您的位置: 网界网 > 周报全文 > 正文

[周报全文]SSL VPN让应用移动起来

2004年08月09日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:SSL VPN让应用移动起来

标签
    SSL VPN让应用移动起来


    坐在办公室里处理事务是目前大多数人的工作方式。SSL VPN结合带有浏览器的各种接入设备(包括手机)正在改变这一工作模式,把工作空间扩展到旅途、酒店以及任何能够访问Internet的地方。可以说,SSL VPN正在一步步把移动商务和移动办公变得更加真实生动起来。 


    随着Web应用的增多以及远程接入需求的增长,SSL VPN正在成为一个热门市场。尽管当前的大多数远程访问解决方案是利用IPSec VPN来实现的,不过最近的一份调查报告指出,大约90%的企业利用IPSec VPN只是用来进行电子邮件通信以及访问Web应用,只有10%的用户利用IPSec VPN访问非Web应用。这份报告说明,目前90%的IPSec VPN应用都可以被SSL VPN来实现,而SSL VPN更加容易配置和管理,实现成本要比IPSec VPN低很多。

    Infonetics预测,在未来几年,SSL VPN设备的全球销售将会出现持续增长,到2005年,SSL VPN会出现8.4亿美元的市场。

    为了在SSL VPN这一新兴市场中占据鳌头,专注于移动通信的诺基亚不惜斥巨资收购了多项核心技术,着力打造移动商务应用。许多IPSec VPN厂商也开始重新思考产品战略。在IPSec VPN市场上占据重要地位的Check Point认为,SSL对于需要通过企业网与业务合作伙伴交换数据但又不想安装VPN客户端的用户来说非常理想,为此Check Point既发布了独立的SSL VPN方案,同时也在传统的IPSec VPN产品中增加了SSL功能。

    北电网络发布了Alteon SSL设备;赛门铁克公司通过收购SafeWeb,将SSL VPN作为一项单独的产品推出,并且积极将无客户端的VPN功能集成到新版本的网关安全设备当中。这样的厂商数不胜数。


     SSL协议  

    VPN是一项非常实用的技术,它可以扩展企业的内部网络,允许企业的员工、客户以及合作伙伴利用Internet访问企业网,而成本远远低于传统的专线接入。对于IPSec VPN,人们已经熟悉,而SSL VPN作为一种新兴技术正在引起越来越多用户的注意。

    理解SSL VPN关键在于理解SSL(Secure Sockets Layer,安全套接层)协议。SSL是基于Web应用的安全协议。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。 

    SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。 警告协议用于在发生错误时终止两个主机之间的会话。

    作为应用层协议,SSL使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,主要适用于点对点的信息传输,并不能实现信息的不可抵赖性。

    尽管SSL协议提供加密和身份认证,但是SSL协议只对通信双方所进行的应用通道进行加密,而不是对从一个主机到另一主机的整个通道进行加密。在使用SSL协议的通信中,每一个应用是一个安全的独立体。利用SSL协议进行VPN通信,进行通信的应用必须能够识别SSL技术,常见应用(IE、Netscape浏览器、OutLook、 Eudora 邮件应用等)一般都能识别SSL技术。

    在SSL VPN通信中,通常采用SSL代理技术来提高VPN服务器的通信性能和安全认证能力。在建立安全通信之前,SSL VPN需要专门的CPU来提高加密运算速度。以RSA算法为例,该算法基于SSL协议在客户端和服务器端传递密钥,Web服务器每秒大约可以接受75个新的SSL连接。对于每一个新的连接,RSA算法都必须进行翻译和检验。如果系统每秒收到的连接超过75个,CPU就会对新的网络连接请求停止响应。SSL加速器可以分担服务器CPU的计算任务。对于拥有多个SSL接入服务的用户来说,如果不采用SSL代理技术,就需要为每一台SSL服务器分别配备SSL加速器,而SSL代理可以使多台服务器共用一个SSL加速器,使服务器的SSL连接不会超出负荷。 

