sslVPN

sslVPN信息

SSLVPN指的是基于安全套接層協議(Security Socket Layer-SSL)建立遠程安全訪問通道的VPN技術。它是近年來興起的VPN技術，其應用随着Web的普及和電子商務、遠程辦公的興起而發展迅速。

SSL協議主要是由SSL記錄協議和握手協議組成，它們共同為應用訪問連接提供認證、加密和防篡改功能。SSL握手協議相對于IPSEC協議體系中的IKE(互聯網密鑰交換協議)協議，主要是用于服務器和客戶之間的相互認證，協商加密算法和MAC(Message Authentication Code-消息認證碼)算法，用于生成在SSL記錄協議中使用的加密和認證密鑰。SSL記錄協議是為各種應用協議提供基本的安全服務，類似于IPSEC的傳輸模式，應用程序消息參照MTU(最大傳輸單元)被分割成可治理的數據塊(可進行數據壓縮處理)，并産生一個MAC信息，加密後插入新的報頭，最後在TCP中加以傳輸;接收端将收到的數據解密，做身份驗證(MAC認證)、解壓縮、重組數據報然後交給應用協議進行處理。實際上就是在應用層和傳輸層之間加入了一個數據處理層，和傳統的網絡套接字模型在同一層次，這也就是安全套接層的由來。

第一代VPN

第一代VPN采用的是IPSec協議，其典型部署是在Site-to-Site端點到端點的網絡環境中。IPSec是網絡層的VPN技術，它獨立于應用程序，以自己的封包封裝原始IP信息，因此可隐藏所有應用協議的内容，一旦IPSec建立加密隧道後，就可以實現各種類型的連接。IPSec以其相對較高的吞吐量以及安全性，被很多企業所接受。

但是，部署IPSec需要對網絡基礎設施進行重大改造，花費的人力物力甚巨，同時IPSec VPN在解決遠程安全訪問時有幾個比較大的缺點:安全性低

雖然數據在傳輸過程中是加密的，但是IPSecVPN對于終端安全檢查卻是零，這一點相信企業的網絡管理者深有感觸，其表現為：

第一、IPSec的用戶驗證方式單一并且簡單，它無法明确區分使用該終端的人是否是可授權的指定用戶，管理員無法準确知曉究竟是誰在利用VPN使用内網資源；

第二、IPSec無法對終端設備軟件系統的安全性做出評估，無法檢查終端用戶的應用環境，斷開VPN連接後，所有曾經訪問過的cookie、URL等均保留在終端，增加了不安全因素；

第三、IPSec VPN隧道一旦建立，用戶的PC機就像在公司局域網内部一樣，用戶能夠直接訪問公司全部的應用，由此會大大增加風險；

第四、VPN登陸之後的所有操作都是直接作用在被訪問資源上的，由于缺乏必要的終端檢查，緻使内網資源受損的幾率很高；

第五、IPSec針對用戶或用戶組的授權訪問，實現起來非常困難，無法根據用戶性質進行分權，這是管理員很頭疼的問題，無法實現分權就隻能有限地開放網絡資源，網絡不能有效地用于生産生活。

IPSec最适合的環境是固定辦公區域，移動辦公用戶需要安裝客戶端軟件才能建立加密隧道，但并非所有客戶端環境均支持IPSec VPN的客戶端程序。終端用戶可能需要做出類似重新安裝系統那樣複雜的操作，才能使用；

IPSec VPN的連接性還會受到網絡地址轉換（NAT）或網關代理設備（proxy）的影響，終端用戶如果身處外部網絡，想使用IPSec VPN連接，如何穿透防火牆将是一大難題，不适合用作移動用戶，如家庭、網吧，賓館等上網用戶；

從投資的角度看IPsec VPN。要真正建立IPSec VPN，單單有VPN硬件設備和客戶端軟件是很不夠的。如果沒有防火牆和其他的安全軟件，客戶端機器非常容易成為黑客攻擊的目标。這些客戶端很容易被黑客利用，他們會通過VPN訪問企業内部系統。

