词条 | SSL VPN |
释义 | SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。 国内现状(一、F5公司-FirePass SSLVPN 二、深信服) 产品纵览(产品应用 产品选购 Quidway SecPath 1000F 防火墙 Array SPX5000 Cylan SGA 600系列安全网关 iGate SSL VPN 4.0 Cisco VPN 3000系列集中器 UU200系列 神獒VPN L(SSL)系列产品) SSL介绍SSL(Secure Sockets Layer)是由Netscape公司开发的一套Internet数据安全协议,当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 VPN介绍VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。 虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。 虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。 目前很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。 对于很多IPSec VPN用户来说,IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实:在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制,大量的企业都认为IPSec VPN是一个成本高、复杂程度高,甚至是一个无法实施的方案。为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案。 技术演变随着应用程序从C/S 结构向Web 的迁移,企业必须面对一个新的挑战,就是如何在不影响最终用户使用的前提下实现在任何地方灵活访问这些应用程序。在最近20 年间,用户和管理层听到因为安全原因不能够在公司以外访问内部应用程序的声音不绝于耳。在70 年代,人们对远程访问概念几乎等同于从远端的办公地点访问应用程序,这需要设置非常昂贵的WAN 网并租用连接线路。 到了80 年代,一小部分用户可以使用调制解调器直接拨号到modem banks 或他们自己的PC 上,但是使用费用相当高昂只能有非常有限的小部分人使用。而且在那时候,在家使用个人电脑才刚刚成为主流,远程访问需求还不是很大。随着90 年代的来临, 在家用PC 盛行的同时,移动电脑开始显现,在家办公也开始兴起。公司管理者和销售员们开始在外出出差的时候携带他们的笔记本电脑,他们需要实时访问公司内部信息,设立IPSec VPN 可以保护用户远程访问。它可以提供足够的安全性,但是问题是安装和维护相当麻烦。任何在PC 上的改变对VPN 而言可能都是一场灾难,最终用户不得不硬着头皮忍受这些变化,因为他们别无选择。即使是现在,你也很难找到一个用户,他的VPN 一点儿问题也没有。从管理员的角度来讲,使用IPSec VPN 不仅仅意味着要对客户端进行安装和调试,而且还需要调整整个网络的结构。在数据包进行传输时NAT 不能完全工作正常,有时候会出现连接断开的现象,改变防火墙设置可以解决这一问题但是必须要做大量的管理工作。如果IT 管理部门可以完全控制从后端到客户的网络结构,其管理复杂性可以忍受;当IT 管理部门不能完全控制时,管理复杂性就要成倍增加。这种情况同样发生在本地NAT 和防火墙对合作伙伴,在家里或在酒店。 如今, 公司开始把眼光放在他们是否选择了合适的安全远程访问系统上。使用IPSec VPN 和租用WAN 线路对于不经常更改网络结构的用户来说是非常好的选择。如果情况并非如此,用户就需要另做选择。现在,已经有公司开始考虑使用架构在因特网上的SSL 协议,在不破坏已有网络布局的前提下进行安全远程访问。SSL 是通过因特网进行加密传输保护一种常用方法,许多公司对他们的内部网和外部网执行了SSL 设置,通过SSL VPN 进行访问控制。 定义SSL VPN 的发展对现有SSL 应用是一个补充,它增加了公司执行访问控制和安全的级别和能力。 SSL VPN 还对那些因为使用远程访问应用系统而降低公司安全性的企业有所帮助。从属性上讲,拨号可以保证相对安全性,因为特定的电话线可以确认用户的身份。客户端/服务器和旧版本的VPN 自身也拥有一定级别的安全保障能力,因为客户端软件是需要安装的。但是,以这样的安全策略和属性, 不可否认,黑客入侵、安全威胁、身份欺诈呈增长趋势。现在,使用SSL VPN,安全特性已经发生了改变,人们可以通过浏览器访问应用程序。 如果把SSL 和VPN 两个概念分开,大多数人都清楚他们的含义,但是有多少人知道他们合在一起的意思呢?从学术和商业的角度来讲,因为他们代表的含义有所不同,因而常常会被曲解。 SSL 通过加密方式保护在互联网上传输的数据安全性,它可以自动应用在每一个浏览器上。这里,需要提供一个数字证书给Web 服务器,这个数字证书需要付费购买,相对而言,给应用程序设立SSL 服务是比较容易的。如果应用程序本身不支持SSL, 那么就需要改变一些链接,这只与应用程序有关。对于出现较大信息量的情况,建议给SSL 进行加速以避免流量瓶颈。