1、SSL VPN 的主要优势和不足SSL VPN的简介随着应用程序从C/S(客户端/服务器)结构想B/S(浏览器/服务器)结构的WEB应用方式的转变,企业必须面对一个新的挑战,就是如何在不影响最终用户使用的前提下,实现在任何地方灵活地远程访问这些应用程序。而SSL VPN则是一个非常好的选择方案,这也是当前TLS/SSL的另一个最典型的应用。目前提供SSL VPN的软、硬件解决方案相当多,特别是在硬件设备方面,主要是基于SSL VPN网管设备。当前国内市场上,主要的SSL VPN网关品牌有juniper netscreen 、天融信、联想、深信服、侠诺等。 SSL VPN网络结构和主要应用SSL
2、 VPN其实就是SSL和VPN这两种协议的一种应用结合,就像IPSec与VPN结合后形成IPSec VPN一样。当然主体仍然是VPN,SSL是用来保护VPN连接的。因为我们知道,SSL具有数据加密、身份认证、数据完整性检查等安全功能。SSL VPN的典型网络结构SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器(实际上称之为SSL VPN网关)。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证改用户的身份,然后SSL代理服务器将提过一个远程用户域各种不同的应用服务器之间连接。SSL VPN网关的作用就是代理We
3、b页面。它将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器,然后将服务器的响应回传给终端用户。对于非Web页面的文件访问,往往要借助于应用转换。SSL VPN网关与企业网内部的微软CIFS或FTP服务器通信,将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端,终端用户感觉这些服务器就是一些基于Web的应用。但有的产品所能支持的应用转换器和代理数量非常少,有的则很好地支持了FTP、网络文件系统和微软文件服务器的应用转换。而有一些应用(如微软的Outlook或MSN),它们的外观会在转化为基于Web界面的过程中丢失,此事就要用户到端口转发技术。端口转发用于端口
4、定义明确的应用,他需要在终端系统上运行一个非常小的Java或ActiceX程序作为端口转发器,坚挺某个端口上的连接。当数据包进入这个端口时,它们通过SSL连接中的隧道被传说送到SSL VPN网关,SSL VPN网关解开封装的数据包,将它们转发给目的应用服务器。使用端口转发器,需要终端用户指向他希望运行的本地应用程序,而不必指向真正的应用服务器。一些SSL VPN网关还可以帮助企业实现网络扩展。它将终端用户系统连接到企业网上,并根据网络层信息(如目的IP地址和端口号)进行接入控制。虽然牺牲了高级别的安全性,单确实复杂拓扑结构下的网络管理变得简单。SSL VPN的主要应用SSL VPN可以为企业提
5、供多种远程访问的服务,主要包括下面的3种。1) Web应用远程访问控制因为SSL 本来就是B/S结构的,它主要就是针对Web安全应用而开发的。所以,Web应用远程访问控制是SSL VPN的主要功能。在Web应用方面,除了常见的Web服务器访问外,还可以进行像Web方式的电子邮件访问和基于FTTP协议的FTP服务器访问等。对于企业来说,电子邮件通信是一个很基本的功能。IPSec VPN可以保护邮件系统的安全,但对于IPSec VPN需要在客户端安装支持IPSec协议的客户端软件,并且连接企业网络,然后才能使用内部的邮件系统。如果员工使用他人的电脑设备或者在其他的网络中时,就会面临对方防火墙的地址
6、转换和安全策略带来的障碍,导致无法连接企业网络,从而无法使用内部邮件系统。SSLVPN提供了一个比较好的方案,员工使用任何一个带有浏览器的电脑就可以访问基于Web的电子邮件系统,通过SSL VPN建立的安全通道手法邮件。SSL VPN还会把企业内部所有的域名和服务器地址隐藏起来,以提高企业网络的安全性。2) 内部网络访问即使不在办公室,企业员工也需要使用内部网中的一些文件资源,但是一般情况下企业不会开放整个内部网络以实现文件访问。SSL VPN可以让企业员工在任何地方,使用任何一个包含浏览器、连接到Internet的接入设备,以实现对内部特定资源的访问。3) 网络资源访问保护为了提高工作效率和
7、加强合作,企业通常会对合作伙伴开放内部站点和网络资源。考虑到企业信息的保密性,如何能保证只有指定的合作伙伴才能访问相应的资源,以及保证信息在网络上传递时不被截获,就成了企业必须解决的问题。IPSec VPN在部署时无法保证对最终用户的访问限制,即只允许访问合作伙伴访问内部网络中的制定资源,而且部署IPSec VPN会要求更改合作伙伴防火墙的安全策略,因此这是很难实现的。SSL VPN 则完全不存在上述问题,企业甚至可以限制某一个合作伙伴只能访问站点中的某些页面和文件夹,并且不需要修改合作伙伴的安全策略,只要合作伙伴能够访问Internet即可。其他服务还有:通用C/S应用远程访问控制,远程网络
8、邻居功能(文件共享/传输等),特定C/S应用远程访问控制(终端服务实现)和远程桌面控制,UDP、ICMP协议应用远程控制等,这些在VPN网关设备上已提供。SSL VPN的主要优势从概念上来说,SSL VPN就是指采用了SSL 协议,来实现远程接入的一种新型VPN技术。在此之前,VPN接入技术中,早就有项PPTV VPN 、L2TP BPN 、IPSec/L2TP VPN (简称IPSec VPN)等多种接入方式。我们知道,IPSec VPN也是一种VPN方案,那么SSL VPN与IPSec VPN相比又有什么特点和优势呢?尽管IPSec VPN可以同时实现点到端(或点到站点)和端到端(或站点到
9、站点)的VPN接入,但实际仍主要是应用在站点到站点的VPN接入中,在电到站点的远程访问VPN接入中,存在较多安全隐患。现在大家都普遍认为,SSL VPN是IPSec VPN的互补技术,在实现移动办公和远程接入时,SSL VPN 更可以作为IPSec VPN的取代性方案。同时,它又对现有SSL 应用是一个补充,它增加了公司执行访问控制和安全的级别和能力。SSL VPN厂商进程强调的SSL VPN的优势,主要包括依稀几个方面。1) 更容易部署、管理成本低部署IPSec VPN需要对基础设施进行重大改造,不仅在服务器端,在客户端也需要安装和配置相关软件。而且,IPSec VPN对客户端采用的操作系统
