SSL VPNSSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。
一、 SSL VPN的技术演变
演化过程
随着应用程序从C/S 结构向Web 的迁移,企业必须面对一个新的挑战,就是如何在不影响最终用户使用的前提下实现在任何地方灵活访问这些应用程序。在最近20 年间,用户和管理层听到因为安全原因不能够在公司以外访问内部应用程序的声音不绝于耳。在70 年代,人们对远程访问概念几乎等同于从远端的办公地点访问应用程序,这需要设置非常昂贵的WAN 网并租用连接线路。
到了80 年代,一小部分用户可以使用调制解调器直接拨号到modem banks 或他们自己的PC 上,但是使用费用相当高昂只能有非常有限的小部分人使用。而且在那时候,在家使用个人电脑才刚刚成为主流,远程访问需求还不是很大。随着90 年代的来临, 在家用PC 盛行的同时,移动电脑开始显现,在家办公也开始兴起。公司管理者和销售员们开始在外出出差的时候携带他们的笔记本电脑,他们需要实时访问公司内部信息,设立IPSec VPN 可以保护用户远程访问。它可以提供足够的安全性,但是问题是安装和维护相当麻烦。任何在PC 上的改变对VPN 而言可能都是一场灾难,最终用户不得不硬着头皮忍受这些变化,因为他们别无选择。即使是现在,你也很难找到一个用户,他的VPN 一点儿问题也没有。从管理员的角度来讲,使用IPSec VPN 不仅仅意味着要对客
户端进行安装和调试,而且还需要调整整个网络的结构。在数据包进行传输时NAT 不能完全工作正常,有时候会出现连接断开的现象,改变防火墙设置可以解决这一问题但是必须要做大量的管理工作。如果IT 管理部门可以完全控制从后端到客户的网络结构,其管理复杂性可以忍受;当IT 管理部门不能完全控制时,管理复杂性就要成倍增加。这种情况同样发生在本地NAT 和防火墙对合作伙伴,在家里或在酒店。
如今, 公司开始把眼光放在他们是否选择了合适的安全远程访问系统上。使用IPSec VPN 和租用WAN 线路对于不经常更改网络结构的用户来说是非常好的选择。如果情况并非如此,用户就需要另做选择。现在,已经有公司开始考虑使用架构在因特网上的SSL 协议,在不破坏已有网络布局的前提下进行安全远程访问。SSL 是通过因特网进行加密传输保护一种常用方法,许多公司对他们的内部网和外部网执行了SSL 设置,通过SSL VPN 进行访问控制。
二、SSL VPN 的定义
SSL VPN 的发展对现有SSL 应用是一个补充,它增加了公司执行访问控制和安全的级别和能力。
SSL VPN 还对那些因为使用远程访问应用系统而降低公司安全性的企业有所帮助。从属性上讲,拨号可以保证相对安全性,因为特定的电话线可以确认用户的身份。客户端/服务器和旧版本的VPN 自身也拥有一定级别的安全保障能力,因为客户端软件是需要安装的。但是,以这样的安全策略和属性, 不可否认,黑客入侵、安全威胁、身份欺诈呈增长趋势。现在,使用SSL VPN,安全特性已经发生了改变,人们可以通过浏览器访问应用程序。
如果把SSL 和VPN 两个概念分开,大多数人都清楚他们的含义,但是有多少人知道他们合在一起的意思呢?从学术和商业的角度来讲,因为他们代表的含义有所不同,因而常常会被曲解。
SSL 通过加密方式保护在互联网上传输的数据安全性,它可以自动应用在每一个浏览器上。这里,需要提供一个数字证书给Web 服务器,这个数字证书需要付费购买,相对而言,给应用程序设立SSL 服务是比较容易的。如果应用程序本身不支持SSL, 那么就需要改变一些链接,这只与应用程序有关。对于出现较大信息量的情况,建议给SSL 进行加速以避免流量瓶颈。通常SSL 加速装置为热插拔装置。
VPN 则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。过去,VPN 总是和IPSec 联系在一起,因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层,IPSec VPN 则多用于连接两个网络或点到点之间的连接。
以上我们简要介绍了SSL和VPN,现在我们要了解一下SSL和VPN是怎样结合在一起的?大量理论可以证明SSL的独特性以及VPN所能提供的安全远程访问控制能力。到目前为止,SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机,工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全远程访问的新生代。
三、什么是SSL VPN?