    SSL代理还可以为客户在访问后端网络资源时进行身份认证。这是因为许多Web服务器自身并不支持身份认证。


      SSL VPN的优势和不足 

    SSL VPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。这样尽管购买软件和硬件的费用不一定低,但是SSL VPN的部署成本却很低。只要安装了SSL VPN,基本上就不需要IT部门的支持了,所以维护成本可以忽略不计。对于那些只需进入企业内部网站或者进行E-mail通信的远程用户来说,SSL VPN显然是一个价廉物美的选择。此外,SSL VPN连接要比IPSec VPN更稳定,这是因为IPSec VPN是网络层连接,故容易中断。除此之外,SSL VPN还具有以下优势。

    适用大多数设备:基于Web访问的开放体系可以被任何运行标准浏览器的系统所访问,包括非传统设备,如可以上网的手机和PDA通信产品。 

    适用于大多数操作系统:不管是Windows、Macintosh、UNIX还是 Linux,只要运行标准的浏览器,都可以支持SSL VPN对企业内部网站和Web站点进行访问。

    良好的安全性:SSL VPN访问的并不是网络的真实节点,而是被代理的内部资源,这种方法较为安全。 

    较强的资源控制能力:SSL VPN为远程访问用户提供较细粒度的资源访问控制。 

    绕过防火墙和代理服务器:基于SSL VPN的远程访问方案可以绕过防火墙和代理服务器访问企业网资源,这是基于IPSec VPN的远程访问很难做到的。 

    上面介绍了SSL VPN技术的优势,不过SSL VPN并非完美无缺。

    依靠Internet进行访问:远程用户的Web浏览器依靠企业的服务器访问所有进程。如果Internet没有连通,远程用户就不能与总部网络进行连接,只能单独工作。 

    有限支持Windows应用及其他非Web系统:大多数SSL VPN都是基于Web浏览器工作的。虽然有些SSL提供商已经开始合并终端服务来支持非Web应用,但是目前大多数SSL VPN方案还未正式提出全面支持。 

    有限的安全保障: SSL VPN只对通信双方的某个应用通道进行加密,而不是对在通信双方的主机之间的整个通道进行加密。在通信时,很难保证其他文件不被暴露,因此存在一定的安全隐患。

    此外, SSL VPN的认证方式比较单一(只能采用证书),一般只是单向认证,支持其他认证方式往往要进行长时间的二次开发,相比之下,IPSec VPN认证方式更为灵活。SSL VPN通常不能实施访问控制,在建立隧道之后,管理员对用户不能进行限制。如果用户需要实现网络到网络的安全互联,只能考虑采用IPSec VPN。最后,SSL VPN是应用层加密,性能比较差,需要使用加速装置。 


      SSL VPN的应用模式

    SSL VPN的应用范围非常广泛,可以归结为三类。

    E-mail:对于企业来说,不能正常访问邮件系统是一件麻烦的事情。IPSec VPN可以保护邮件系统的安全性,但是IPSec VPN需要安装客户端软件并且连接企业网络,然后才能使用内部的邮件系统。如果员工使用他人的电脑设备或者在合作伙伴的网络中时,就会面临对方防火墙的地址转换和安全策略带来的障碍,无法连接企业网络,从而无法使用内部邮件系统。SSL VPN提供了一个两全其美的方案,员工使用任何一个带有浏览器的设备就可以访问基于Web的电子邮件系统,通过SSL VPN建立的安全通道收发邮件。SSL VPN还会把企业内部所有的域名和服务器地址隐藏起来,以提高企业网络的安全性。

    内部网访问——即使不在办公室,员工也需要使用内部网中的一些文件资源,但是一般情况下企业不会开放整个内部网络以实现文件访问。SSL VPN可以让企业员工在任何地方,使用任何一个包含浏览器、连接到Internet的接入设备,实现对内部特定资源的访问。