10、版本具有很高的要求,不同的终端操作系统需要不同的客户端软件。另外,IPSec 安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面,管理成本很高。在大的企业通常有几个专门的员工为通过IPSec 安全协议进行的VPN远程访问提供服务。而SSL VPN避开了部署及管理必要客户端软件的复杂性和人力需求,具有“零客户端配置”的特性,特别适合于远程用户连接。在SSL VPN中,客户端基本上不用灵位安装任何软件,可直接通过任何Web浏览器访问企业网的Web应用。目前几乎所有的操作系统都带有浏览器软件,其内置的SSL协议软件能提供足够的支持。虽然SSL VPN在某些应用(比如安全通道等服务)中,
11、也必须下载客户端软件,但由于SSL VPN 会自动下载、自动安装、自动配置完成,且在用户退出时,会自动删除。因此我们还是可以说SSL VPN是零客户端配置的。 2)更安全 在通路本身的安全性上,IPSec VPN还是非常安全的,比如在公网中建立的通道,很难被人篡改。说其不安全,是从另一方面考虑的,就是在安全的通路两端,仍存在很多不安全的因素。传统的IPSec 解决方案都没有很好地解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径。如果仅仅在受控的PC上(比如员工办公电脑上使用IPSec客户端),则可以通过部署统一的安全策略来解决改问题,但是如果要让合作伙伴
12、或者客户的电脑接入,就难以控制了。 而SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安全。无论是在内部网络还是在因特网上,数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份人中和加密。灵位,SSL VPN是直接与具体的应用系统关联的,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器,攻击机会相对就减少了。还有,在SSL VPN中,远程主机与SSL VPN网管之间是直接通过SSL 通信端口来作为传输通道的,只要在防火墙上开放所配置的SSL 端口(默认是443 TCP),就不会因为不同应用系统的需求而修
13、改防火墙上的设定,从而减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护,那么在日常办公中防火墙只开启一个SSL端口就可以了,因此大大增强内部网络受外部黑客攻击的可能性。 3)更好的可扩展性IPSec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,就要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。而SSL VPN就不同了它一般部署在内网中任一节点处,可以随时根据需要,添加VPN保护的服务器,因此无须影响原有网络结构。目前国内外的一些名VPN厂商都提供透明模式下的VPN网关,所以无须对用户原有的网络做
14、任何改变,包括主机路由、接入方式等。4)控制更精细 由于IPSec VPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSec VPN网关,入侵者就可以在内部为所欲为。因此,IPSec VPN的目标是建立一个虚拟的IP网,却无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备而SSL VPN具有权限隔离特色,用户远程登录后,只能看到开放给他的资源界面,不同的权限看到的用户界面是不同的。SSL 可以对用户的访问资源进行权限设置,保障资源的安全性。如侠诺的SSL VPN产品目前提供了网络服务、微软终端服务、远程桌面服务、在线网络邻居、安全隧道等服务。
15、在网络服务方面,提供了远程接入使用局域网TCP/IP相关服务,主要包括常见的TCP/IP服务,例如Web、SSL Web、FTP、Telnet、SSH等服务;在微软终端服务方面,提供远程接入使用局域网具有的windows终端服务器应用软件。注意包括常见的微软终端服务,例如Word Excel PowerPoint Outlook 或任何可在Windows服务器运作的软件;在远程桌面服务方面,提供了远程接入使用局域网支持RDP或VNC的计算机整改桌面资源;在在线网络邻居方面,提供了远程接入使用局域网Windows网流量计的稳定服务;在安全隧道方面,提供了远程接入使用局域网的所有网络资源,具有和局
16、域网计算机相同的权限。而且,这些服务开发权限从小到大,用户可以依据不同的群组开放不同的资源。如勾选用应商需要的ERP终端服务。供应商在客户端登陆画面时,智慧看到ERP终端服务选项,避免对外开放太多资源,容易被恶意入侵。当然,还可以自己添加或删除服务资源管理项目。SSL VPN的不足SSL VPN也不是十全十美的,它也有一些不足,主要表现在如下几个方面。1) 对C/S结果的应用支持力度不够由于SSL VPN是B/S结构的,所以对于C/S结果的非Web系统应用,就需要一定的配置和技术支持,在服务器端要进行针对性的配置,在客户端则可能需要安装插件,这带来部署和应用上的不便。这种配置只能基于已知或流行的应用系统。2) 对移动用户的安全访问仍存在较大风险由于对应用户具有良好的支持,所以SSL VPN要经受用户从任意地点和设备访问应用系统的考验,并且要承受更大风险。如用户可能从信息亭或网关上网来访问,这是地点和设备均不受用户控制,也不可预测设备的安全状况。3) 对应用性能影响较大SSL VPN是应用层加密的,性能比较差,需要使用加速装置。以上资料摘自 网络工程师必读网络安全系统设计王达 编著电子工业出版社2009年8月第1次印刷
