如何使用你的SSL VPN?

ZDNet 安全频道频道 更新时间:2008-06-14 作者: 来源:SohuIT

本文关键词:VPN ssl协议 使用权限

  几年前,如果想把局域网扩展到组织机房以外的区域,拨号/专线几乎是唯一的选择。随着技术不断的改进,组织经历了Modem拨号、DDN、Frame Relay(帧中继)、ATM和SDH的不断演变,但专线的成本高昂和缺乏弹性的特点从未得到彻底改变。Internet的发展给我们带来了虚拟专用网络(VPN),通过利用无所不在的互联网,VPN把经济性和部署弹性发挥到了更高的水准,成为了取代专线的首选方案。



  在TCP的网络层,IPSec协议通过预共享密钥和高强度加密算法实现了局域网的安全互联,让组织的分支机构融合到了总部的局域网,分支机构可以根据其网络规模和使用人数选择和总部连接的方式,硬件VPN网关,或是VPN客户端,前者部署在分支机构的局域网,后者直接安装在使用者的PC操作系统上。



  然而,组织的成员不会永远安坐在办公室,当他们“移动”起来时,例如回到家中、参加会议、出差考察,环境的频繁变化让IPSec难以应对。组织的外界环境迅速膨胀,合作伙伴、股东、审计部门、供应商、经销商都被纳入了组织的网络外延,他们需要接入到组织的内网,以访问他们所关心的应用资源和数据报表。IPSec的部署问题会让企业的网络人员成为合作伙伴 “公用”的网管。IPSec客户端不停的安装、调试和维护将会成为网管人员生活中不可或缺的一部分,无论你是在工作时间还是8小时之外。问题还远没有结束,基于IPSec是网络层协议的前提,当远程设备从Internet接入后将被虚拟成局域网内的一台PC,也就是获得了局域网的所有使用权限。这是相当危险和难以控制的。如果这台接入的设备携带了病毒、蠕虫,局域网也会很快地受到感染,使网络人员精心构建的安全城墙在一瞬间灰飞烟灭。



  SSL(安全套接层)VPN被视为IPSec VPN的互补性技术,在实现移动办公和远程接入时,SSL VPN更可以作为IPSec VPN的取代性方案。SSL协议由网景公司提出,是一种基于WEB应用的安全协议,包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和数据保密性。所有标准的WEB浏览器均已内建了SSL协议。采用SSL协议的设备并不等同于SSL VPN,除非它利用SSL协议实现对WEB及各种使用静态或动态端口的服务做支持。我们举个例子,看看SSL VPN是如何在组织中应用的。



  A是一家大型的国际集团,拥有3家上市子公司、7个研发中心和20余个生产基地,办事处和员工遍布全球。在A集团中心机房的服务器集群中部署了ERP系统、客户关系管理系统(CRM)、邮件系统、办公自动化系统、文件服务器,以及一些定制化的集团应用。集团规模不断扩大,已有50%的人员分布在企业总部以外,而且这一比率还在不断增加。人员在远离总部的同时,他们离中心机房中的各种应用也“越来越远”。集团总部的人员同样也在随时远离总部,在家、在会场、机场、酒店、甚至在亲友家中,他们试图利用各种设备,自己攒的兼容机、公司配备的笔记本、会场酒店提供的主机、自带的PDA、MS CE操作系统的移动电话、甚至是亲属家的电脑,接入到总部的内网。这些人不是IT专家,但业务的不可中断性激发了他们的移动办公需求。

安全频道 VPN 最新报道

安全频道 ssl协议 最新报道

安全频道 使用权限 最新报道

[an error occurred while processing this directive]