    面向合作伙伴的网络资源——为了提高工作效率和加强合作关系,企业通常会对合作伙伴开放内部站点和网络资源。考虑到企业信息的保密性,如何能保证只有指定的合作伙伴才能访问相应的资源,以及保证信息在网络上传递时不被截获,就成为企业必须解决的问题。IPSec VPN在部署时无法保证对最终用户的访问限制,即只允许合作伙伴访问内部网络中的指定资源,而且部署IPSec VPN会要求更改合作伙伴防火墙的安全策略,这是很难实现的。SSL VPN则完全不存在上述问题,企业甚至可以限制某一个合作伙伴只能访问一个站点中的某些页面和文件夹,并且不需要修改合作伙伴的安全策略,只要合作伙伴能够访问Internet即可。

    企业往往拥有多种应用,如OA、财务、销售管理、ERP等,并且这些应用往往并不基于Web。在现阶段,SSL VPN 只能访问Web应用,而IPSec VPN却几乎可以为所有的应用提供访问,不过,IPSec不容易穿越防火墙,当员工需要在异地接入企业网时就难以实现。对于用户来说,理想的方式是将SSL VPN和IPSec VPN结合起来使用。一方面为数量有限的员工提供IPSec VPN连接,使其能够访问企业的生产系统和其他非Web应用;另一方面为多数员工提供SSL VPN连接,使其可以访问基于Web的企业应用。 ■


    应用模板

    项目说明:诺基亚安全接入系统在某IT公司中的应用

    部署理由:SSL VPN的适应性强,不受上网方式、防火墙等设备的影响。

    诺基亚安全接入系统使得某IT公司的移动办公系统覆盖范围更为广泛,安全性更高,提供持续的电子邮件通信,使员工在参加会议、出差、路途中都能开展工作。

    以前办公人员在一些地区使用移动设备,由于受线路的影响,往往无法远程使用VPN接入系统,但诺基亚安全接入系统基于SSL VPN提供更强的适应性(+本站微信networkworldweixin),几乎不受环境影响,工作人员只要登录网络,通过浏览网页就可以完成VPN连接。诺基亚安全接入系统使管理员可以给员工提供更个性化的使用权限,员工还可以根据自己的需求定制相应的服务。当员工通过笔记本或掌上电脑登录时,诺基亚的解决方案首先会评估其安全级别,进行客户端完整性扫描,以检查设备的安全状况,评估设备的开放端口、可疑文件、潜在恶意过程,确认客户端是否存在个人防火墙和最新病毒软件等。扫描结果将决定用户在会话中的访问特权。通过使用令牌,该公司的权限管理得到了进一步增强。

    “它非常易于安装和管理,同时具有很高的安全性,能够与其他网络设备进行很好地兼容,员工可以轻松访问公司的内部信息系统。” 该公司的IT主管这样评价诺基亚安全接入系统。

    项目说明:iGate远程访问系统在某港口建设集团的应用

    部署理由:部署简单,不需要维护,随时随地进行信息交流。

    广州某港口建设公司的总部与各施工项目组之间通过一套办公系统来实现信息交流与管理。不过办公系统只能在总部范围内使用,分散在外地的各施工项目组基本上无法访问办公网。一个公文从总经理办公室传达到各施工项目组至少需要一周的时间,而各施工项目组的项目管理、财务信息、招投标信息只能分别汇总统计,而后再交由总部统一处理,既费时费力,又效率低下。

    在采用SafeNet 的iGate安全远程访问控制解决方案之后, iGate使用iKey代替传统密码,不仅解决了安全传输问题,而且解决了用户身份认证和访问权限分配问题。各个项目组共有100多名相关人员配备了iKey。办公系统完全开放以后,总部与项目组之间的公文流转和信息发布在半小时之内就可以完成,而各施工项目组的项目管理、财务信息、招投标信息等重要数据只需录入一次就可以由系统自动完成统计、汇总、上传和查询工作,无须设置专门人员进行统计汇总工作,提高了企业的分析、预测、决策能力。需要说明的是,网管员在不到半天时间内就对100多个用户完成了配置,这大大出乎该公司IT经理的意料之外。


