坐在办公室里处理事务是目前大多数人的工作方式。SSL VPN结合带有浏览器的各种接入设备(包括手机)正在改变这一工作模式,把工作空间扩展到旅途、酒店以及任何能够访问Inte.net的地方。可以说,SSL VPN正在一步步把移动商务和移动办公变得更加真实生动起来。
随着Web应用的增多以及远程接入需求的增长,SSL VPN正在成为一个热门市场。尽管当前的大多数远程访问解决方案是利用IPSec VPN来实现的,不过最近的一份调查报告指出,大约90%的企业利用IPSec VPN只是用来进行电子邮件通信以及访问Web应用,只有10%的用户利用IPSec VPN访问非Web应用。这份报告说明,目前90%的IPSec VPN应用都可以被SSL VPN来实现,而SSL VPN更加容易配置和管理,实现成本要比IPSec VPN低很多。
Infonetics预测,在未来几年,SSL VPN设备的全球销售将会出现持续增长,到2005年,SSL VPN会出现8.4亿美元的市场。
为了在SSL VPN这一新兴市场中占据鳌头,专注于移动通信的诺基亚不惜斥巨资收购了多项核心技术,着力打造移动商务应用。许多IPSec VPN厂商也开始重新思考产品战略。在IPSec VPN市场上占据重要地位的Check Point认为,SSL对于需要通过企业网与业务合作伙伴交换数据但又不想安装VPN客户端的用户来说非常理想,为此Check Point既发布了独立的SSL VPN方案,同时也在传统的IPSec VPN产品中增加了SSL功能。
北电网络发布了Alteon SSL设备;赛门铁克公司通过收购SafeWeb,将SSL VPN作为一项单独的产品推出,并且积极将无客户端的VPN功能集成到新版本的网关安全设备当中。这样的厂商数不胜数。
SSL协议
VPN是一项非常实用的技术,它可以扩展企业的内部网络,允许企业的员工、客户以及合作伙伴利用Internet访问企业网,而成本远远低于传统的专线接入。对于IPSec VPN,人们已经熟悉,而SSL VPN作为一种新兴技术正在引起越来越多用户的注意。
理解SSL VPN关键在于理解SSL(Secure Sockets Layer,安全套接层)协议。SSL是基于Web应用的安全协议。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。
SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。 警告协议用于在发生错误时终止两个主机之间的会话。
作为应用层协议,SSL使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,主要适用于点对点的信息传输,并不能实现信息的不可抵赖性。
尽管SSL协议提供加密和身份认证,但是SSL协议只对通信双方所进行的应用通道进行加密,而不是对从一个主机到另一主机的整个通道进行加密。在使用SSL协议的通信中,每一个应用是一个安全的独立体。利用SSL协议进行VPN通信,进行通信的应用必须能够识别SSL技术,常见应用(IE、Netscape浏览器、OutLook、 Eudora 邮件应用等)一般都能识别SSL技术。
在SSL VPN通信中,通常采用SSL代理技术来提高VPN服务器的通信性能和安全认证能力。在建立安全通信之前,SSL VPN需要专门的CPU来提高加密运算速度。以RSA算法为例,该算法基于SSL协议在客户端和服务器端传递密钥,Web服务器每秒大约可以接受75个新的SSL连接。对于每一个新的连接,RSA算法都必须进行翻译和检验。如果系统每秒收到的连接超过75个,CPU就会对新的网络连接请求停止响应。SSL加速器可以分担服务器CPU的计算任务。对于拥有多个SSL接入服务的用户来说,如果不采用SSL代理技术,就需要为每一台SSL服务器分别配备SSL加速器,而SSL代理可以使多台服务器共用一个SSL加速器,使服务器的SSL连接不会超出负荷。
SSL代理还可以为客户在访问后端网络资源时进行身份认证。这是因为许多Web服务器自身并不支持身份认证。
SSL VPN的优势和不足
SSL VPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。这样尽管购买软件和硬件的费用不一定低,但是SSL VPN的部署成本却很低。只要安装了SSL VPN,基本上就不需要IT部门的支持了,所以维护成本可以忽略不计。对于那些只需进入企业内部网站或者进行E-mail通信的远程用户来说,SSL VPN显然是一个价廉物美的选择。此外,SSL VPN连接要比IPSec VPN更稳定,这是因为IPSec VPN是网络层连接,故容易中断。除此之外,SSL VPN还具有以下优势。
适用大多数设备:基于Web访问的开放体系可以被任何运行标准浏览器的系统所访问,包括非传统设备,如可以上网的手机和PDA通信产品。