通常SSL 加速装置为热插拔装置。 VPN 则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。过去,VPN 总是和IPSec 联系在一起,因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层,IPSec VPN 则多用于连接两个网络或点到点之间的连接。 以上我们简要介绍了SSL和VPN,现在我们要了解一下SSL和VPN是怎样结合在一起的?大量理论可以证明SSL的独特性以及VPN所能提供的安全远程访问控制能力。到目前为止,SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机,工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全远程访问的新生代。 特征从概念角度来说,SSL VPN即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中,使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。 一般而言,SSL VPN必须满足最基本的两个要求: 1. 使用SSL 协议进行认证和加密;没有采用SSL 协议的VPN产品自然不能称为SSL VPN,其安全性也需要进一步考证。 2. 直接使用浏览器完成操作,无需安装独立的客户端;即使使用了SSL 协议,但仍然需要分发和安装独立的VPN客户端 (如Open VPN)不能称为SSL VPN,否则就失去了SSL VPN易于部署,免维护的优点了。 国内现状一、F5公司-FirePass SSLVPNF5于2000年底进驻中国,并在国内推出先进的SSL VPN解决方案。早在2004年12月15日,全球应用流量管理专家美国F5公司在北京发布了其最新款的网络安全产品,包括应用防火墙TrafficShield和安全套接字层虚拟专用网(SSL VPN)解决方案FirePass控制器。包括应用防火墙TrafficShield和安全套接字层虚拟专用网(SSL VPN)解决方案FirePass控制器。著名互联网安全领域专家、F5公司全球网络安全产品市场总监Andrew Stern和F5中国市场渠道总监柯文联合向外界发布了这两款产品。 TrafficShield应用防火墙为企业的web应用及基础架构提供最全面的安全保护,防御普通与目标攻击。该产品中应用的应用流程模型(AFM)利用积极安全逻辑根据用户会话信息、用户输入内容、及应用响应内容对每一个事务进行验证。在此种高安全模式下,仅允许有效应用流量通过,并阻止其它一切请求。 F5 FirePass控制器通过向企业用户提供访问网络应用及资源所需的性能、安全性、管理性及可靠性来满足企业组织的远程访问需求。终端用户将受益于其在任何地点、使用任何设备、处于任何访问模式(包括拔号、DSL、cable及无线网络)下对网络的无缝接入的特性。 如何衡量SSL VPN产品的性能? 谈到SSL VPN产品的性能,首先要区分的是SSL Server和SSL VPN,SSL Server相当于SSL VPN中的反向代理功能,二者的要求是不一样的,SSL Server面对的是业务系统,如电子商务网站、网上银行等等,它强调的是性能,目前国内可见的SSL Server产品性能可达20000TPS和4百万同时在线用户数;而SSL VPN面向的是远程接入即管理系统,它强调的是易于使用和管理、安全性等等,一个SSL VPN用户的登录包括SSL握手、认证、授权、记录日志等过程,其中认证、授权、记录日志所耗费的时间远远高于SSL握手,不可能达到SSL Server那样高的性能,如果需要非常高的性能,要使用多台SSL VPN堆叠来实现。 F5 SSL VPN应用案例 面对企业感到莫名的难题,F5公司通过成熟的系统方案,减少使用IPSec的运营维护成本,使IT管理人员的工作效率大大提高。 企业用IPSec的VPN用于连接远程移动用户,这种VPN在某些地点受到某些地区ISP的影响,或者受某些网络设备的影响,不能正常访问公司总部的内部企业网络。为解决这种莫名的难题,F5公司提供一个专业级的技术方案。 F5公司将F5的SSL VPN产品部署在企业的内部核心交换机上,这样做是保证不会对用户的原有网络造成任何影响,而只需要在边界防火墙上做一个地址转换,这样远程移动用户或者分支机构就可以先通过防火墙访问SSLVPN产品,进入到企业内部网络中,进行企业内部Intranet的访问;同时,远程移动和分支不受任何接入的限制。 解决方案如图示: 二、深信服国际权威市场研究机构Frost & Sullivan在2010年发布了《中国SSL VPN市场分析报告》,自2004年推出SSL VPN产品以来,深信服在中国市场取得了长足的进步。2008年,深信服以31.1%的市场占有率,首次成为市场第一。2009年,贴近用户的产品以及深受大型企事业单位认可的服务使深信服获得了整个市场份额的34%,蝉联市场第一,并进一步扩大了优势,与其他友商拉开了至少8%以上的份额差距。 以下为原版报告部分译文: 由于中国地理分散的工作状况,以及网络应用程序采用的快速增长,中国企业对SSL VPN的需求预计将在接下来的几年稳步上升。