【IT168 专稿】信息化和商业化社会的发展,使分布在世界各地的企业各分支机构员工、合作伙伴和客户之间的联系更加紧密。采用哪种通信手段能安全、快速、经济地远程访问企业内部资源呢?这已成为管理者首先要解决的问题。通过租用专线实现远程连接是迅速、安全且可靠的,但其成本过高,并不适合大多数企业应用。对于那些需要快速连接分支机构,而又要考虑成本的企业而言,SSL VPN就成为了一种不错的选择。
现在实现VPN联网方案的主要技术是IPSEC VPN与SSL VPN,IPSEC VPN出现得较早,商用化程度较高,技术较成熟,安全性较优越。但缺憾是设备成本支出较多,分部和移动人员需要硬件IPSec VPN客户端设备和软件IPSec VPN客户端,设置工作较复杂,维护工作较多,需要专业网管支持。SSL VPN是一项近两年才发展起来新的虚拟专网技术,由于无须安装VPN客户端(不管是硬件客户端还是软件客户端)的便捷性和因此大幅降低的实施管理成本,在国内外得到了迅速的应用和发展。同样是VPN远程联网,SSL VPN适合于在客户、合作伙伴用户、远程用户、供应商、本单位总分机构及移动员工之间建立VPN,而IPSec VPN更适用于网段间的链接。
随时随地移动接入
与IPSEC VPN相比,SSL VPN更加适用于单机接入总部网络的应用需求,如移动办公,而IPSEC VPN则适用于两个固定的局域网之间构建安全通道。SSL VPN使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入总部网络访问应用。SSL VPN打破了构建VPN通道要安装专用客户端的传统,倡导的是不需客户端的“随时随地移动接入”的新概念,甚至在公共上网场合(如网吧)都能够利用SSL VPN访问内网的应用资源这点是SSL VPN最具价值的特性。但是,SSL VPN并不局限于单机移动用户,也可用于分支单位的固定用户,之所以有上述叙述,是因为与IPSec VPN作比较,其实只要能上互联网,任何被授权用户都可以访问SSL VPN。现在的总分部VPN方案也越来越多采用SSL VPN实现,原因在于它对用户的应用支持范围越来越广,功能越来越接近于传统的IPSec VPN,而且SSL VPN不受上网方式限制,SSL VPN隧道可以穿透防火墙。
安全有保障
SSL VPN容易提供更细的访问控制,可以对用户、用户组的权限、资源、服务、文件进行更加细致的控制,并可以与第三方认证系统、认证中心(CA)结合。SSL VPN安全主要包括:数据通信安全、身份认证安全两个大层次。
在数据通信安全方面,SSL VPN采用标准的安全套接层(SSL)协议对传输中的数据包进行加密。SSL协议则是浏览器自带的,加密强度为128位,对一般商用来说、完全能够满足数据传输层的安全需求。
在身份认证安全方面,SSL VPN也已经走向完善。SSL VPN可以做到基于用户个体的精细控制,基于用户和组授予不同的应用访问权限,并对相关访问操作进行审计,保证只有“正确”的用户才能访问总部发布的“正确”的应用。现在大部分的SSL VPN产品一般会采用了多重身份认证手段来实现接入者的身份认证,设备的本身内置有认证服务器,而且还可与第三方的认证系统或认证中心集成。多重认证包括:用户名及密码校验;数字证书;第三方的PKI体系;CA中心;USB KEY的认证;动态密钥;手机认证等等。这些认证方式可以有效的保障接入用户身份认证的安全。对于普通企业的VPN应用可以直接采用设备本身的认证,对于要求较高的企业用户可以加入企业内部的认证系统或第三方CA认证。
另外,对于内网安全, SSL VPN更优于IPSec VPN,因为IPSec VPN打开了从分支局域网到总部局域网之间的虚拟通路,它只认证两端设备的身份,不是认证每一个访问的人而对于里面传什么数据是没有有效保障的,因此有可能造成了病毒跨网传播,而一旦可上VPN的电脑被未授权的人控制,总部网络就会存在危险。SSL VPN保障到具体的应用,只有开放了具体应用,并且只有权限的用户才允许访问、并没有给接入的用户不受限地访问内网其它资源的权限,并且没有开放到局域网,因此对总部内网更安全。
因此,基于以上分析,SSL VPN完全能够满足远程用户的接入安全需求。
应用支持多
新的SSL VPN能够实现各种基于B/S,C/S结构设计的应用程序,能够实现所有IPSec VPN所支持的所有应用,因此对于用户各种网络应用的支持越来越好、越来越多,可以说已经今非昔比。
