四、VPN登入之後的所有操作都是直接作用在被訪問資源上的,由於缺乏必要的終端檢查,致使區域網路資源受損的幾率很高;
第五、IPSec針對用戶或用戶組的授權訪問,實現起來非常困難,無法根據用戶性質進行分權,這是管理員很頭疼的問題,無法實現分權就只能有限地開放網路資源,網路不能有效地用於生產生活。
可靠性低
IPSec最適合的環境是固定辦公區域,移動辦公用戶需要安裝客戶端軟體才能建立加密隧道,但並非所有客戶端環境均支持IPSec VPN的客戶端程式。終端用戶可能需要做出類似重新安裝系統那樣複雜的操作,才能使用;
IPSec VPN的連線性還會受到網路地址轉換(NAT)或網關代理設備(proxy)的影響,終端用戶如果身處外部網路,想使用IPSec VPN連線,如何穿透防火牆將是一大難題,不適合用作移動用戶,如家庭、網咖,賓館等上網用戶;
投資費用高
從投資的角度看IPsec VPN。要真正建立IPSec VPN,單單有VPN硬體設備和客戶端軟體是很不夠的。如果沒有防火牆和其他的安全軟體,客戶端機器非常容易成為黑客攻擊的目標。這些客戶端很容易被黑客利用,他們會通過VPN訪問企業內部系統。
這種黑客行為越來越普遍,而且後果也越來越嚴重。例如,如果員工從家裡的計算機通過公司VPN訪問企業資源,在他創建隧道前後,他十幾歲的孩子在這台電腦上下載了一個感染了病毒的遊戲,那么,病毒就很有可能經過VPN在企業區域網路內傳播。另外,如果黑客侵入了這台沒有保護的PC,他就獲得了經過IPSec VPN隧道訪問公司區域網路的能力。因此,在建設IPSec VPN時,必須購買適當的安全軟體,這個軟體的成本必須考慮進去也是很高的。
維護費用高
IPSec VPN最大的難點在於客戶端需要安裝複雜的軟體,需要經過培訓才能夠掌握。而且當用戶的VPN策略稍微有所改變時,其管理難度將呈幾何級數增長。客戶端軟體的維護帶來了人力開銷,而這是許多公司希望能夠避免的。
部署IPSec VPN之後,另外一些安全問題也會暴露出來,這些問題主要與建立了開放式網路連線有關。除此以外,除非已經在每一台計算機上安裝了管理軟體,軟體補丁的發布和遠程電腦的配置升級將是一件十分令人頭疼的任務。
SSL VPN
SSL VPN採用的是SSL協定,與IPSec VPN相比,SSL VPN具有如下優點:
SSL VPN的客戶端程式,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經預裝在了終端設備中,因此不需要再次安裝;
SSL VPN可在NAT代理裝置上以透明模式工作;
SSL VPN不會受到安裝在客戶端與伺服器之間的防火牆等NAT設備的影響,穿透能力強;
SSL VPN將遠程安全接入延伸到IPSec VPN擴展不到的地方,使更多的員工,在更多的地方,使用更多的設備,安全訪問到更多的企業網路資源,同時降低了部署和支持費用;
· 客戶端安全檢查和授權訪問等操作,實現起來更加方便。
SSL VPN可以在任何地點,利用任何設備,連線到相應的網路資源上。IPSec VPN通常不能支持複雜的網路,這是因為它們需要克服穿透防火牆、IP位址衝突等困難。所以IPSec VPN實際上只適用於易於管理的或者位置固定的地方。可以說從功能上講,SSL VPN是企業遠程安全接入的最佳選擇。
但是雖然SSL VPN具有以上眾多的優點,卻由於SSL協定本身的局限性,使得性能遠低於使用IPSec協定的設備。用戶往往需要在簡便使用與性能之間進行痛苦選擇。這也是SSL VPN始終無法取代IPSec VPN的原因。
設備選購
SSL VPN由於其強大的功能和實施的方便性套用越來越廣泛,市場上的SSL VPN品牌也越來越多,如何選擇適合自己的產品是需要用戶仔細考慮的一個問題,本文從下面幾個方面描述如何選擇SSL VPN產品:
1.1套用需求:
選擇VPN是為了支持遠程訪問內部網路的套用,因此這一點也是最先需要考慮的一點,目前,大多數SSL VPN支持我們日常經常會用到的郵件系統、OA系統、CRM/ERP等等,但並不是所有的套用SSL VPN都能夠提供支持,如動態連線埠的套用就只有部分SSL VPN能夠提供支持。因此,在決定使用一款SSL VPN前一定要先確定是否能支持你的套用。