    Check Point Connectra Web 安全网关

    安全措施:通过将 SSL VPN与Application Intelligence(应用智能)、Web Intelligence 及Security Management Architecture(安全管理体系架构)集成到一起,Connectra 为 Web 连接提供从前台到后台的安全性。

    加速措施:通过优化软件体系架构以及进行集群和负载均衡提高连接速度。

    Juniper SSL VPN

    安全措施:支持128或168位加密流量,与RADIUS、 LDAP、电子钥匙或安全令牌等认证结合,提供主机检查功能,监测客户端的安全水平,在建立SSL通道之前强制采用诸如防火墙、防毒产品之类的安全应用。

    加速措施:提供SSL加速器解决方案,可以加速任何SSL连接。

    诺基亚安全接入系统

    安全措施:扫描远端设备的开放TCP端口、坏文件、好文件以及激活的流程,检查客户端是否安装了防病毒软件,根据客户机完整性扫描或数字证书增加或降低远端用户的接入级别,并且直接将用户和组添加到资源上。

    加速措施:支持各种加速装置以及集群、负载均衡,以提高速度。

    其他:除了支持内部资源浏览、电子邮件应用之外,还可以支持ERP等企业核心应用。

    北电网络SSL VPN

    安全措施:支持口令认证技术,按照定制的规则检查客户端是否安装防病毒软件,是否进行了软件升级,按用户应用、URL路径、文件等级等进行细粒度的访问控制,过滤非法业务流量,并且提供安全审计。

    加速措施:通过集群和负载均衡提高速度。

    Safenet NetSwift iGate

    安全措施:采用双因子认证机制,在客户端采用USB身份认证令牌的硬件iKey来替代存在安全隐患的口令密码,iKey储存着用户的身份验证值,与iGate端数值进行对应,成为用户可以访问企业资源的“钥匙”,分辨不同用户、分配不同访问权限。

    加速措施:自带SSL加速卡以提高传输速度。


    想吃蛋糕,还要再等等!

    ■ 宋丽娜

    与成熟的IPSec VPN比起来,SSL VPN在国内才刚刚起步。在厂商们看来,SSL VPN市场无疑是块大蛋糕,不过目前厂商还很难把它吃到嘴里。

    与强调网络之间安全连接的IPSec VPN相比,SSL VPN的特长在于低成本地访问Web应用,不过,目前国内大多数企业并没有真正把应用放到Web上,这让SSL VPN很难在国内找到用武之地。

    在采访诺基亚工程师王磊时,他做了一个演示,通过诺基亚的企业手机,他可以连接到诺基亚企业网络当中,收发电子邮件以及访问相应权限的内部资源。然而这样的案例在国内还不多见。老用户仍在沿用IPSec VPN,而新用户近期并不打算通过SSL VPN访问内部资源。记者只是在IT公司、运输等特定行业和特定人群中见到了SSL VPN应用。缺乏可效仿的应用案例以及可借鉴的成功经验阻碍了SSL VPN在国内的进一步推广。看来,SSL VPN在现阶段还属于特定行业和特定用户的“奢侈品”,目前并不会普及开来。

    “归根到底,信息化程度不高才是制约SSL VPN才在国内推广的原因,”Check Point的技术顾问沈江告诉记者,“SSL VPN非常适合具有众多分支机构的分布式企业采用,这也是SSL VPN在国外被接受的原因,国内虽然不乏大型分布式企业,但是这些企业的OA、ERP等并没有真正健全起来,协同办公、远程办公的习惯也没有真正形成,SSL VPN还没有在这些企业中找到应用机会。”

    移动商务是未来趋势,在手机日渐普及、移动设备销量逐年增长情况下,SSL VPN这种专为移动应用量身定做的远程安全接入方案无疑是最适合的一种。伴随企业信息化程度的加深、协同工作需求的日益增多,这会给SSL VPN带来了难以估量的商业机会。厂商们不遗余力的宣传已经让我们已经看到了SSL VPN的美好前景,不过要想真正吃到SSL VPN这块蛋糕,厂商们还需要耐心等待!


[责任编辑:程永来 cheng_yonglai@cnw.com.cn]