此外,随着中国企业对IT安 全日趋成熟的观念深入,中国企业有可能驱动高科技市场如视觉化和云计算的发展,这将有力增强SSL VPN技术的重要性。该期间SSL VPN市场的复合年增长率在预测期间为14.6%,在2016年将达到大约一亿零九百万美元的市场规模。 行业市场对SSL VPN的需求依然强烈,凭借远程访问对其业务运营起关键作用,如服务供应商和金融企业,以及政府和教育行业。2009年同比其他行业市场,运营商行业尤其部署了最多的SSL VPN应用。随着中国3G用户数量的迅速增长,各主要运供应商相应的提高了他们用于增强各分支机构的IT基础设施的开支,其中关键之一是让每一个在不同城市的商务办公更安全、更快速的连接到总部或数据中心的主要应用程序上,而不是在一些传统固定的营业场所。 Sinfor(2010年更名为Sangfor)保持了其在中国SSL VPN市场的领导地位,同2009年同期相比,历经了22.1%的强劲增长。在2009年该供应商目睹了良好的市场份额增长,成就了34.0%的市场份额。除了强有力的研发支出,深信服也在2009年的营销和市场工作方面投入了协调一致的努力。深信服2009年在服务系统引进了ISO 9001标准,致力于以国际公认的标准的指导下规范服务团队,提升服务水平。此外,Sinfor成功的拓展渠道,绝对能帮助他们在2009年接触更多的客户源。 2011年,深信服荣获Frost & Sullivan颁发的“2011年亚太地区SSL VPN成长领先奖”。深信服作为中国SSL VPN市场占有率第一的厂商,其市场份额还在不断高速增长,充分表明深信服在这款产品上不断创新的努力得到回馈,以及中国SSL VPN市场的无限潜力。 特点SSL VPN的客户端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装; SSL VPN可在NAT代理装置上以透明模式工作; SSL VPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响,穿透能力强; SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问到更多的企业网络资源,同时降低了部署和支持费用; 客户端安全检查和授权访问等操作,实现起来更加方便。 SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上。IPSec VPN通常不能支持复杂的网络,这是因为它们需要克服穿透防火墙、IP地址冲突等困难。所以IPSec VPN实际上只适用于易于管理的或者位置固定的地方。可以说从功能上讲,SSL VPN是企业远程安全接入的最佳选择。 但是虽然SSL VPN具有以上众多的优点,却由于SSL协议本身的局限性,使得性能远低于使用IPSec协议的设备。用户往往需要在简便使用与性能之间进行痛苦选择。这也是第二代VPN始终无法取代第一代VPN的原因。 优点1、方便。实施ssl vpn之需要安装配置好中心网关即可。其余的客户端是免安装的,因此,实施工期很短,如果网络条件具备,连安装带调试,1-2天即可投入运营。 2、容易维护。ssl vpn 维护起来简单,出现问题,就维护网关就可以了。实在不行,换一台,如果有双机备份的话,备份机器启动就可以了。 3、安全。ssl vpn 是一个安全协议,数据全程加密传输的。另外,由于ssl网关隔离了内部服务器和客户端,只留下一个web浏览接口,客户端的大多数病毒木马感染不到内部服务器。而ipsec vpn 就不一样,实现的是ip级别的访问,远程网络和本地网络几乎没有区别。局域网能够传播的病毒,通过vpn一样能够传播。 产品纵览随着SSL VPN应用的逐渐加温,越来越多的企业开始采纳SSL VPN的网络架构,来解决企业的远程访问需求。SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。这使得企业员工出差时不必再携带自己的笔记本电脑,仅仅通过一台接入了Internet的计算机就能访问企业资源,这为企业提高了效率也带来了方便。由于SSLVPN不像IPSec VPN那样要购买和维护远程客户端或软件,因而要比后者造价低很多。现在许多企业对于SSL VPN的需求非常强烈,而且未来这种企业网络安全需要还将持续增长。许多国际网络安全厂商正在对SSL VPN这种新型业务形态进行重点投资,取代目前的IPSec系列产品将成为一种趋势。 产品应用SSL VPN网关位于企业网的边缘,介于企业服务器与远程用户之间,控制二者的通信。SSL VPN采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。在不断扩展的互联网Web站点之间、无线热点和客户端间、远程办公室、酒店、传统交易大厅等场所,SSL VPN克服了IPSec VPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方,设置传统的IPSec VPN非常困难,甚至是不可能的,这是由于必须更改网络地址转换(NAT)和防火墙设置。 产品选购对广大的用户来说要挑选一个明显的SSL VPN产品最爱比较困难,虽然有的SSL VPN产品表现一般,但是,多数SSL VPN产品是各有其优势。有的SSL VPN产品提供了一个成熟的应用层防火墙,有的SSL VPN产品提供了范围最为广泛的应用转换功能。