适用于大多数操作系统:不管是Windows、Macintosh、UNIX还是 Linux,只要运行标准的浏览器,都可以支持SSL VPN对企业内部网站和Web站点进行访问。
良好的安全性:SSL VPN访问的并不是网络的真实节点,而是被代理的内部资源,这种方法较为安全。
较强的资源控制能力:SSL VPN为远程访问用户提供较细粒度的资源访问控制。
绕过防火墙和代理服务器:基于SSL VPN的远程访问方案可以绕过防火墙和代理服务器访问企业网资源,这是基于IPSec VPN的远程访问很难做到的。
上面介绍了SSL VPN技术的优势,不过SSL VPN并非完美无缺。
依靠Internet进行访问:远程用户的Web浏览器依靠企业的服务器访问所有进程。如果Internet没有连通,远程用户就不能与总部网络进行连接,只能单独工作。
有限支持Windows应用及其他非Web系统:大多数SSL VPN都是基于Web浏览器工作的。虽然有些SSL提供商已经开始合并终端服务来支持非Web应用,但是目前大多数SSL VPN方案还未正式提出全面支持。
有限的安全保障: SSL VPN只对通信双方的某个应用通道进行加密,而不是对在通信双方的主机之间的整个通道进行加密。在通信时,很难保证其他文件不被暴露,因此存在一定的安全隐患。
此外, SSL VPN的认证方式比较单一(只能采用证书),一般只是单向认证,支持其他认证方式往往要进行长时间的二次开发,相比之下,IPSec VPN认证方式更为灵活。SSL VPN通常不能实施访问控制,在建立隧道之后,管理员对用户不能进行限制。如果用户需要实现网络到网络的安全互联,只能考虑采用IPSec VPN。最后,SSL VPN是应用层加密,性能比较差,需要使用加速装置。
SSL VPN的应用模式
SSL VPN的应用范围非常广泛,可以归结为三类。
E-mail:对于企业来说,不能正常访问邮件系统是一件麻烦的事情。IPSec VPN可以保护邮件系统的安全性,但是IPSec VPN需要安装客户端软件并且连接企业网络,然后才能使用内部的邮件系统。如果员工使用他人的电脑设备或者在合作伙伴的网络中时,就会面临对方防火墙的地址转换和安全策略带来的障碍,无法连接企业网络,从而无法使用内部邮件系统。SSL VPN提供了一个两全其美的方案,员工使用任何一个带有浏览器的设备就可以访问基于Web的电子邮件系统,通过SSL VPN建立的安全通道收发邮件。SSL VPN还会把企业内部所有的域名和服务器地址隐藏起来,以提高企业网络的安全性。
内部网访问——即使不在办公室,员工也需要使用内部网中的一些文件资源,但是一般情况下企业不会开放整个内部网络以实现文件访问。SSL VPN可以让企业员工在任何地方,使用任何一个包含浏览器、连接到Internet的接入设备,实现对内部特定资源的访问。
面向合作伙伴的网络资源——为了提高工作效率和加强合作关系,企业通常会对合作伙伴开放内部站点和网络资源。考虑到企业信息的保密性,如何能保证只有指定的合作伙伴才能访问相应的资源,以及保证信息在网络上传递时不被截获,就成为企业必须解决的问题。IPSec VPN在部署时无法保证对最终用户的访问限制,即只允许合作伙伴访问内部网络中的指定资源,而且部署IPSec VPN会要求更改合作伙伴防火墙的安全策略,这是很难实现的。SSL VPN则完全不存在上述问题,企业甚至可以限制某一个合作伙伴只能访问一个站点中的某些页面和文件夹,并且不需要修改合作伙伴的安全策略,只要合作伙伴能够访问Internet即可。
企业往往拥有多种应用,如OA、财务、销售管理、ERP等,并且这些应用往往并不基于Web。在现阶段,SSL VPN 只能访问Web应用,而IPSec VPN却几乎可以为所有的应用提供访问,不过,IPSec不容易穿越防火墙,当员工需要在异地接入企业网时就难以实现。对于用户来说,理想的方式是将SSL VPN和IPSec VPN结合起来使用。一方面为数量有限的员工提供IPSec VPN连接,使其能够访问企业的生产系统和其他非Web应用;另一方面为多数员工提供SSL VPN连接,使其可以访问基于Web的企业应用。 ■
应用模板
项目说明:诺基亚安全接入系统在某IT公司中的应用
部署理由:SSL VPN的适应性强,不受上网方式、防火墙等设备的影响。
诺基亚安全接入系统使得某IT公司的移动办公系统覆盖范围更为广泛,安全性更高,提供持续的电子邮件通信,使员工在参加会议、出差、路途中都能开展工作。
以前办公人员在一些地区使用移动设备,由于受线路的影响,往往无法远程使用VPN接入系统,但诺基亚安全接入系统基于SSL VPN提供更强的适应性,几乎不受环境影响,工作人员只要登录网络,通过浏览网页就可以完成VPN连接。诺基亚安全接入系统使管理员可以给员工提供更个性化的使用权限,员工还可以根据自己的需求定制相应的服务。当员工通过笔记本或掌上电脑登录时,诺基亚的解决方案首先会评估其安全级别,进行客户端完整性扫描,以检查