从概念角度来说,SSL VPN即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中,使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。
一般而言,SSL VPN必须满足最基本的两个要求:
1. 使用SSL 协议进行认证和加密;没有采用SSL 协议的VPN产品自然不能称为SSL VPN,其安全性也需要进一步考证。
2. 直接使用浏览器完成操作,无需安装独立的客户端;即使使用了SSL 协议,但仍然需要分发和安装独立的VPN客户端 (如Open VPN)不能称为SSL VPN,否则就失去了SSL VPN易于部署,免维护的优点了。
四、SSL VPN国内现状
2009年5月,国际调研机构Frost & Sullivan发布了中国SSL VPN市场调查报告,这份报告显示,2008年中国SSL VPN市场规模比去年增加了121.6%,而在市场占有率方面,深信服、Array、Juniper则位列三甲。
据Frost的报告介绍,与去年同期相比,中国SSL VPN市场的同比增长率高达121.6%,这主要源于中国企事业单位的快速扩张及网络信息化的高速建设。除了雪灾、地震灾害带来的大量区域网络重建外,中国SSL VPN市场的另一个增长点主要在政府行业,北京奥运会与2008年下半年国家投入高达4万亿的经济刺激计划,使得远程接入、网络互连的信息化建设需求进一步增长。
快速增长的市场容量带来了更加激烈的厂家扩张竞争。从报告的数据来看,深信服的市场份额达到了31.1%,接近整个中国市场的1/3,Array和juniper紧随其后。这三家厂商共占据了中国SSL VPN市场份额的71.7%,可见该市场已逐渐形成寡头趋势。 Frost预计,2009年中国SSL VPN市场的增长率将为28.1%,并在2015年形成规模为约1.3亿美元的市场。
五、SSL VPN的特点
SSL VPN的客户端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装;
SSL VPN可在NAT代理装置上以透明模式工作;
SSL VPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响,穿透能力强;
SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问到更多的企业网络资源,同时降低了部署和支持费用; 客户端安全检查和授权访问等操作,实现起来更加方便。
SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上。IPSec VPN通常不能支持复杂的网络,这是因为它们需要克服穿透防火墙、IP地址冲突等困难。所以IPSec VPN实际上只适用于易于管理的或者位置固定的地方。可以说从功能上讲,SSL VPN是企业远程安全接入的最佳选择。
但是虽然SSL VPN具有以上众多的优点,却由于SSL协议本身的局限性,使得性能远低于使用IPSec协议的设备。用户往往需要在简便使用与性能之间进行痛苦选择。这也是第二代VPN始终无法取代第一代VPN的原因。
六、SSL VPN的优点1、方便。实施ssl vpn之需要安装配置好中心网关即可。其余的客户端是免安装的,因此,实施工期很短,如果网络条件具备,连安装带调试,1-2天即可投入运营。
2、容易维护。ssl vpn 维护起来简单,出现问题,就维护网关就可以了。实在不行,换一台,如果有双机备份的话,备份机器启动就可以了。
3、安全。ssl vpn 是一个安全协议,数据全程加密传输的。另外,由于ssl网关隔离了内部服务器和客户端,只留下一个web浏览接口,客户端的大多数病毒木马感染不倒内部服务器。而ipsec vpn 就不一样,实现的是ip级别的访问,远程网络和本地网络几乎没有区别。局域网能够传播的病毒,通过vpn一样能够传播。