SSL VPN产品是否最终令人满意,还取决于用户对自己需求的了解程度,适合自己的是最好的。 SSL VPN的发展主要是为了迎合用户在远程访问时能实现性价比的高要求。到目前为止,SSL VPN已经应用于各行各业,有企业用户,也有SOHO用户。用户在选购SSL VPN时,应根据自身特点和不同企业的业务规模,选择适合自己的SSL VPN产品。最好的选择,就是适合自己的。 一般,在选购SSL VPN产品时要注意以下几个问题: 具有强力的安全保障:首先是用户端接入的安全;其次是数据传输的安全;再次是内部资源的访问安全。 支持全面应用的连接。 使用操作性强,易于管理和维护。 运行要稳定,无网络中断。 不会因为处理SSL而降低了运行速率。 良好的综合性能和服务。 市面上的SSL VPN精品 目前,国内外的网络设备商都相继推出了自己SSL VPN产品,其中包括Cisco、华为、ArrayNetworks、F5等著名设备供应商。下面,我们罗列了目前市面上的主要的SSL VPN产品。 适用于大中型企业 Quidway SecPath 1000F 防火墙Quidway SecPath 1000F防火墙是华为3Com公司开发的新一代专业防火墙设备, 支持SSL VPN,同时支持多种VPN业务可以作为大中型企业的内部防火墙设备,也可以作为中小企业的出口防火墙设备。 Quidway SecPath 1000F防火墙支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接过程和有害命令进行监测,并协同ACL完成动态包过滤;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN、SSL VPN等等,可以构建Internet、Intranet、Access等多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。 Quidway SecPath 1000F防火墙提供两个固定的10/100/1000M自适应GE口,支持光口和电口两种形式。提供一个MIM 扩展槽位,支持多功能接口模块热插拔,目前可选的接口模块有1FE/2FE/4FE/1GE/2GE/HDC六种。提供双电源冗余备份解决方案( AC+AC,DC+DC两种机型),提供机箱内部环境温度检测功能,并支持网管,可满足电信级产品的高可靠性要求。 Array SPX5000Array SPX5000是全球领先的应用智能安全设备供应商Array Networks推出一款面向大型企业网络核心应用的产品设备:新一代SSL VPN远程安全接入产品。这款新品的推出,不仅标志着Array Networks产品性能的显著提升,更表明了Array Networks进一步巩固了在高端企业市场的领先地位。 Array SPX5000是面向大型企业和电信运营商核心业务/应用的新一代SSL VPN产品。它能保证企业客户在任何时间、任何地方,以任何接入设备,都可以通过Internet安全地访问企业的核心应用。由于其并发用户数达到64000个,250个VLAN(虚拟局域网)和128个虚拟门户;对于大型企业/电信网络来说,无论在安全保密、性能,还是在可扩展性方面,Array SPX5000的表现都非常优秀; Array SPX5000可向各大机构提供最强大的网络安全和Web应用优化功能,包括利用SSL VPN登录访问Web应用和传统应用、身份管理、应用层防火墙,以及基于Web的流量管理等等。值得一提的是Array SPX5000的反应速度要比以往的SSL VPN快近2倍,并且能够保持近千兆的线路速率进行SSL通讯传输。达到如此高的传输指标,对于SSL VPN产品来说还是第一次,这就意味着取代大型企业中以往所应用的IPSec VPN网关的日子不远了。 Cylan SGA 600系列安全网关CYLAN SGA 600系列安全网关适合于中大型规模的企业,它用于满足移动用户、分支机构、供应商、合作伙伴等对IT资源(如基于Web的应用、Unix应用、企业邮件系统、文件服务器、FTP服务器、远程控制、C/S应用系统等)的远程安全接入的需求。这样,企业就可以利用自身的网络平台,建立一个安全的VPN网络。所有远端用户的访问都是经过标准Web浏览器内置的加密套件进行加密并经过服务器端认证许可的,即经过授权用户只要能上网,就可以通过浏览器接入远程的应用服务器,建立安全SSL VPN隧道。CYLAN SGA利用浏览器来协助用户在任何地方任何时间安全的访问公司的任何资源。另外,Cylan SSL VPN产品还可以实现智能手机的接入(如iphone\\ipad\\android\\windows mobile)。 iGate SSL VPN 4.0与同类产品相比,iGate4.0是目前市场上惟一一款集成双因素身份认证令牌的SSL VPN设备,iGate Pro集成应用了硬件SSL加速装置。新推出的iGate4.0与原有产品相比,提高了SSL接入能力,完全可以支持全网连接;简化了安装和管理,使原有Web用户界面变得更加简单易用;新增加了对PKI的支持能力和客户端策略检查功能, 具备了更高级别的安全性。此外,iGate4.0还增加了对基于Web的PDA或其他移动设备的支持能力。这次重大升级,使iGate在产品性能、易用性等方面都有了长足进步,并一跃成为目前市场中最具实力的SSL VPN产品。 