這種黑客行為越來越普遍，而且後果也越來越嚴重。例如，如果員工從家裡的計算機通過公司VPN訪問企業資源，在他創建隧道前後，他十幾歲的孩子在這台電腦上下載了一個感染了病毒的遊戲，那麼，病毒就很有可能經過VPN在企業局域網内傳播。另外，如果黑客侵入了這台沒有保護的PC，他就獲得了經過IPSec VPN隧道訪問公司局域網的能力。因此，在建設IPSec VPN時，必須購買适當的安全軟件，這個軟件的成本必須考慮進去也是很高的。

IPSec VPN最大的難點在于客戶端需要安裝複雜的軟件，需要經過培訓才能夠掌握。而且當用戶的VPN策略稍微有所改變時，其管理難度将呈幾何級數增長。客戶端軟件的維護帶來了人力開銷，而這是許多公司希望能夠避免的。

部署IPSec VPN之後，另外一些安全問題也會暴露出來，這些問題主要與建立了開放式網絡連接有關。除此以外，除非已經在每一台計算機上安裝了管理軟件，軟件補丁的發布和遠程電腦的配置升級将是一件十分令人頭疼的任務。

第二代VPN

第二代VPN采用的是SSL協議，與IPSec VPN相比，SSL VPN具有如下優點：

SSL VPN的客戶端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經預裝在了終端設備中，因此不需要再次安裝；

SSL VPN可在NAT代理裝置上以透明模式工作；

SSL VPN不會受到安裝在客戶端與服務器之間的防火牆等NAT設備的影響，穿透能力強；

SSL VPN将遠程安全接入延伸到IPSec VPN擴展不到的地方，使更多的員工，在更多的地方，使用更多的設備，安全訪問到更多的企業網絡資源，同時降低了部署和支持費用；

SSL VPN可以在任何地點，利用任何設備，連接到相應的網絡資源上。IPSec VPN通常不能支持複雜的網絡，這是因為它們需要克服穿透防火牆、IP地址沖突等困難。所以IPSec VPN實際上隻适用于易于管理的或者位置固定的地方。可以說從功能上講，SSL VPN是企業遠程安全接入的最佳選擇。

但是雖然SSL VPN具有以上衆多的優點，卻由于SSL協議本身的局限性，使得性能遠低于使用IPSec協議的設備。用戶往往需要在簡便使用與性能之間進行痛苦選擇。這也是第二代VPN始終無法取代第一代VPN的原因。

第三代VPN — SSL VPN-Plus

為了從根本上解決SSL VPN性能瓶頸，以新安捷（NeoAccel,INC）為代表的專業安全接入廠商，憑借強大的研發實力，經過刻苦的攻關，終于研制出了新一代SSL VPN構架——SSL VPN-Plus。

SSL VPN-Plus的創新技術之處是重新構建了SSL協議模型，使用單隧道方式處理加密數據包，從根本上解決了由于雙TCP疊加帶來的性能瓶頸，突破了傳統SSL VPN設備的局限性，降低響應時間，提高設備性能。SSL VPN-Plus的整理性能可以達到并超過IPSec VPN，同時還能夠提供SSL VPN便捷的使用和管理、低廉的投資和維護成本，提高用戶的體驗。

注意事項

SSL VPN由于其強大的功能和實施的方便性應用越來越廣泛，市場上的SSL VPN品牌也越來越多，如何選擇适合自己的産品是需要用戶仔細考慮的一個問題，本文從下面幾個方面描述如何選擇SSL VPN産品:

1.1應用需求:

選擇VPN是為了支持遠程訪問内部網絡的應用，因此這一點也是最先需要考慮的一點，目前，大多數SSL VPN支持我們日常經常會用到的郵件系統、OA系統、CRM/ERP等等，但并不是所有的應用SSL VPN都能夠提供支持，如動态端口的應用就隻有部分SSL VPN能夠提供支持。因此，在決定使用一款SSL VPN前一定要先确定是否能支持你的應用。

1.2安全需求:

要構建一個安全的系統，不僅僅需要傳輸過程安全，還要提高系統安全性，以下幾個方面是缺一不可的:

