考量SSL VPN网关
SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。这使得企业员工出差时不必再携带自己的笔记本电脑,仅仅通过一台接入了Internet的计算机就能访问企业资源,这为企业提高了效率也带来了方便。由于SSL VPN不像IPSec VPN那样要购买和维护远程客户端或软件,因而要比后者造价低很多。
SSL VPN网关位于企业网的边缘,介于企业服务器与远程用户之间,控制二者的通信。不久前,美国《Network World》对市场上的七种SSL VPN网关进行了测试,读者在了解这类产品特性的同时,一定程度上也可以感受到SSL VPN的优点与局限。起码,从目前来看,这类产品在某些方面还有待完善。
应用即是一切
掌握四个关键术语的含义有助于理解SSL VPN是如何实现的。即:代理(proxying)、应用转换(application translation)、端口转发(port forwarding)和网络扩展(network extension)。
SSL VPN网关至少要实现一种功能:代理Web页面。它将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器,然后将服务器的响应回传给终端用户。
对于非Web页面的文件访问,往往要借助于应用转换。SSL VPN网关与企业网内部的微软CIFS或FTP服务器通信,将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端,终端用户感觉这些服务器就是一些基于Web的应用。
在进行代理和应用转换时,测试者发现,这些产品之间存在着很大的差别。有的产品所能支持的应用转换器和代理的数量非常少。有的则很好地支持了FTP、网络文件系统和微软文件服务器的应用转换。 用户在选择网关时,必须对自己所需要转换的应用有一个很明确的了解,并能够根据它们的重要性给它们排个先后顺序。
而有一些应用,如微软Outlook或MSN,它们的外观会在转化为基于Web界面的过程中丢失。此时要用到端口转发技术。端口转发用于端口定义明确的应用。它需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器,监听某个端口上的连接。当数据包进入这个端口时,它们通过SSL连接中的隧道被传送到SSL VPN网关,SSL VPN网关解开封装的数据包,将它们转发给目的应用服务器。使用端口转发器,需要终端用户指向他希望运行的本地应用程序,而不必指向真正的应用服务器。
一些SSL VPN网关还可以帮助企业实现网络扩展。它将终端用户系统连接到企业网上,并根据网络层信息(如目的IP地址和端口号)进行接入控制。虽然牺牲了高级别的安全性,却也换来了复杂拓扑结构下网络管理简单的好处。
互操作性
SSL VPN网关测评的一个目的就是,测试这些产品是否像厂商所声称的那样比IPSec VPN更易于建立和使用。测试者使用7种浏览器/操作系统组合对20种应用进行了测试。SSL VPN所倡导的是安全和易用,因此在评估时既要考虑终端用户是否便于使用,也要关注一般水平的网络或系统安全管理员的工作难度。
测试者从5种基本的Web应用开始进行测试,其中有些还包括JavaScript。结果发现仅有一款参测产品支持7个平台上的5种应用,其他产品或多或少在某些应用上出现了错误。随后测试了两种典型的邮件应用:Outlook Web Access 2003 和iNotes。第三项测试使用的是三种基于Web的应用,其中包括Java和不同类型的Flash。第四项测试评估的是这些设备如何处理FTP、NFS和微软文件服务器的应用转换。参测设备表现参差不齐。最后一项测试的是端口转发和网络扩展能力。所有参测设备在不同平台上都表现出了一定程度上的差异。
访问控制
作为安全设备,所有产品都能够启动或禁止使用组对应用进行访问控制。有的产品允许网管把Web应用定义为一系列的URL。一旦定义了应用,用户和组就允许或禁止访问该应用。有的产品可以提供细粒度的控制,不仅做到“允许”或“禁止”,还包括你所能访问的是什么资源,以及你能对这些资源做些什么。
有些SSL VPN网关在访问控制方面的表现不令人满意,比如控制对文件服务器的访问,它们一旦允许用户共享Windows网络,就不会再对用户可以去的地方以及可以做的事情做进一步的控制。与此成对照的是,有的产品则允许你把读和写权限定义在单个文件的水平上。个别产品还提供了一个病毒扫描程序,可以在用户上载时扫描文件,看其是否染毒。
认证集成
识别用户并把它们归到某个组里是部署SSL VPN至关重要的一部分。在对这些产品进行测试的时候,测试者把LDAP和RADIUS作为认证的工具,以期发现参测设备设计上的优劣。
RADIUS服务器应用非常普遍。不过,只有两款产品可以极为灵活地从RADIUS服务器里获得组信息。在其他产品里,RADIUS用户不得不通过一些手段镜像到组里去。
对于多数厂商而言,LDAP的支持与Active Directory的支持是同义的。有三种产品均提供极为通用的LDAP实现,从而可以在各种各样的环境中运行。
因为SSL通常都是建立在证书基础之上的,因此,大家希望这些产品在其对公共密钥基础设施(PKI)的支持方面能够表现优异。但只有一款产品支持用证书进行认证。
有的产品却使用客户端证书来进行额外的认证,在SSL VPN网关的配置里定义访问控制时,你可以区分拥有证书和没有证书的用户的不同。
报告与日志
作为安全设备,人们还希望SSL网关具有很强大的审计、日志和报告功能。希望看到有关每次修改配置的记录,希望看到会话数据,以显示用户何时登录、何时退出的,以及用户消耗了多少资源。也希望看到交易统计数据。
测试者称有的产品甚至超出了期望值,它们除了拥有需要的所有记录之外,还可以使用FTP、SMTP或者安全拷贝自动地把其记录上传至服务器的某个地方。还可以选择某些特殊的用户和应用,并提供日志水平。不论用户是出于调试目的,还仅仅是为了更密切地观察系统的某个部分,这都是一项很好的企业级性能。
有的产品不仅能显示谁登录了,还能显示系统本身是如何运行的。可以显示多个图表,网管能够清楚地知道CPU、内存和I/O负载情况。
选择产品
对用户来说要挑选一个明显的最爱比较困难,虽然有的产品表现一般,但是,多数产品是各有其优势。有的提供了一个成熟的应用层防火墙,有的提供了范围最为广泛的应用转换功能。产品是否最终令人满意,还取决于用户对自己需求的了解程度,适合自己的是最好的。