iGate SSL VPN 4.0是一款基于SSL的移动远程访问设备,它通过Internet在远程访问双方建立安全通道,使移动用户可以轻松访问公司内部资源。适用于大型企业,政府部门 的采用。iGate可以通过多种方式确保信息的安全性,主要包括: 采用专用硬件对Web和非Web应用程序的通讯进行SSL加密。 采用硬件令牌和口令登录相结合的方式确保远程访问的合法性。 通过客户端完整性扫描确定远程访问环境的安全性,并相应调整对内部资源的访问权限。 会话结束后清除客户端临时文件,防止泄漏敏感数据。 集成现有用户数据库,按照角色集中管理和控制访问权限。 iGate作为惟一入口,有效隐藏内部信息,杜绝网络攻击。 丰富的访问控制和日志管理工具;全面支持PKI认证、无线设备和PDA等。 Cisco VPN 3000系列集中器VPN 3000系列集中器是Cisco公司发布的一款SSL VPN产品,由通用的远程访问虚拟专网(VPN)平台和将高可用性、高性能和可扩展性与当今最先进的加密和认证技术结合在一起的客户机软件组成。利用Cisco VPN 3000集中器系列,客户可以充分发挥最新VPN技术的优势,极大地降低通信费用。特别是,该产品是业界唯一的能够提供现场可更换和客户可升级部件的可扩展平台。这些称为可扩展加密处理(SEP)模块的部件使用户可以轻松地增加容量和吞吐量。 Cisco客户可以在众多的VPN 3000集中器中选择最适合自己需求和应用的具体型号,这些型号支持各种企业客户,包括从只有不到100个远程访问用户的小公司到有多达10000名同时远程用户的大型机构。不论Cisco VPN 3000集中器的哪一种版本,都可以在不增加更多费用的情况下提供Cisco VPN客户机,并给予不受限制的安装许可证。Cisco VPN 3000集中器提供非冗余和冗余两种配置,允许客户构建最稳健、最可靠和经济高效的网络。另外,还提供高级路由功能,如OSPF、RIP和网络地址转换(NAT)。 UU200系列UU200 iSTAR 系列产品中的发布单元(Publisher),它位于应用服务器子网络中。由于UU200对应用程序是透明的,因此可以将应用服务器所提供的各种服务、文件、甚至于子网络安全的发布出来。通过SSL协议以及end to end加密技术,使用者可以安全的使用Publisher所发布的服务。 UU200 iSTAR 系列产品主要特点:在应用层建立用户访问管理。对应用程序透明,能发布Web, Client/Server应用程序及文件共享。子网络虚拟接入(UURemote、UUSoft)为选项功能。UU200可以选择以Public IP进行连接配置,或是通过UUExchange/UUSwitch连接:此时的UU200可以使用Private IP进行连接配置。使用cluster技术,支持负载均衡。 UU200 iSTAR 系列产品适应有公共静态IP地址和没有公共静态IP地址的企业,后者需要连到UUExchange/UUSwitch。 适合大中型企业建立SSL VPN。 神獒VPN L(SSL)系列产品神獒L(SSL)系列VPN产品是北京巨龙数码自主研发的SSL VPN系统,无需安装客户端软件,只需通过浏览器(Browser)便可安全的访问企业内部受控资源,建立安全快速高效的VPN隧道,更好的实现用户端的安全控制及节约整体项目成本。神獒L系列VPN是基于数字证书和SSL技术实现的独立安全系统,无需改变应用系统的网络结构和应用模式。 选购注意事项SSL VPN由于其强大的功能和实施的方便性应用越来越广泛,市场上的SSL VPN品牌也越来越多,如何选择适合自己的产品是需要用户仔细考虑的一个问题,本文从下面几个方面描述如何选择SSL VPN产品: 应用需求选择VPN是为了支持远程访问内部网络的应用,因此这一点也是最先需要考虑的一点,目前,大多数SSL VPN支持我们日常经常会用到的邮件系统、OA系统、CRM/ERP等等,但并不是所有的应用SSL VPN都能够提供支持,如动态端口的应用就只有部分SSL VPN能够提供支持。因此,在决定使用一款SSL VPN前一定要先确定是否能支持你的应用。 安全需求要构建一个安全的系统,不仅仅需要传输过程安全,还要提高系统安全性,以下几个方面是缺一不可的: 1 传输过程安全 传输的过程加密强度是确保内部数据不在传输过程中被黑客盗取的关键因素。传输过程加密强度越高,传输安全性就越有保障。目前,拥有128位加密以上的SSL VPN产品是比较适宜的,56位DES加密相对强度低,选择时需要特别注意。 2 用户身份验证 用户名加密码的验证方式安全性相对较低,除了用户名和密码外,能提供其他的双因素验证方式的产品更加具有优势,如支持PKI体系等? 3 客户端设备的安全性: 客户端设备是否安装了个人防火墙、防病毒软件等。如果客户端设备不够安全,比如有木马程序,那么系统依然存在安全隐患。目前部分SSL VPN能够提供客户端环境检测,比如检测客户端是否安装了防火墙和防病毒软件。 4 完成访问后,客户端需要清除客户端机器的缓存 在移动用户完成远程访问后,是否就万事大吉了呢?当然不是,黑客或不法分子可以通过拷贝、复制驻留在客户端缓冲区内数据盗取企业机密。 5 服务端的日志跟踪 SSL VPN服务器应该提供访问统计和跟踪功能,这样管理员能够根据日志随时掌握系统访问情况。 对于以上这些安全特性,SafeNet iGate SSL VPN均能够提供支持。 