1)傳輸過程安全

傳輸的過程加密強度是确保内部數據不在傳輸過程中被黑客盜取的關鍵因素。傳輸過程加密強度越高，傳輸安全性就越有保障。目前，擁有128位加密以上的SSL VPN産品是比較适宜的，56位DES加密相對強度低，選擇時需要特别注意。

2)用戶身份驗證

用戶名加密碼的驗證方式安全性相對較低，除了用戶名和密碼外，能提供其他的雙因素驗證方式的産品更加具有優勢，如支持PKI體系等。

3)客戶端設備的安全性:

客戶端設備是否安裝了個人防火牆、防病毒軟件等。如果客戶端設備不夠安全，比如有木馬程序，那麼系統依然存在安全隐患。目前部分SSL VPN能夠提供客戶端環境檢測，比如檢測客戶端是否安裝了防火牆和防病毒軟件。

4)完成訪問後，客戶端需要清除客戶端機器的緩存

在移動用戶完成遠程訪問後，是否就萬事大吉了呢?當然不是，黑客或不法分子可以通過拷貝、複制駐留在客戶端緩沖區内數據盜取企業機密。

5)服務端的日志跟蹤

SSL VPN服務器應該提供訪問統計和跟蹤功能，這樣管理員能夠根據日志随時掌握系統訪問情況。

對于以上這些安全特性，SafeNet iGate SSL VPN均能夠提供支持。

1.SafeNet iGate 使用高強度的128位加密技術。

2.對于遠程移動用戶，iGate能夠結合PKI體系以及本地活動目錄，值得一提的是，SafeNet獨有的iKey雙因素身份認證USB Key與iGate SSL VPN完美結合，充分實現安全的雙因素身份驗證功能。

3.SafeNet iGate支持客戶端環境檢測功能，SafeNet iGate能夠設定訪問策略，當客戶端不符合某個條件時，系統将禁止用戶登陸。

4.為此，SafeNet iGate在用戶離線後可自動清除用戶緩沖區的内容。另外，在拔除iKey後，訪問也會自動中斷。

5.SafeNet iGate在用戶界面上集成了日期查詢功能，能夠非常方便的進行日志跟蹤。

1.3易于管理和維護，使用操作性強

SSL VPN的突出優勢之一就在于移動性強、易用性強。但這些特性往往會增加管理難度。因此用戶在選購SSL VPN時要重點考慮産品的管理性能。産品要做到界面簡單，使用方便，靈活、細緻地設置訪問權限,采用基于用戶/組/角色的認證機制，每個文件、網址或應用都可進行單獨設置，使訪問控制更易于管理。

SafeNet iGate 提供兩個Web方式的管理UI，一個是Simple-UI，一個是Classic-UI，把常用的設置和不常用的設置分别開來，這樣大大降低了管理維護的複雜性。

1.4性能

由于是集中系統，SSL加速決定整個網絡的吞吐量。如果SSL加速跟不上，遠程接入就會比實際的Internet接入帶寬低很多。有的SSL VPN産品采用專門的SSL加速硬件，從而提高了VPN的響應速度。另外，通過數據壓縮技術，還對所有的傳輸數據進行壓縮後再進行傳輸，這樣就提高了整個網絡的運行效率和實用性。

SafeNet iGate配置硬件SSL加速卡，能夠大大提高訪問速度，另外iGate 還提供數據壓縮功能，能夠大大增加網絡吞吐量。

1.5服務

除了上面提到的幾點外，具有良好服務也至關重要。SSL VPN還是一個在不斷發展的技術，更新的可能會比較快，提供SSL VPN的廠家是否具有良好的産品服務質量、渠道響應速度和本地支持能力也非常重要。比如承諾免費或低費用升級，等等。

結束語

SSL VPN的發展迎合了用戶對低成本、高性價比遠程訪問的需求。現在，它已經廣泛應用于各行各業。選購SSL VPN時，用戶還要根據自身特點和不同的業務模式，選擇适合自己的SSL VPN産品，再次強調，VPN是正在發展的技術，更新換代可能會比較快，因此用戶在選購時可以少考慮一些擴展性，多注重産品的實用性。畢竟，隻有适合自己的，才是最理想的選擇。