随着SSL VPN应用的逐渐加温,越来越多的企业开始采纳SSL VPN的网络架构,来解决企业的远程访问需求。SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。
这使得企业员工出差时不必再携带自己的笔记本电脑,仅仅通过一台接入了Inte.net的计算机就能访问企业资源,这为企业提高了效率也带来了方便。由于SSL VPN不像IPSec VPN那样要购买和维护远程客户端或软件,因而要比后者造价低很多。现在许多企业对于SSL VPN的需求非常强烈,而且未来这种企业网络安全需要还将持续增长。许多国际网络安全厂商正在对SSL VPN这种新型业务形态进行重点投资,取代目前的IPSec系列产品将成为一种趋势。
产品应用
SSL VPN网关位于企业网的边缘,介于企业服务器与远程用户之间,控制二者的通信。SSL VPN采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。在不断扩展的互联网Web站点之间、无线热点和客户端间、远程办公室、酒店、传统交易大厅等场所,SSL VPN克服了IPSec VPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方,设置传统的IPSec VPN非常困难,甚至是不可能的,这是由于必须更改网络地址转换(NAT)和防火墙设置。
产品选购
对广大的用户来说要挑选一个明显的SSL VPN产品最爱比较困难,虽然有的SSL VPN产品表现一般,但是,多数SSL VPN产品是各有其优势。有的SSL VPN产品提供了一个成熟的应用层防火墙,有的SSL VPN产品提供了范围最为广泛的应用转换功能。SSL VPN产品是否最终令人满意,还取决于用户对自己需求的了解程度,适合自己的是最好的。
SSL VPN的发展主要是为了迎合用户在远程访问时能实现性价比的高要求。到目前为止,SSL VPN已经应用于各行各业,有企业用户,也有SOHO用户。用户在选购SSL VPN时,应根据自身特点和不同企业的业务规模,选择适合自己的SSL VPN产品。最好的选择,就是适合自己的。
一般,在选购SSL VPN产品时要注意以下几个问题:
具有强力的安全保障:首先是用户端接入的安全;其次是数据传输的安全;再次是内部资源的访问安全。
支持全面应用的连接。
使用操作性强,易于管理和维护。
运行要稳定,无网络中断。
不会因为处理SSL而降低了运行速率。
良好的综合性能和服务。
市面上的SSL VPN精品
目前,国内外的网络设备商都相继推出了自己SSL VPN产品,其中包括Cisco、华为、ArrayNetworks、F5等著名设备供应商。下面,我们罗列了目前市面上的主要的SSL VPN产品。
适用于大中型企业
Quidway SecPath 1000F 防火墙
Quidway SecPath 1000F防火墙是华为3Com公司开发的新一代专业防火墙设备, 支持SSL VPN,同时支持多种VPN业务可以作为大中型企业的内部防火墙设备,也可以作为中小企业的出口防火墙设备。
Quidway SecPath 1000F防火墙支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接过程和有害命令进行监测,并协同ACL完成动态包过滤;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN、SSL VPN等等,可以构建Internet、Intranet、Aclearcase/" target="_blank" >ccess等多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
Quidway SecPath 1000F防火墙提供两个固定的10/100/1000M自适应GE口,支持光口和电口两种形式。提供一个MIM 扩展槽位,支持多功能接口模块热插拔,目前可选的接口模块有1FE/2FE/4FE/1GE/2GE/HDC六种。提供双电源冗余备份解决方案( AC+AC,DC+DC两种机型),提供机箱内部环境温度检测功能,并支持网管,可满足电信级产品的高可靠性要求。
Array SPX5000
Array SPX5000是全球领先的应用智能安全设备供应商Array Networks推出一款面向大型企业网络核心应用的产品设备:新一代SSL VPN远程安全接入产品。这款新品的推出,不仅标志着Array Networks产品性能的显著提升,更表明了Array Networks进一步巩固了在高端企业市场的领先地位。
