當你用手機訪問公司內網OA、郵件的時候,你正在使用的一項技術就是SSLVPN技術。SSLVPN作為一種全新的技術正在被廣泛的關注,SSL得利用內置在每個WEB瀏覽器中的加密和驗證功能,關與網關相結合,提供安全遠程訪問企業應用的機制,這樣遠程移動用戶就能輕鬆的訪問公司內部B/S和C/S應用和其它資源。
1.什麼是SSLVPN
SSLVPN就是SSL協議(Secure Sockets Layer 安全套接層)加上工作在應用層上的VPN,用戶通過基於HTTPS來訪問受保護的應用。有兩種工作模式:直路模式和旁路模式。
直路模式是當需要訪問應用服務器,客戶端通過雙方的相互認證證書的SSL VPN網關;設置客戶端和SSL VPN作為網關之間的SSL通道;代理和客戶端服務器建立TCP連接應用,傳輸客戶端和應用服務器之間的數據。
旁路模式是當SSL VPN Server接受安全超文本傳輸協議請求將加密的程序給加速裝置處理,當SSL加速裝置處理後再轉發數據到SSL VPN Server。
SSL VPN網關在傳輸的過程中起到的作用是代理,當用戶發送訪問應用服務器的請求時,請求並沒有直接發送給應用服務器,而是先被SSLVPN接收,然後數據被SSLVPN進行解析,然後執行身份認證和訪問控制等安全策略,最終再轉換為後端協議,傳送給應用服務器。由於執行了身份認證安全策略後才允許數據進入應用服務器,很好地保護到了內網安全。
SSLVPN接入方式:
客戶端方式
用戶在電腦端安裝客戶端程序,做好SSLVPN服務器IP及端口配置,選擇合適的身份認證方式,只需配置一次,就可以訪問內網應用。
L4VPN方式
通過設置IE瀏覽器,實現內容重寫和應用翻譯。在用戶登錄VPN網關後直接訪問內網應用,又名"應用程序代理"。
2.SSL VPN的優勢 SSL VPN的優勢來自於HTTP的廣泛應用,常見的使用 HTTP 的應用有:SOAP(Simple Object Access Protocol) 簡單對象訪問協議,UDDI (Universal Description, Discovery, and Integration)統一描述、發現和集成等。這類B/S 架構管理軟件只安裝在服務器端上,用戶界面主要事務邏輯在服務器端完全通過WWW瀏覽器實現。極少部分事務邏輯在前端(Browser)實現,所有的客戶端可以只有瀏覽器。
(1) 零客戶端 區別是SSL VPN最大的優勢。有Web瀏覽器的地方的就有SSL,所以預先安裝了Web瀏覽器的客戶機可以隨時作為SSL VPN的客戶端。這樣,使用零客戶端的SSL VPN遠程訪問的用戶可以為遠程員工、客戶、合作伙伴及供應商等,通過SSL VPN,客戶端可以在任何時間任何地點對應用資源進行訪問,而IPSec VPN只允許已經定義好的客戶端進行訪問,所以它更適用於企業內部。
(2)安全性
SSL安全通道是在客戶到所訪問的資源之間建立的,確保端到端的真正安全。無論在內部網絡還是在因特網上數據都不是透明的。客戶對資源的每一次操作都需要經過安全的身份驗證和加密。
在Internet聯機入口,都是採取適當的防毒偵測措施。不論是IPSEC VPN或SSL VPN聯機,對於入口的病毒偵測效果是相同的,但是比較從遠程客戶端入侵的可能性,就會有所差別。採用IPSEC聯機,若是客戶端電腦遭到病毒感染,這個病毒就有機會感染到內部網絡所連接的每臺電腦。而對於SSL VPN的聯機,病毒傳播會侷限於這臺主機,而且這個病毒必須是針對應用系統的類型,不同類型的病毒是不會感染到這臺主機的。因此通過SSL VPN連接,受外界病毒感染的可能性大大減小。
IPC VPN部署在網絡層,因此,內部網絡對於IPSec VPN的使用者來說是透明的,只要是通過了IPSEC VPN網關,就可以任意訪問內網中的資源。因此,IPSEC VPN的目標是建立起來一個虛擬的IP網,而無法保護內部數據的全面安全。 而SSL VPN重點在於保護具體的敏感數據,比如SSL VPN可以根據用戶的不同身份,給予不同的訪問權限。通過配合一定的身份認證,不僅可以控制訪問人員的權限,還可以對訪問人員的每個訪問的關鍵信息進行數字簽名,以保證每次訪問的不可抵賴性,為事後追蹤提供了依據。
(4) 經濟性
SSL VPN具有很好的經濟性,因為只需要在總部放置一臺硬件設備就可以實現所有用戶的遠程安全訪問接入。但是對於IPSEC VPN來說,每增加一個需要訪問的分支,就需要添加一個硬件設備。就使用成本而言,SSL VPN具有更大的優勢,由於這是一個即插即用設備,在部署實施以後,一個具有一定IT知識的普通工作人員就可以完成日常的管理工作。 綜觀上述,SSL VPN在其易於使用性及安全層級,都比IPSec VPN高。我們都知道,由於Internet的迅速擴展,針對遠程安全登入的需求也日益提升。對於使用者而言,方便安全的解決方案,才能真正符合需求。
閱讀更多 網安情報站 的文章
