在企业上网如火如荼地普及开后,下一波企业网络建设的投资热潮将是企业总分部之间的跨INTERNET联网。现在的企业家已经认识到网络给企业生产力提高带来的巨大收益,纷纷要上OA、ERP、CRM等应用系统,甚至跨互联网部署。 现在实现VPN联网方案的主要技术是IPSEC VPN与SSL VPN,IPSEC VPN出现得较早,商用化程度较高,技术较成熟,安全性较优越。但缺憾是设备成本支出较多,分部和移动人员需要硬件IPSec VPN客户端设备和软件IPSec VPN客户端,设置工作较复杂,维护工作较多,需要专业网管支持。SSL VPN是一项近两年才发展起来新的虚拟专网技术,由于无须安装VPN客户端(不管是硬件客户端还是软件客户端)的便捷性和因此大幅降低的实施管理成本,在国内外得到了迅速的应用和发展。 随时随地接入 与IPSEC VPN相比,SSL VPN更加适用于单机接入总部网络的应用需求,如移动办公,而IPSEC VPN则适用于两个固定的局域网之间构建安全通道。SSL VPN使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入总部网络访问应用。SSL VPN打破了构建VPN通道要安装专用客户端的传统,倡导的是不需客户端的“随时随地移动接入”的新概念,甚至在公共上网场合(如网吧)都能够利用SSL VPN访问内网的应用资源这点是SSL VPN最具价值的特性。但是,SSL VPN并不局限于单机移动用户,也可用于分支单位的固定用户,之所以有上述叙述,是因为与IPSec VPN作比较,其实只要能上互联网,任何被授权用户都可以访问SSL VPN。现在的总分部VPN方案也越来越多采用SSL VPN实现,原因在于它对用户的应用支持范围越来越广,功能越来越接近于传统的IPSec VPN,而且SSL VPN不受上网方式限制,SSL VPN隧道可以穿透防火墙。 安全有保障 SSL VPN容易提供更细的访问控制,可以对用户、用户组的权限、资源、服务、文件进行更加细致的控制,并可以与第三方认证系统、认证中心(CA)结合。SSL VPN安全主要包括:数据通信安全、身份认证安全两个大层次。 在数据通信安全方面,SSL VPN采用标准的安全套接层(SSL)协议对传输中的数据包进行加密。SSL协议则是浏览器自带的,加密强度为128位,对一般商用来说、完全能够满足数据传输层的安全需求。 在身份认证安全方面,SSL VPN也已经走向完善。SSL VPN可以做到基于用户个体的精细控制,基于用户和组授予不同的应用访问权限,并对相关访问操作进行审计,保证只有“正确”的用户才能访问总部发布的“正确”的应用。现在大部分的SSL VPN产品一般会采用了多重身份认证手段来实现接入者的身份认证,设备的本身内置有认证服务器,而且还可与第三方的认证系统或认证中心集成。多重认证包括:用户名及密码校验;数字证书;第三方的PKI体系;CA中心;USB KEY的认证;动态密钥等等。这些认证方式可以有效的保障接入用户身份认证的安全。对于普通企业的VPN应用可以直接采用设备本身的认证,对于要求较高的企业用户可以加入企业内部的认证系统或第三方CA认证。 另外,对于内网安全, SSL VPN更优于IPSec VPN,因为IPSec VPN打开了从分支局域网到总部局域网之间的虚拟通路,它只认证两端设备的身份,不是认证每一个访问的人而对于里面传什么数据是没有有效保障的,因此有可能造成了病毒跨网传播,而一旦可上VPN的电脑被未授权的人控制,总部网络就会存在危险。SSL VPN保障到具体的应用,只有开放了具体应用,并且只有权限的用户才允许访问、并没有给接入的用户不受限地访问内网其它资源的权限,并且没有开放到局域网,因此对总部内网更安全。 因此,基于以上分析,SSL VPN完全能够满足远程用户的接入安全需求。 应用支持多 新的SSL VPN能够实现各种基于B/S,C/S结构设计的应用程序,能够实现所有IPSec VPN所支持的所有应用,因此对于用户各种网络应用的支持越来越好、越来越多,可以说已经今非昔比。 在以前,SSL VPN只支持WEB方式的应用,为用户开发的应用必须围绕着WEB来展开,但现在已经不仅局限于WEB方式。在这一点上,现在可能仍有网友认为“SSL VPN只支持WEB应用”,这是错误的。SSL VPN之所以不需要安装任何VPN客户端,就是因为用户端的电脑中只要有浏览器、就一定会有SSL协议。SSL VPN就是用到了系统已有的SSL协议来构建安全的通道,但并不等于SSL VPN只支持WEB应用。 SSL VPN除了支持WEB应用之外,还能支持基于TCP/UDP传输协议的应用(如C/S应用软件)、支持Windows网上邻居、FTP等。SSL VPN支持C/S结构的应用程序的原理是将非WEB的应用进行重定向、在用户端将所有数据转入SSL协议通道传输,在中心端进行恢复和还原。目前各路厂家们正在不断努力研发,以使自家SSL VPN产品对用户各类特殊应用的支持越来越透明。 成本维护低 SSL VPN只需维护中心节点的SSL VPN设备,客户端免维护,降低了部署和支持费用,相比较IPSec VPN,SSL VPN的设备和维护成本是最低的。对于IPSec VPN布网来说,它是局域网与局域网之间通过互联网构建虚拟连接,需要在总部、分部分别部署一台IPSEC VPN设备,而对单个移动用户需要安装专门的客户端,因此它的设备支出多出了分部的设备部分。而SSL VPN只需在单位总部部署一台SSL VPN设备就可以,其它远程用户不管它是移动在外的员工,还是分部的员工、合作伙伴用户要做访问总部,只需打开浏览器就可以了。
企业联网方案由于VPN技术的成熟和几乎“无处不在”的已经部署好的广域网——INTERNET,让这个目标的实现变的非常容易。投资的设备和通信费用更是比传统的帧中继、DDN等联网方案低很多。甚至在DDNS、目录服务等技术支持下,联网的双方都可以使用动态公网IP进行VPN部署,而不必申请奇缺昂贵的静态公网IP。
同样是VPN远程联网,SSL VPN适合于在客户、合作伙伴用户、远程用户、供应商、本单位总分机构及移动员工之间建立VPN,而IPSec VPN更适用于网段间的链接。