SSL VPN 之RAP“遥访门”技术白皮书
远程访问办公室内部网络资源是各个公司的IT部门最头疼的一件事情,而且这样的头疼由来已久了。
每天都有成千上万的网络管理员会收到大量要求解决他们网络VPN 安装设置问题的用户电话。被搞得焦头烂额的用户在他们的机器上执行了一些操作,使机器突然之间不能与他们的IPSec VPN连接了。是因为他们外出所在酒店或旅馆的NAT 或防火墙设置问题吗?这些设置总是千变万化,公司管理员们真的已经厌倦了做这些费力不讨好的事。
对于改变防火墙和内部结构设置,为了与外部人员区分开,公司网络管理员要花费大量时间和精力给公司内部员工进行VPN 客户端配置工作。如何让外出公干的销售人员成功实现安全远程内部访问着实让网管人员费了些心思,如何让他们使用自己的电脑实现在家时查阅email 或访问公司内部重要数据呢?是否管理员要发给他们一张CD 并指导他们如何进行安装设置呢?直到现在,许多公司的网管人员还在被这个问题纠缠着,最近就有一个网络管理员这样说:“要在员工家里的计算机上安装VPN 客户端必须做的工作实在是太多了,为此我们不得不再发给员工另外一台配置好的电脑,让它专门在家里使用。这样做的花费比指导员工自行安装来得要少些。”
公司企业需要易于使用的安全远程访问连接,看起来IPSec VPN 实在是太麻烦了!他们不能轻而一举地给客户或是合作伙伴配置让他们安全访问内部数据。我们的最终目的就是在简单易用的前提下提供高性能的安全远程数据访问能力。公司该如何应对这种情况呢?答案到底在哪里?
SSL VPN 之RAP“遥访门”
一、 SSL VPN的技术演变
演化过程
随着应用程序从C/S 结构向Web 的迁移,企业必须面对一个新的挑战,就是如何在不影响最终用户使用的前提下实现在任何地方灵活访问这些应用程序。在最近20 年间,用户和管理层听到因为安全原因不能够在公司以外访问内部应用程序的声音不绝于耳。在70 年代,人们对远程访问概念几乎等同于从远端的办公地点访问应用程序,这需要设置非常昂贵的WAN 网并租用连接线路。
到了80 年代,一小部分用户可以使用调制解调器直接拨号到modem banks 或他们自己的PC 上,但是使用费用相当高昂只能有非常有限的小部分人使用。而且在那时候,在家使用个人电脑才刚刚成为主流,远程访问需求还不是很大。随着90 年代的来临, 在家用PC 盛行的同时,移动电脑开始显现,在家办公也开始兴起。公司管理者和销售员们开始在外出出差的时候携带他们的笔记本电脑,他们需要实时访问公司内部信息,设立IPSec VPN 可以保护用户远程访问。它可以提供足够的安全性,但是问题是安装和维护相当麻烦。任何在PC 上的改变对VPN 而言可能都是一场灾难,最终用户不得不硬着头皮忍受这些变化,因为他们别无选择。即使是现在,你也很难找到一个用户,他的VPN 一点儿问题也没有。从管理员的角度来讲,使用IPSec VPN 不仅仅意味着要对客
户端进行安装和调试,而且还需要调整整个网络的结构。在数据包进行传输时NAT 不能完全工作正常,有时候会出现连接断开的现象,改变防火墙设置可以解决这一问题但是必须要做大量的管理工作。如果IT 管理部门可以完全控制从后端到客户的网络结构,其管理复杂性可以忍受;当IT 管理部门不能完全控制时,管理复杂性就要成倍增加。这种情况同样发生在本地NAT 和防火墙对合作伙伴,在家里或在酒店。
如今, 公司开始把眼光放在他们是否选择了合适的安全远程访问系统上。使用IPSec VPN 和租用WAN 线路对于不经常更改网络结构的用户来说是非常好的选择。如果情况并非如此,用户就需要另做选择。现在,已经有公司开始考虑使用架构在因特网上的SSL 协议,在不破坏已有网络布局的前提下进行安全远程访问。SSL 是通过因特网进行加密传输保护一种常用方法,许多公司对他们的内部网和外部网执行了SSL 设置,通过SSL VPN 进行访问控制。
SSL VPN 的定义
SSL VPN 的发展对现有SSL 应用是一个补充,它增加了公司执行访问控制和安全的级别和能力。
SSL VPN 还对那些因为使用远程访问应用系统而降低公司安全性的企业有所帮助。从属性上讲,拨号可以保证相对安全性,因为特定的电话线可以确认用户的身份。客户端/服务器和旧版本的VPN 自身也拥有一定级别的安全保障能力,因为客户端软件是需要安装的。但是,以这样的安全策略和属性, 不可否认,黑客入侵、安全威胁、身份欺诈呈增长趋势。现在,使用SSL VPN,安全特性已经发生了改变,人们可以通过浏览器访问应用程序。
如果把SSL 和VPN 两个概念分开,大多数人都清楚他们的含义,但是有多少人知道他们合在一起的意思呢?从学术和商业的角度来讲,因为他们代表的含义有所不同,因而常常会被曲解。
SSL 通过加密方式保护在互联网上传输的数据安全性,它可以自动应用在每一个浏览器上。这里,需要提供一个数字证书给Web 服务器,这个数字证书需要付费购买,相对而言,给应用程序设立SSL 服务是比较容易的。如果应用程序本身不支持SSL, 那么就需要改变一些链接,这只与应用程序有关。对于出现较大信息量的情况,建议给SSL 进行加速以避免流量瓶颈。通常SSL 加速装置为热插拔装置。
VPN 则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。过去,VPN 总是和IPSec 联系在一起,因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层,IPSec VPN 则多用于连接两个网络或点到点之间的连接。
以上我们简要介绍了SSL和VPN,现在我们要了解一下SSL和VPN是怎样结合在一起的?大量理论可以证明SSL的独特性以及VPN所能提供的安全远程访问控制能力。到目前为止,SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机,工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全远程访问的新生代。
什么是SSL VPN?