1.SafeNet iGate 使用高强度的128位加密技术。 2.对于远程移动用户,iGate能够结合PKI体系以及本地活动目录,值得一提的是,SafeNet独有的iKey双因素身份认证USB Key与iGate SSL VPN完美结合,充分实现安全的双因素身份验证功能。 3.SafeNet iGate支持客户端环境检测功能,SafeNet iGate能够设定访问策略,当客户端不符合某个条件时,系统将禁止用户登陆。 4.为此,SafeNet iGate在用户离线后可自动清除用户缓冲区的内容。另外,在拔除iKey后,访问也会自动中断。 5.SafeNet iGate在用户界面上集成了日期查询功能,能够非常方便的进行日志跟踪。 易于管理和维护SSL VPN的突出优势之一就在于移动性强、易用性强。但这些特性往往会增加管理难度。因此用户在选购SSL VPN时要重点考虑产品的管理性能。产品要做到界面简单,使用方便,灵活、细致地设置访问权限,采用基于用户/组/角色的认证机制,每个文件、网址或应用都可进行单独设置,使访问控制更易于管理。 SafeNet iGate 提供两个Web方式的管理UI,一个是Simple-UI,一个是Classic-UI,把常用的设置和不常用的设置分别开来,这样大大降低了管理维护的复杂性。 性能由于是集中系统,SSL加速决定整个网络的吞吐量。如果SSL加速跟不上,远程接入就会比实际的Internet接入带宽低很多。有的SSL VPN产品采用专门的SSL加速硬件,从而提高了VPN的响应速度。另外,通过数据压缩技术,还对所有的传输数据进行压缩后再进行传输,这样就提高了整个网络的运行效率和实用性。 SafeNet iGate配置硬件SSL加速卡,能够大大提高访问速度,另外iGate 还提供数据压缩功能,能够大大增加网络吞吐量。 服务除了上面提到的几点外,具有良好服务也至关重要。SSL VPN还是一个在不断发展的技术,更新的可能会比较快,提供SSL VPN的厂家是否具有良好的产品服务质量、渠道响应速度和本地支持能力也非常重要。比如承诺免费或低费用升级,等等。 结束语SSL VPN的发展迎合了用户对低成本、高性价比远程访问的需求。现在,它已经广泛应用于各行各业。选购SSL VPN时,用户还要根据自身特点和不同的业务模式,选择适合自己的SSL VPN产品,再次强调,VPN是正在发展的技术,更新换代可能会比较快,因此用户在选购时可以少考虑一些扩展性,多注重产品的实用性。毕竟,只有适合自己的,才是最理想的选择。 技术现状最近SSL VPN的市场突飞猛进,各种媒体上相关SSL VPN的文章也很多,但是目前存在很多的关于SSL VPN的误区,随便在网上搜索就可以看到很多错误的说法: 1. SSL VPN和IPSec VPN各有优缺点,SSL VPN只能适用于web应用; 2. XX国内厂商推出了廉价集IPSec VPN与SSL VPN于一体的设备,必将大大促进VPN的市场推广; 3. 经过使用Spirent Avalanche测试,XX厂家的SSL VPN产品的TPS(每秒新建用户数)达到了1300, 最大在线用户数可以达到64’000个,完全可以适用大型的商业应用。 这就引入了几个问题: 1. 究竟SSL VPN有哪些功能?是否只能解决web应用? 2. 什么才是一个真正的SSL VPN产品?怎样区别市场上林林总总的号称的SSL VPN产品? 3. 如何衡量SSL VPN产品的性能? 下面逐个回答问题: 1 究竟SSL VPN有哪些功能?是否只能解决web应用? SSL VPN的出现是为了解决IPSec VPN的固有缺点而出现的,SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致、与应用无关的优点,避免了因有客户端而导致的使用维护不便、某些网络条件下无法接通、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题,从功能上有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,可以提供C/S应用和B/S应用访问,并非只能解决web应用。这其中最为重要的是网络访问功能,SSL VPN的网络访问功能避免了IPSec VPN的缺点而又继承了IPSec VPN的优点。 2 什么才是一个真正的SSL VPN产品?怎样区别市场上林林总总的号称的SSL VPN产品? 现在有很多厂商声称自己的产品是SSL VPN,或者说融合了IPSec VPN和SSL VPN的功能,实际上大部分的厂商只是实现了SSL VPN中的网上应用程序,也就是Web反向代理的功能,某国内厂商大肆宣称的集IPSec VPN与SSL VPN于一体的设备也只是在原有的IPSec VPN的设备上加了一个Web反向代理的功能而已,根本不能称之为真正的SSL VPN产品。那么什么才是一个真正的SSL VPN产品? 前文说到SSL VPN从功能上说有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,其中网络访问是SSL VPN最为重要和标志性的功能,只有具备了网络访问这个看似IPSec VPN而又从根本上解决了IPSec VPN缺陷的功能才称得上是一款真正的SSL VPN产品。