在以前,SSL VPN只支持WEB方式的应用,为用户开发的应用必须围绕着WEB来展开,但现在已经不仅局限于WEB方式。在这一点上,现在可能仍有网友认为“SSL VPN只支持WEB应用”,这是错误的。SSL VPN之所以不需要安装任何VPN客户端,就是因为用户端的电脑中只要有浏览器、就一定会有SSL协议。SSL VPN就是用到了系统已有的SSL协议来构建安全的通道,但并不等于SSL VPN只支持WEB应用。
SSL VPN除了支持WEB应用之外,还能支持基于TCP/UDP传输协议的应用(如C/S应用软件)、支持Windows网上邻居、FTP等。SSL VPN支持C/S结构的应用程序的原理是将非WEB的应用进行重定向、在用户端将所有数据转入SSL协议通道传输,在中心端进行恢复和还原。目前各路厂家们正在不断努力研发,以使自家SSL VPN产品对用户各类特殊应用的支持越来越透明。最简单的就是用隧道(Tunnel)的方式来支持,但是从应用发布的角度来说,隧道不是一个好的方法,它等于是把所有的东西都开放出去,让任何人来使用。这不是解决某一个应用问题,只是解决网络层面的问题;这不是对应用的支持,是对网络的支持。传统的C/S架构应用建立的前提是终端要安装客户端程序,现在,很多SSL VPN厂家在做的事情是通过Java、ActiveX技术把C/S架构的应用转移到SSL VPN上,用SSL VPN把终端程序自动地发布到客户端。通过这样一个手段可以大大降低原来C/S架构应用给企业带来的管理、维护成本,从技术角度来说,这是真正和应用紧密相关的。
同时支持电脑、PDA、智能手机、3G手机等一系列终端设备及大量移动用户接入的应用。唯一的缺憾是: 比较适合Site-to-LAN(点对网)的连接,对LAN to LAN VPN 支持不是特别好。
成本维护低
SSL VPN只需维护中心节点的SSL VPN设备,客户端免维护,降低了部署和支持费用,相比较IPSec VPN,SSL VPN的设备和维护成本是最低的。对于IPSec VPN布网来说,它是局域网与局域网之间通过互联网构建虚拟连接,需要在总部、分部分别部署一台IPSEC VPN设备,而对单个移动用户需要安装专门的客户端,因此它的设备支出多出了分部的设备部分。而SSL VPN只需在单位总部部署一台SSL VPN设备就可以,其它远程用户不管它是移动在外的员工,还是分部的员工、合作伙伴用户要做访问总部,只需打开浏览器就可以了。
SSL VPN事实标准
说到SSL VPN的应用,有一个无法回避的话题就是该如何评价SSL VPN。关于是否有一个通用的标准来评价SSL VPN产品的各项指标,在市场上曾有一些争论。笔者认为,虽然标准化组织并没有出台测试标准,但事实标准是存在的。比如Spirent Avalanche和Webbench都是专门从事测试的公司或人员开发的,Webbench是一个HTTP应用的测试工具,更接近实际使用环境。业界的评测机构、厂商都采用这两个工具对SSL VPN进行测试。可以说,它们就是评测SSL VPN的事实标准。
应用现状和发展趋势
随着Web应用的增多以及远程接入需求的增长,SSL VPN正在成为一个热门市场。虽然目前大部分的远程接入服务都是由IPSec VPN来实现的,不过业内人士指出,大约90%的企业利用IPSec VPN只是用来进行电子邮件通信以及访问Web应用,只有10%的用户利用IPSec VPN访问非Web应用。也就是说目前90%的IPSec VPN应用都可以被SSL VPN来实现,而SSL VPN更加容易配置和管理,实现成本要比IPSec VPN低很多。 经过几年的发展,如今许多的大型公司对SSL VPN技术趋之若鹜,吸引着包括思科、诺基亚、Array Networks等在内的国际知名厂商。目前,几乎所有的主流商业浏览器都集成了SSL,实施SSL VPN不需要再安装额外的软件。从目前的市场情况看,IPSec仍占据最大的市场份额,但是它的种种弊端已经暴露出来。一些用户已经开始同时部署两种解决方案,比如远程访问办公通过SSL VPN,而站点之间的连接通过IPSec。在未来几年内,两种解决方案还将共存,但是SSL VPN凭借其简单易用、部署及维护成本低,会受到企业用户的青睐,将会有更大的发展空间
