1、SSL VPN概述
虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,即通过私有的隧道技术在公共数据网络上仿真一条点到点的专线。目前,IPSEC隧道是组建虚拟专用网最常用的技术,即通常所说的IPSEC VPN技术。
IPSEC VPN技术
是网络层的VPN技术,它独立于应用程序,以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSEC建立加密隧道后,就可以实现各种类型的连接,如Web、电子邮件、文件传输、VoIP等,每个传输直接对应到VPN网关之后的相关服务器上。IPSEC是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议,对应用层协议完全透明,这是IPSEC VPN的最大优点之所在。但是随着VPN应用的越来越广泛,IPSEC VPN的缺点也逐渐的显现出来:
其一,IPSEC VPN配置部署复杂,需要专门的客户端软件,而且不同提供商之间的设备很难完全兼容。
其二,网络适应性不佳,由于是IP层的协议,对于防火墙等访问控制设备不透明,对网络地址转换(NAT)和应用代理(Proxy)等穿透性差。
其三,应用层安全性不好。最多只能提供IP地址和传输层端口这种粒度的访问控制,对应用层协议的细粒度强访问控制无能为力,更谈不上入侵检测与防御、防病毒、抗攻击等深层次的安全功能。
SSL VPN技术
SSL VPN指的是基于安全套接层协议(Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术,其应用随着Web的普及和电子商务、远程办公的兴起而发展迅速。
SSL协议主要是由SSL记录协议和握手协议组成,它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议相对于IPSEC协议体系中的IKE(互联网密钥交换协议)协议,主要是用于服务器和客户之间的相互认证,协商加密算法和MAC(Message Authentication Code-消息认证码)算法,用于生成在SSL记录协议中使用的加密和认证密钥。SSL记录协议是为各种应用协议提供基本的安全服务,类似于IPSEC的传输模式,应用程序消息参照MTU(最大传输单元)被分割成可管理的数据块(可进行数据压缩处理),并产生一个MAC信息,加密后插入新的报头,最后在TCP中加以传输;接收端将收到的数据解密,做身份验证(MAC认证)、解压缩、重组数据报然后交给应
用协议进行处理。实际上就是在应用层和传输层之间加入了一个数据处理层,和传统的网络套接字模型在同一层次,这也就是安全套接层的由来。
SSL VPN和IPSEC VPN技术的对比
SSL VPN与IPSEC VPN相比主要有以下优点:
其一,简单灵活。在SSL VPN的架构下,不需要在客户端安装软件,用户只要使用浏览器进行安全Web访问(https)即可。这样只要是任何装有浏览器的装置,例如可以支持Web的手机或PDA,都可以应用SSL VPN做加密保护。而且对于大多数的操作系统,只要可以支持标准的浏览器,不论是Windows、Mackintosh、Unix或是Linux,都可以通过SSL VPN做加密保护。
其二,对网络设备透明。由于是在传输层之上进行安全处理,不存在穿越NAT等防火墙设备的问题。
其三,应用层安全性高。在应用层建立的通道可以防止病毒、蠕虫等经由网络层传输的威胁。另外,由于SSL VPN还可以起到代理服务器的作用,所有客户端的访问都是由SSL VPN网关转发,而不能直接访问应用服务器,从而使服务器
不易受到病毒、黑客等攻击,而且还可以提供细粒度的强访问控制和日志审计。如果远程用户以IPSEC VPN的方式与公司内部网络建立联机,内部网络所连接的应用系统,都可能暴露给黑客攻击。若采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易探测出应用系统内部的网络机制,所受到的威胁也仅是所联机的应用系统,攻击机会相对减少许多。