当然为了安全性考虑的终端安全检查和审计、与企业认证服务器的结合等功能也是一款优秀SSL VPN的必备功能。 vpnc中有通过该组织认证的SSL VPN厂商列表,也可以说,只有在这儿能够查到的SSL VPN厂商的产品,才是真正的SSL VPN产品。 3 如何衡量SSL VPN产品的性能? 谈到SSL VPN产品的性能,首先要区分的是SSL Server和SSL VPN,SSL Server相当于SSL VPN中的反向代理功能,二者的要求是不一样的,SSL Server面对的是业务系统,如电子商务网站、网上银行等等,它强调的是性能,目前国内可见的SSL Server产品性能可达20000TPS和4百万同时在线用户数;而SSL VPN面向的是远程接入即管理系统,它强调的是易于使用和管理、安全性等等,一个SSL VPN用户的登录包括SSL握手、认证、授权、记录日志等过程,其中认证、授权、记录日志所耗费的时间远远高于SSL握手,不可能达到SSL Server那样高的性能,如果需要非常高的性能,要使用多台SSL VPN堆叠来实现。 Spirent Avalanche是一款优秀的基于Web应用的测试仪器,但只适用于测试SSL Server性能,不适用于测试SSL VPN的性能,某厂商的设备集合了SSL Server 和SSL VPN的功能,虽然SSL Server的性能在业界根本不入流,但显然会高于SSL VPN的性能。该厂商利用大家对于SSL Server和SSL VPN之间认识的混淆,到处宣称使用Spirent Avalanche测试证明自己的SSL VPN具有很高的性能,实际上从测试过程可以发现,测试的只是其中SSL Server的性能。 SSL VPN的性能测试,因为涉及建立VPN隧道,非常复杂,只能使用业界某些测试软件如LoadRunner 加上厂家自己的动态库来实现,只能在厂家自己的测试实验室来做,试图用某种测试仪器来统一测试所有厂家的SSL VPN性能是行不通的,所以只能参考各个厂家自己提供的性能,当然,要区分大的上市企业公布的真实的性能指标的和某些小企业不负责任的信口胡言。 发展前景SSL VPN的出现,使得原来基于IP安全的IPSec VPN厂商不得不重新思考它们的产品方略。我们知道基于IP安全协议的IPSec VPN已经占领了很大一部分市场,成为VPN市场的主流。但是随着SSL VPN技术的出现,基于IP协议的IPSec VPN正经受着一场前所未有的考验。但是不是SSL VPN会取代现有的IPSec VPN成为主流呢? 虽然SSL VPN有许多相对IPSec VPN的优点,但这些对于主流应用VPN的客户--大、中型企业来说这些优点就显得不是很重要了。 据有关网络安全专家认为这就目前的SSL VPN技术来讲是不可能的。主要体现在目前的SSL VPN应用非常有限,仅适用于基于Web的应用。SSL的支持者认为,当企业工作人员需要远程访问Web应用如电子邮件或者接入企业内网的时(因为SSL可以绕过防火墙和代理服务器)才应用,SSL只不过是一种更低廉而且更容易部署的选择而已。况且目前,传统的IPSec VPN厂商为了满足这部分用户的需求,正在匆忙地为其产品增加SSL性能,这样只能单独提供SSL性能的VPN产品就可能大受冷落了。 市场研究家们预计在今后几年中,SSL VPN设备的全球销售将会出现持续增长,但同时也表明IPSec VPN设备不会因SSL VPN设备的增长而受到大的影响,相反也会技术快速增长,因为整个VPN市场将在近几来得到极快的增长。Infonetics研究公司预测,SSL VPN市场将会从2002年的5600万美元增长到2005年的8.4亿美元。IPSec VPN设备也将从2002年的15亿美元增长到2005年的25亿美元。 随着基于Web的应用越来越多,以及远程接入需求的增长,SSL可能会成为一个热门市场,成为传统IPSec VPN设备厂商需要考虑的一个发展方向。 Check Point公司就曾于去年7月发布过一款SSL VPN产品,它认为SSL对于需要通过Extranet与业务合作伙伴交换数据但又不想安装VPN客户端的企业来说非常理想。其他IPSec VPN厂商像北电网络和SonicWall都持此观点。北电网络于去年9月发布了Alteon SSL设备;SonicWall则在两年以前收购Phobos的时候就开始提供SSL产品了。 其他IPSec VPN支持者,如赛门铁克,正在计划如何将SSL安全技术集成进它的产品中。另外一些小厂商,如Aspelle、Air Gap、Aventail、Neoteris和Whale等通信公司都已经意识到SSL VPN市场需求增长。 有些企业客户认为需要同时拥有SSL和IPSec VPN。他们想为部分数量有限的员工提供IPSec VPN连接(如采用Cisco的VPN设备),因为他们需要访问企业的生产系统和其他非Web应用。但同时,也为大多数员工提供SSL VPN(如使用Whale的e-Gap远程接入产品)的远程接入,可供其接入Intranet和电子邮箱。 Whale公司的SSL产品只需运行在该企业数据中心的一台服务器上。利用这种无客户端接入方式,企业就能够提供安全的连接,而不需要改写上万台最终用户设备上的程序。 如目前纽约的德勤咨询公司就在混合使用SSL和IPSec VPN。该公司的大多数员工都可以通过SSL VPN(Aventail产品)接入企业网络,少数员工则通过IPSec VPN(北电网络产品)接入,因为这些员工需要访问运行在该企业4个数据中心中的应用。 