1.2安全需求:
要構建一個安全的系統,不僅僅需要傳輸過程安全,還要提高系統安全性,以下幾個方面是缺一不可的:
1)傳輸過程安全
傳輸的過程加密強度是確保內部數據不在傳輸過程中被黑客盜取的關鍵因素。傳輸過程加密強度越高,傳輸安全性就越有保障。目前,擁有128位加密以上的SSL VPN產品是比較適宜的,56位DES加密相對強度低,選擇時需要特別注意。
2)用戶身份驗證
用戶名加密碼的驗證方式安全性相對較低,除了用戶名和密碼外,能提供其他的雙因素驗證方式的產品更加具有優勢,如支持PKI體系等。
3)客戶端設備的安全性:
客戶端設備是否安裝了個人防火牆、防病毒軟體等。如果客戶端設備不夠安全,比如有木馬程式,那么系統依然存在安全隱患。目前部分SSL VPN能夠提供客戶端環境檢測,比如檢測客戶端是否安裝了防火牆和防病毒軟體。
4)完成訪問後,客戶端需要清除客戶端機器的快取
在移動用戶完成遠程訪問後,是否就萬事大吉了呢?當然不是,黑客或不法分子可以通過拷貝、複製駐留在客戶端緩衝區內數據盜取企業機密。
5)服務端的日誌跟蹤
SSL VPN伺服器應該提供訪問統計和跟蹤功能,這樣管理員能夠根據日誌隨時掌握系統訪問情況。
對於以上這些安全特性,SafeNet iGate SSL VPN均能夠提供支持。
1.SafeNet iGate 使用高強度的128位加密技術。
2.對於遠程移動用戶,iGate能夠結合PKI體系以及本地活動目錄,值得一提的是,SafeNet獨有的iKey雙因素身份認證USB Key與iGate SSL VPN完美結合,充分實現安全的雙因素身份驗證功能。
3.SafeNet iGate支持客戶端環境檢測功能,SafeNet iGate能夠設定訪問策略,當客戶端不符合某個條件時,系統將禁止用戶登入。
4.為此,SafeNet iGate在用戶離線後可自動清除用戶緩衝區的內容。另外,在拔除iKey後,訪問也會自動中斷。
5.SafeNet iGate在用戶界面上集成了日期查詢功能,能夠非常方便的進行日誌跟蹤。
1.3易於管理和維護,使用操作性強
SSL VPN的突出優勢之一就在於移動性強、易用性強。但這些特性往往會增加管理難度。因此用戶在選購SSL VPN時要重點考慮產品的管理性能。產品要做到界面簡單,使用方便,靈活、細緻地設定訪問許可權,採用基於用戶/組/角色的認證機制,每個檔案、網址或套用都可進行單獨設定,使訪問控制更易於管理。
SafeNet iGate 提供兩個Web方式的管理UI,一個是Simple-UI,一個是Classic-UI,把常用的設定和不常用的設定分別開來,這樣大大降低了管理維護的複雜性。
1.4性能
由於是集中系統,SSL加速決定整個網路的吞吐量。如果SSL加速跟不上,遠程接入就會比實際的Internet接入頻寬低很多。有的SSL VPN產品採用專門的SSL加速硬體,從而提高了VPN的回響速度。另外,通過數據壓縮技術,還對所有的傳輸數據進行壓縮後再進行傳輸,這樣就提高了整個網路的運行效率和實用性。
SafeNet iGate配置硬體SSL加速卡,能夠大大提高訪問速度,另外iGate 還提供數據壓縮功能,能夠大大增加網路吞吐量。
1.5服務
除了上面提到的幾點外,具有良好服務也至關重要。SSL VPN還是一個在不斷發展的技術,更新的可能會比較快,提供SSL VPN的廠家是否具有良好的產品服務質量、渠道回響速度和本地支持能力也非常重要。比如承諾免費或低費用升級,等等。
結束語
SSL VPN的發展迎合了用戶對低成本、高性價比遠程訪問的需求。現在,它已經廣泛套用於各行各業。選購SSL VPN時,用戶還要根據自身特點和不同的業務模式,選擇適合自己的SSL VPN產品,再次強調,VPN是正在發展的技術,更新換代可能會比較快,因此用戶在選購時可以少考慮一些擴展性,多注重產品的實用性。畢竟,只有適合自己的,才是最理想的選擇。