Array SPX5000是面向大型企业和电信运营商核心业务/应用的新一代SSL VPN产品。它能保证企业客户在任何时间、任何地方,以任何接入设备,都可以通过Internet安全地访问企业的核心应用。由于其并发用户数达到64000个,250个VLAN(虚拟局域网)和128个虚拟门户;对于大型企业/电信网络来说,无论在安全保密、性能,还是在可扩展性方面,Array SPX5000的表现都非常优秀; Array SPX5000可向各大机构提供最强大的网络安全和Web应用优化功能,包括利用SSL VPN登录访问Web应用和传统应用、身份管理、应用层防火墙,以及基于Web的流量管理等等。值得一提的是Array SPX5000的反应速度要比以往的SSL VPN快近2倍,并且能够保持近千兆的线路速率进行SSL通讯传输。达到如此高的传输指标,对于SSL VPN产品来说还是第一次,这就意味着取代大型企业中以往所应用的IPSec VPN网关的日子不远了。
iGate SSL VPN 4.0
与同类产品相比,iGate4.0是目前市场上惟一一款集成双因素身份认证令牌的SSL VPN设备,iGate Pro集成应用了硬件SSL加速装置。新推出的iGate4.0与原有产品相比,提高了SSL接入能力,完全可以支持全网连接;简化了安装和管理,使原有Web用户界面变得更加简单易用;新增加了对PKI的支持能力和客户端策略检查功能, 具备了更高级别的安全性。此外,iGate4.0还增加了对基于Web的PDA或其他移动设备的支持能力。这次重大升级,使iGate在产品性能、易用性等方面都有了长足进步,并一跃成为目前市场中最具实力的SSL VPN产品。
iGate SSL VPN 4.0是一款基于SSL的移动远程访问设备,它通过Internet在远程访问双方建立安全通道,使移动用户可以轻松访问公司内部资源。适用于大型企业,政府部门 的采用。iGate可以通过多种方式确保信息的安全性,主要包括:
采用专用硬件对Web和非Web应用程序的通讯进行SSL加密。
采用硬件令牌和口令登录相结合的方式确保远程访问的合法性。
通过客户端完整性扫描确定远程访问环境的安全性,并相应调整对内部资源的访问权限。
会话结束后清除客户端临时文件,防止泄漏敏感数据。
集成现有用户数据库,按照角色集中管理和控制访问权限。
iGate作为惟一入口,有效隐藏内部信息,杜绝网络攻击。
丰富的访问控制和日志管理工具;全面支持PKI认证、无线设备和PDA等。
Cisco VPN 3000系列集中器
VPN 3000系列集中器是Cisco公司发布的一款SSL VPN产品,由通用的远程访问虚拟专网(VPN)平台和将高可用性、高性能和可扩展性与当今最先进的加密和认证技术结合在一起的客户机软件组成。利用Cisco VPN 3000集中器系列,客户可以充分发挥最新VPN技术的优势,极大地降低通信费用。特别是,该产品是业界唯一的能够提供现场可更换和客户可升级部件的可扩展平台。这些称为可扩展加密处理(SEP)模块的部件使用户可以轻松地增加容量和吞吐量。
Cisco客户可以在众多的VPN 3000集中器中选择最适合自己需求和应用的具体型号,这些型号支持各种企业客户,包括从只有不到100个远程访问用户的小公司到有多达10000名同时远程用户的大型机构。不论Cisco VPN 3000集中器的哪一种版本,都可以在不增加更多费用的情况下提供Cisco VPN客户机,并给予不受限制的安装许可证。Cisco VPN 3000集中器提供非冗余和冗余两种配置,允许客户构建最稳健、最可靠和经济高效的网络。另外,还提供高级路由功能,如OSPF、RIP和网络地址转换(NAT)。
UU200
UU200 iSTAR 系列产品中的发布单元(Publisher),它位于应用服务器子网络中。由于UU200对应用程序是透明的,因此可以将应用服务器所提供的各种服务、文件、甚至于子网络安全的发布出来。通过SSL协议以及end to end加密技术,使用者可以安全的使用Publisher所发布的服务。
UU200 iSTAR 系列产品主要特点:在应用层建立用户访问管理。对应用程序透明,能发布Web, Client/Server应用程序及文件共享。子网络虚拟接入(UURemote、UUSoft)为选项功能。UU200可以选择以Public IP进行连接配置,或是通过UUExchange/UUSwitch连接:此时的UU200可以使用Private IP进行连接配置。使用cluster技术,支持负载均衡。
UU200 iSTAR 系列产品适应有公共静态IP地址和没有公共静态IP地址的企业,后者需要连到UUExchange/UUSwitch。 适合大中型企业建立SSL VPN。
神獒VPN L(SSL)系列产品
神獒L(SSL)系列VPN产品是北京巨龙数码自主研发的SSL VPN系统,无需安装客户端软件,只需通过浏览器(Browser)便可安全的访问企业内部受控资源,建立安全快速高效的VPN隧道,更好的实现用户端的安全控制及节约整体项目成本。神獒L系列VPN是基于数字证书和SSL技术实现的独立安全系统,无需改变应用系统的网络结构和应用模式,