打印本文 关闭窗口 | |
破解阻碍SSL VPN的三大迷雾 | |
作者:陈鹏 文章来源:eNet 点击数 更新时间:2009/9/9 21:33:06 文章录入:陈鹏 责任编辑:陈鹏 | |
|
|
SSL VPN正值壮年 SSL VPN采用当前广泛使用的工业级安全套接层协议SSL,无需安装客户端软件,授权用户能够从任何标准的Web浏览器和互联网连接安全地接入网络资源,包括PC、笔记本电脑和移动设备,从而安全可靠地获取信息。 SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与传统的IPSec VPN相比,SSL VPN更加适用于客户端单机接入中心网络的应用要求(如移动办公),而IPSec VPN则更适用于两个网络之间构建安全通道。 从2005年开始,IDC以及Gartner的专家都曾陆续做出过预测,他们认为SSL技术是未来VPN的发展趋势,SSL技术具备在Web应用方面的巨大优势,而未来主流IT应用逐步在朝Web、分布式移用方向发展。特别是随着3G的大面积推广,未来移动办公将更加流行。 另外,除了传统意义的远程连接访问以外,政府机构和大型企业在享受建立内部资源共享基础上高效率的协同工作的成果或Web上传下载的同时,也面临着保护内部网络及其数据安全性的挑战,包括网络反病毒、防入侵、防黑客、数据丢失等。此间,基于SSL VPN的应用将会越来越多。 迷雾一:安全性 不过,专家的预测并没有过多打动国内的安全市场,用户对于SSL VPN仍然存在疑问,首当其冲就体现在SSL VPN的安全性上。 要知道,IPSec VPN的每个客户端都必须安装IPSec客户端软件,并有多种身份认证和数据加密方式,其自身技术成熟且安全性得到了实际应用的证明。而SSL VPN首先就打破了安装专用客户端的传统,倡导的是“随时随地移动接入”的新概念,甚至在公共场合(如网吧)、都能够利用SSL VPN访问内网资源。这些现象给国内用户带来了一定的困扰:SSL VPN足够安全吗? 深信服科技的技术经理叶宜斌向记者透露,传统上VPN系统的安全性主要包括三个层面:数据传输的安全、身份认证的安全、内网应用的安全。 从协议上分析,SSL VPN采用标准的安全套接层协议对传输中的数据包进行加密。SSL协议则是浏览器自带的,加密强度一般为128位,从应用的实际情况看,完全能够满足数据传输层的安全需求。 在身份认证的安全上,SSL VPN也日趋成熟。“目前采用多重身份认证机制已经成为主流,像用户名密码的校验、支持第三方PKI体系且能与CA中心集成的数字证书、USB KEY认证、动态短信发送密钥,都已经开始了产品化应用。”叶宜斌如是说。 而对于内网应用的安全,其实SSL VPN更胜于IPSec VPN。对标准的IPSec VPN而言,并没有在内网安全上做进一步的要求,它只是打开了从分支到总部的通路、对于里面传什么数据是没有有效保证的。因此也造成了病毒在IPSec VPN内部跨网传播等一系列安全隐患。而SSL VPN则不同,它本来就是基于应用层的VPN。只有开放了的应用才允许使用、并没有给接入的用户不受限制的访问权限。因此,从安全性角度来分析,SSL VPN完全能够满足移动用户的接入安全需求。 迷雾二:应用支持与设备部署 在这一点上,很多用户收到了误导。关于网络上很多SSL VPN的介绍文章中,到处充斥着“SSL VPN只支持Web应用”的字眼。这其实是混淆了SSL协议和SSL VPN的概念。 SSL VPN之所以不需要安装任何客户端,就是因为用户终端中只要有浏览器、就一定会有SSL协议。SSL VPN就是用到了系统已有的SSL协议来构建安全的通道,但并不等于SSL VPN只支持Web应用。 SSL VPN除了支持Web应用之外,还能支持任何基于TCP的应用(如C/S应用软件)、支持Windows网上邻居、FTP等多种应用。因为从技术上说,只要将所有其他非Web的应用进行重定向,在客户端将所有数据转入SSL协议通道传输,在中心端进行恢复和还原就可以实现。 另外,像上海冰峰网络、深信服科技等本土厂商,都开发了独特的隧道SSL VPN技术或IPTUNEL协议,以便在SSL VPN设备上运行一些类似IPSec VPN的功能。以IPTUNEL协议为例,该协议支持UDP应用,支持PING通,从而实现对视频等更复杂应用的透明支持。对客户端来说,仍然不需安装任何客户端软件,只需在SSL用户登录时自动下载部分插件,从而保证了SSL VPN天然的易用性。 在设备部署上,SSL VPN最大的便利在于不需安装任何客户端,这也使得它在一些特殊终端(如支持浏览器的PDA)、特殊场合(如不是使用自己电脑时、临时需要接入总部)具有IPSec VPN不可比拟的优势。 叶宜斌同时表示,利用DKEY的即插即用技术可以将SSL VPN做到零配置。同时,对于用户来说,往往不仅需要移动用户接入,而且还需要站点间的互联互通。因此,如果用户必须部署两套设备(IPSec和SSL各一套),则无疑增加了成本和管理的复杂性。因此,现在流行的“IPSec/SSL二合一”的技术,可以在同一台设备中同时支持两种协议,以便用户规划全网的VPN。并且,IPSec和SSL客户端授权可由用户自行分配。例如用户购买了100个客户端授权,可自己定义多少个用于IPSec、多少个用于SSL,让用户在实际应用中选择最适合自己的VPN接入方式。 迷雾三:价格与接受程度 SSL VPN和大多数IT新技术一样,是从国外流传到中国的新技术。目前SSL VPN的产品仍然以国外厂商为主,国内自主研发的SSL VPN产品屈指可数、并且在技术上还没有形成普遍的突破。这是导致SSL VPN价格高昂的主要原因。而IPSEC VPN由于技术成熟、普及时间长,国内厂商的进步等等,由市场将价格拉到了合适的水平。 不过可喜的是,很多本土厂商已经奋起直追,除了在技术上赶超国外品牌,同时加入更多的技术优势确保性价比,如本土厂商中的多线路自动选路、短信认证等专利,以及客户化定制页面、单点登录等功能,都出现了挑战国外SSL VPN产品的局面。 据悉,北京朝阳区政府、石景山区政府、上海嘉定区政府已经明确表示支持SSL VPN的建设,而华南师范大学、浙江林学院等高校用户已经开始了相关产品的技术测试。另外,重庆力帆集团、上海交运集团、中石化国际公司等大型企业也都部署了相关的SSL VPN产品。可以说,国内目前对于SSL VPN的接受程度在不断提高。 为了进一步推动SSL VPN应用普及,一些本土厂商已经在VPN产品中缺省配置SSL VPN模块,届时用户只需以购买IPSec VPN相同的价格,就可以同时拥有支持两种协议的VPN产品。有分析人士表示,在未来国内市场中,SSL VPN有望成为企业用户买得起、用得好的安全基础设施。 |
|
打印本文 关闭窗口 |