sslVPN

sslVPN信息

SSLVPN指的是基于安全套接层协议(Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术，其应用随着Web的普及和电子商务、远程办公的兴起而发展迅速。

SSL协议主要是由SSL记录协议和握手协议组成，它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议相对于IPSEC协议体系中的IKE(互联网密钥交换协议)协议，主要是用于服务器和客户之间的相互认证，协商加密算法和MAC(Message Authentication Code-消息认证码)算法，用于生成在SSL记录协议中使用的加密和认证密钥。SSL记录协议是为各种应用协议提供基本的安全服务，类似于IPSEC的传输模式，应用程序消息参照MTU(最大传输单元)被分割成可治理的数据块(可进行数据压缩处理)，并产生一个MAC信息，加密后插入新的报头，最后在TCP中加以传输;接收端将收到的数据解密，做身份验证(MAC认证)、解压缩、重组数据报然后交给应用协议进行处理。实际上就是在应用层和传输层之间加入了一个数据处理层，和传统的网络套接字模型在同一层次，这也就是安全套接层的由来。

第一代VPN

第一代VPN采用的是IPSec协议，其典型部署是在Site-to-Site端点到端点的网络环境中。IPSec是网络层的VPN技术，它独立于应用程序，以自己的封包封装原始IP信息，因此可隐藏所有应用协议的内容，一旦IPSec建立加密隧道后，就可以实现各种类型的连接。IPSec以其相对较高的吞吐量以及安全性，被很多企业所接受。

但是，部署IPSec需要对网络基础设施进行重大改造，花费的人力物力甚巨，同时IPSec VPN在解决远程安全访问时有几个比较大的缺点:安全性低

虽然数据在传输过程中是加密的，但是IPSecVPN对于终端安全检查却是零，这一点相信企业的网络管理者深有感触，其表现为：

第一、IPSec的用户验证方式单一并且简单，它无法明确区分使用该终端的人是否是可授权的指定用户，管理员无法准确知晓究竟是谁在利用VPN使用内网资源；

第二、IPSec无法对终端设备软件系统的安全性做出评估，无法检查终端用户的应用环境，断开VPN连接后，所有曾经访问过的cookie、URL等均保留在终端，增加了不安全因素；

第三、IPSec VPN隧道一旦建立，用户的PC机就像在公司局域网内部一样，用户能够直接访问公司全部的应用，由此会大大增加风险；

第四、VPN登陆之后的所有操作都是直接作用在被访问资源上的，由于缺乏必要的终端检查，致使内网资源受损的几率很高；

第五、IPSec针对用户或用户组的授权访问，实现起来非常困难，无法根据用户性质进行分权，这是管理员很头疼的问题，无法实现分权就只能有限地开放网络资源，网络不能有效地用于生产生活。

IPSec最适合的环境是固定办公区域，移动办公用户需要安装客户端软件才能建立加密隧道，但并非所有客户端环境均支持IPSec VPN的客户端程序。终端用户可能需要做出类似重新安装系统那样复杂的操作，才能使用；

IPSec VPN的连接性还会受到网络地址转换（NAT）或网关代理设备（proxy）的影响，终端用户如果身处外部网络，想使用IPSec VPN连接，如何穿透防火墙将是一大难题，不适合用作移动用户，如家庭、网吧，宾馆等上网用户；

从投资的角度看IPsec VPN。要真正建立IPSec VPN，单单有VPN硬件设备和客户端软件是很不够的。如果没有防火墙和其他的安全软件，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过VPN访问企业内部系统。

这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果员工从家里的计算机通过公司VPN访问企业资源，在他创建隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏，那么，病毒就很有可能经过VPN在企业局域网内传播。另外，如果黑客侵入了这台没有保护的PC，他就获得了经过IPSec VPN隧道访问公司局域网的能力。因此，在建设IPSec VPN时，必须购买适当的安全软件，这个软件的成本必须考虑进去也是很高的。

IPSec VPN最大的难点在于客户端需要安装复杂的软件，需要经过培训才能够掌握。而且当用户的VPN策略稍微有所改变时，其管理难度将呈几何级数增长。客户端软件的维护带来了人力开销，而这是许多公司希望能够避免的。

部署IPSec VPN之后，另外一些安全问题也会暴露出来，这些问题主要与建立了开放式网络连接有关。除此以外，除非已经在每一台计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务。

第二代VPN

第二代VPN采用的是SSL协议，与IPSec VPN相比，SSL VPN具有如下优点：

SSL VPN的客户端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中，因此不需要再次安装；

SSL VPN可在NAT代理装置上以透明模式工作；

SSL VPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响，穿透能力强；

SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问到更多的企业网络资源，同时降低了部署和支持费用；

SSL VPN可以在任何地点，利用任何设备，连接到相应的网络资源上。IPSec VPN通常不能支持复杂的网络，这是因为它们需要克服穿透防火墙、IP地址冲突等困难。所以IPSec VPN实际上只适用于易于管理的或者位置固定的地方。可以说从功能上讲，SSL VPN是企业远程安全接入的最佳选择。

但是虽然SSL VPN具有以上众多的优点，却由于SSL协议本身的局限性，使得性能远低于使用IPSec协议的设备。用户往往需要在简便使用与性能之间进行痛苦选择。这也是第二代VPN始终无法取代第一代VPN的原因。