很多因素都可以证明SSL VPN 是解决远程访问问题的救星。随着越来越多的公司挣扎于如何权衡访问控制、安全和用户易用, SSL VPN 已经给出了最好的答案。在最近Inf.netics 的一份调查报告中,他们指出: “到2003 年, 59% 的移动用户会使用VPN, 到2005 年,这个数字将上升到74%;增加的部分大多来自SSL VPN, 因为它可以避免客户端安装和管理所带来的麻烦。" Gartner 副总裁John Girard 在最近的一份研究报告中为SSL VPN 做出了精彩评述:” 作为传统VPN 的升级,那些希望使用更加简单更加灵活的方式部署他们的安全远程访问系统的企业应该考虑使用SSL VPN 作为一项新的投资。现在,许多企业已经开始使用这项基于SSL 技术,简单、易用而且不需要高额费用的VPN 解决方案部署他们的系统了。“
SSL VPN 的价值包括许多方面,最主要的是提高访问控制能力,安全易用以及高额的投资回报率。
访问控制SSL VPN 对访问控制更加有效,因为实施了用户集中化管理。所有的远程访问都是通过SSL VPN 控制台进行控管,这样可以更加有效的监控用户使用权限,这些用户可能是公司内部员工,合作伙伴或客户。所有访问被限制在应用层,而且可以将权限细分到一个URL 或一个文件。
而使用IPSec VPN, 安全权限只局限到网络。
二、 SSL VPN 之RAP“遥访门”
Remote Aclearcase/" target="_blank" >ccess Pass (遥访门系统)
安全的远程访问解决方案
介绍
Remote Access Pass (遥访门系统) 能够实现基于浏览器来安全地访问企业局域网内部的任何一台Windows PC.键盘、鼠标以及显示界面的变化被大比例的压缩并加密后传输。使用宽带的用户能够逼真地得到“身临其境”式的体验,即使通过拨号连接,用户对于它那令人赞叹的优异性能也会感到满意。
Remote Access Pass (遥访门系统) 包括以下功能:
远程控制:基于任何一个浏览器都可以运行自适应程序,通过它就能够交互访问企业内网中的桌面应用(哪怕这个应用不是基于WEB的)。
文件传输:在计算机之间快速地传输文件、文件夹和共享目录资源,而且非常简便易用。上传下载文件速度等同于FTP.
远程开机:用户可以远程唤醒位于企业内网中自己的主机。
Java JSP: 动态运行在任何远程终端上的JVM网页。
Java Applet:能够运行在任何远程终端上的遥控访问连接,远程用户端支持几乎所有的操作系统,包括Windows、Mac或者Unix PC.
Remote Access Pass (遥访门系统) 的整体结构由以下五部分组成:
企业内网主机:处于内网中的目标机控制权属于用户自己,由已被授权的用户注册目标计算机。在注册过程中,将由遥访门基于RSA算法产生证书给目标计算机,连同目标计算机的私钥存于目标计算机中,以认证目标计算机和用户的所属关系及建立SSL安全通道。
远程终端:在用户端,工作人员需要打开浏览器,访问企业的公共IP地址,输入用户名和密码,然后点击所要连接的目标主机名。远程用户端会自动向App模块发出一个基于SSL协议的加密请求。
App模块:侦听外来的连接请求,并把他们映射给注册的目标机。
通过远程浏览器动态运行JSP与该模块中的Java servlet的对应交互, 实现认证及文件的传输。 同时,当一个远程遥控连接完成,App会分配一个session任