德勤的CIO Larry Quinlan就很喜欢SSL VPN,因为它具有可穿越防火墙而不必重新配置防火墙的性能。他说,“这很重要,因为安全部门不必着急去重新配置防火墙了。” Quinlan认为,SSL的缺陷在于只能访问Web应用。但IPSec也有其缺陷,因为它不容易穿越防火墙,所以当移动工作人员需要在旅店或分支办公地点接入企业网时就难以实现。 因为SSL只能用于Web应用,让一些用户有所退避。芝加哥的一家个人服务公司Divine就主要采用了NetScreen公司的IPSec VPN,因为它的很多远程工作人员都是咨询师,需要访问企业众多的应用程序,不可能只限定在Web应用上。 Divine的网络服务部经理Chuck Horvat说,他们还没有发现需要使用SSL VPN的理由。不过,该公司也有一个Web应用前端和内置的SSL加密。远程工作人员通过身份认证和口令可获得访问公司邮箱和目录的权限。 Horvat说,“对我们来说,拥有IPSec VPN管道是最好的,因为我们的人有很多应用需要访问。他们可以通过SSL获得电子邮件,但大多数人需要的应用都不是电子邮件。虽然有另外一种选择是很不错,但每个人的需求是非常不同的。” 所以,虽然目前有很多人都认为SSL VPN将会取代IPSec VPN,但大多数工业观察家却认为这两种VPN将会共存,因为两者的市场空间都不小,而且可以相互补充。 从以上的分析我们可以看到SSL VPN在未来几年中的发展前景,但是更多的专家们认为,目前处于竞争的IPSec VPN与SSL VPN将很快走向结合。因为它们都有各自的优点,而且各自的缺点又不是能通过自身的技术可以克服的。 相关技术阅读安全、易用的“超级连接VPN”硬件客户端深圳市畅通伟业科技有限公司的KDT-HLink(超级连接)网络软件产品作为VPN产品的市场缔造者之一。在2005年春暖花开的季节里,KDT-HLink产品又研发出新成果。自3月份,硬件客户端产品发布以来,已经得到了多家企业的认可与好评。 "超级连接VPN"硬件客户端有别于同类产品,无需安装软件客户端,进行相关配置。"超级连接VPN"硬件客户端真正实现了即插即用的效果,它集成了软件客户端所有功能及相关配置信息,用户只需在PC机的USB接口插入KDT-HLink硬件客户端,即可点击直接连入总部。 安全性 硬件客户端可以更安全地与系统隔离; 帐户信息是写在硬件客户端里的,所以很难被别人查看到; 可以由系统管理员统一配置后交给最终用户使用,所以,对于最终用户来说甚至都不需要知道帐号信息,更加安全; 使用硬件客户端,保正数据号的唯一性,如果有人尝试将信息复用,则会出现硬件信息检验不合法,从而无法使用; 易操作性 硬件客户端是将客户端所有功能集成在一块硬件设备中,当插入硬件客户端后,即可以使用; 不要求使用用户是电脑高手, 只要懂得基本电脑知识就可以"即插即用",非常方便; 所有信息和程序放在硬件客户端中,用户使用时无须再安装; 不用担心重装系统或系统出问题后数据丢失; 由于有硬件保护,所以别人无法进行数据复用; 如果硬件盘丢失,只要修改一下密码即可; KDT-HLink硬件客户端的真正实现了安全性、易操作性,从根本上解决了企业尤其是大型企业在VPN项目上多分支,多移动的安装实施问题,简化了配置工作,为最先进技术普及到最基本的操作者打下良好的基础。 中国农业生产资料成功应用VNP远程互联做为国内领先的VPN产品供应商畅通伟业的"超级连接VPN"再次为用友U8客户搭建了远程互连的平台,以极高的性价比获得了客户的肯定。 中国农业生产资料集团公司是中华全国供销合作总社直属的全国性集生产流通于一体的专业经营化肥、农药、农膜等农业生产资料的大型企业,注册资金2.33亿元,总资产120亿元人民币、机构网络和业务覆盖全国。集团公司拥有7个全资子公司、16个有限责任公司,在国内拥有21家复合肥、尿素生产企业。在全国主要港口、大型化肥生产企业设有37个办事机构或分公司,有15个大型仓库,5条铁路专用线、2座万吨码头,公司现有员工2000多人。 中国农业生产资料公司广州公司采用用友的U8系统来管理自己的财务报表和数据,公司在广东省内的不同地区分别有4个分公司,为了及时的将各分公司的数据及时的统一管理到总公司,中国农业生产资料一直采用的是专线接入的方式将各地分公司的数据及时汇总到总部U8的数据库,但是专线每年的租用成本都比较高,为此中国农业生产资料公司广州公司一直在寻找一种性价比高的替代专线的解决方案。 了解到畅通伟业的"超级连接VPN"已成功的解决了很多用友U8客户远程互连的问题,中国农业生产资料公司广州公司对"超级连接VPN"产品进行测试,畅通伟业凭借优质的产品和丰富的实施经验,在速度、稳定性上面都完全符合客户的要求,无需改变原有的U8远程操作方式,同时极大的降低了以往专线投入的成本,真正的达到了"虚拟的网络,专线的效果!" "超级连接VPN"已成功的解决了众多客户各种应用系统远程互连的问题,并且在各种应用软件的远程互连有着丰富的实施经验,在产品和服务上面得到了客户的一致好评,在企业信息化如火如荼发展的今天和未来,深圳市畅通伟业科技有限公司希望超级连接VPN产品为每个公司的高效互连和低成本运作提供一个最好的平台! |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。