实现远程接入的新型VPN技术

newmaker

欢迎访问e展厅 展厅 5 网络/安全/存储产品展厅 无线上网卡, 光纤设备, 网络布线产品, 计算机干扰器, 网关, ... 从概念角度来说，SSL VPN即指采用SSL（Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。 目前SSL协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL协议被内置于IE等浏览器中，使用SSL协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。 一般而言，SSL VPN必须满足最基本的两个要求： 1.使用SSL协议进行认证和加密； 2.直接使用浏览器完成操作，无需安装独立的客户端。 随着技术的进步和客户需求的推动，当前主流市场的SSL VPN和几年前面市的仅支持WEB访问的SSL VPN已经发生很大的变化。主要表现在： 1. 对应用的支持更广泛。最早期的SSL VPN仅仅支持WEB应用。但目前几乎所有的SSL VPN都支持使用插件的形式、将TCP应用的数据重定向到SSL 隧道中，从而支持绝大部分基于TCP的应用。SSL VPN可以通过判断来自不同平台请求，从而自动安装不同的插件。 2.对网络的支持更加广泛。现在多数优秀的SSL VPN都能通过用户可选的客户端插件形式为终端用户分配虚拟IP，并通过SSL隧道建立层三（Level 3）隧道，实现与传统IPSEC VPN客户端几乎一样强大的终端网络功能。 3.对终端的安全性要求更严格。原来的SSL VPN设计初衷是只要有浏览器就能接入，但随着间谍软件和钓鱼软件的威胁加大，在不安全的终端上接入内部网络，将可能造成重要信息从终端泄漏。因此很多SSL VPN加入了客户端安全检查的功能：通过插件对终端操作系统版本，终端安全软件的部署情况进行检查，来判断其接入的权限。 以上这些不断创新的SSL VPN功能都需要插件支持，因此简单的通过是否安装有插件来判断是否是SSL VPN肯定是不正确的；那么又如何有效的选择优秀的SSL VPN产品呢？ 1.考察SSL的真实性。有些厂商仅仅将TCP数据做了简单的封装，或者把IPSEC VPN做些修改，将数据转发到443端口，便宣称自己是SSL VPN。鉴别这种伪SSL VPN，可以使用标准的HTTP流量测试工具，如Loadrunner、Web bench、Avalanche等。 2.考察SSL VPN的可用性。SSL VPN要支持各种网络环境，因此要对SSL VPN的穿透性进行考察，检查SSL VPN是否可以在NAT环境、Web代理环境、Socket代理环境下都能工作正常。SSL VPN最好能适应中国的各种跨运营商环境，如果在全国大范围内部署SSL VPN，则需要考察SSL VPN是否支持多ISP链路，是否支持选择最快接入线路的功能。 3.考察SSL VPN的易用性。SSL VPN的插件应该做到自动安装自动修复。用户登录SSL VPN不需要培训和指导就能进入应用。对于大规模的SSL VPN用户部署，应该要支持对统一用户认证数据的无缝支持。 4.考察SSL VPN的安全性。如果是真实的SSL VPN，其安全性在很大程度上得到了SSL协议的保证。更多的安全性主要体现在对多种认证的支持，除了通用的X509、PKI、Radius等认证外，最好能够提供更安全的USB KEY、动态令牌、一次性短信口令等较难复制盗用的认证方法。还有就是终端安全，主要包括对终端的Cookie清除，客户端安全检查等。 5.考察SSL VPN的性能。SSL VPN的性能一定要满足用户目前的用户容量和未来几年内的用户扩展要求。SSL VPN最主要的性能指标是并发用户数和加密吞吐量。往往采购的SSL VPN的并发用户授权可以远小于真实的使用用户数量，因为大部分情况下，不是所有的用户都同时在使用SSL VPN的，一般而言，需要购买的授权数为实际使用用户1/4～1/3即可。 6.考察SSL VPN的性价比。一般而言，同等价格获得越多的功能和性能，则性价比越高。但获得的更多功能和性能都应该是用户目前或未来1～2年内能够用到的，否则就无法体现其价值。 (end)

文章内容仅供参考 (投稿) (如果您是本文作者，请点击此处) (10/2/2006)