第三代VPN — SSL VPN-Plus

为了从根本上解决SSL VPN性能瓶颈，以新安捷（NeoAccel,INC）为代表的专业安全接入厂商，凭借强大的研发实力，经过刻苦的攻关，终于研制出了新一代SSL VPN构架——SSL VPN-Plus。

SSL VPN-Plus的创新技术之处是重新构建了SSL协议模型，使用单隧道方式处理加密数据包，从根本上解决了由于双TCP叠加带来的性能瓶颈，突破了传统SSL VPN设备的局限性，降低响应时间，提高设备性能。SSL VPN-Plus的整理性能可以达到并超过IPSec VPN，同时还能够提供SSL VPN便捷的使用和管理、低廉的投资和维护成本，提高用户的体验。

注意事项

SSL VPN由于其强大的功能和实施的方便性应用越来越广泛，市场上的SSL VPN品牌也越来越多，如何选择适合自己的产品是需要用户仔细考虑的一个问题，本文从下面几个方面描述如何选择SSL VPN产品:

1.1应用需求:

选择VPN是为了支持远程访问内部网络的应用，因此这一点也是最先需要考虑的一点，目前，大多数SSL VPN支持我们日常经常会用到的邮件系统、OA系统、CRM/ERP等等，但并不是所有的应用SSL VPN都能够提供支持，如动态端口的应用就只有部分SSL VPN能够提供支持。因此，在决定使用一款SSL VPN前一定要先确定是否能支持你的应用。

1.2安全需求:

要构建一个安全的系统，不仅仅需要传输过程安全，还要提高系统安全性，以下几个方面是缺一不可的:

1)传输过程安全

传输的过程加密强度是确保内部数据不在传输过程中被黑客盗取的关键因素。传输过程加密强度越高，传输安全性就越有保障。目前，拥有128位加密以上的SSL VPN产品是比较适宜的，56位DES加密相对强度低，选择时需要特别注意。

2)用户身份验证

用户名加密码的验证方式安全性相对较低，除了用户名和密码外，能提供其他的双因素验证方式的产品更加具有优势，如支持PKI体系等。

3)客户端设备的安全性:

客户端设备是否安装了个人防火墙、防病毒软件等。如果客户端设备不够安全，比如有木马程序，那么系统依然存在安全隐患。目前部分SSL VPN能够提供客户端环境检测，比如检测客户端是否安装了防火墙和防病毒软件。

4)完成访问后，客户端需要清除客户端机器的缓存

在移动用户完成远程访问后，是否就万事大吉了呢?当然不是，黑客或不法分子可以通过拷贝、复制驻留在客户端缓冲区内数据盗取企业机密。

5)服务端的日志跟踪

SSL VPN服务器应该提供访问统计和跟踪功能，这样管理员能够根据日志随时掌握系统访问情况。

对于以上这些安全特性，SafeNet iGate SSL VPN均能够提供支持。

1.SafeNet iGate 使用高强度的128位加密技术。

2.对于远程移动用户，iGate能够结合PKI体系以及本地活动目录，值得一提的是，SafeNet独有的iKey双因素身份认证USB Key与iGate SSL VPN完美结合，充分实现安全的双因素身份验证功能。

3.SafeNet iGate支持客户端环境检测功能，SafeNet iGate能够设定访问策略，当客户端不符合某个条件时，系统将禁止用户登陆。

4.为此，SafeNet iGate在用户离线后可自动清除用户缓冲区的内容。另外，在拔除iKey后，访问也会自动中断。

5.SafeNet iGate在用户界面上集成了日期查询功能，能够非常方便的进行日志跟踪。

1.3易于管理和维护，使用操作性强

SSL VPN的突出优势之一就在于移动性强、易用性强。但这些特性往往会增加管理难度。因此用户在选购SSL VPN时要重点考虑产品的管理性能。产品要做到界面简单，使用方便，灵活、细致地设置访问权限,采用基于用户/组/角色的认证机制，每个文件、网址或应用都可进行单独设置，使访问控制更易于管理。

SafeNet iGate 提供两个Web方式的管理UI，一个是Simple-UI，一个是Classic-UI，把常用的设置和不常用的设置分别开来，这样大大降低了管理维护的复杂性。

1.4性能

由于是集中系统，SSL加速决定整个网络的吞吐量。如果SSL加速跟不上，远程接入就会比实际的Internet接入带宽低很多。有的SSL VPN产品采用专门的SSL加速硬件，从而提高了VPN的响应速度。另外，通过数据压缩技术，还对所有的传输数据进行压缩后再进行传输，这样就提高了整个网络的运行效率和实用性。

SafeNet iGate配置硬件SSL加速卡，能够大大提高访问速度，另外iGate 还提供数据压缩功能，能够大大增加网络吞吐量。

1.5服务

除了上面提到的几点外，具有良好服务也至关重要。SSL VPN还是一个在不断发展的技术，更新的可能会比较快，提供SSL VPN的厂家是否具有良好的产品服务质量、渠道响应速度和本地支持能力也非常重要。比如承诺免费或低费用升级，等等。

结束语

SSL VPN的发展迎合了用户对低成本、高性价比远程访问的需求。现在，它已经广泛应用于各行各业。选购SSL VPN时，用户还要根据自身特点和不同的业务模式，选择适合自己的SSL VPN产品，再次强调，VPN是正在发展的技术，更新换代可能会比较快，因此用户在选购时可以少考虑一些扩展性，多注重产品的实用性。毕竟，只有适合自己的，才是最理想的选择。