SSL VPN的选择与建置

　　前言

　　近来远程访问VPN（Remote Access VPN）越来越受重视，探究其原因，不外乎是行动工作者对于企业内部信息存取的需求日益增加。而过去使用调制解调器拨接连至公司的方式则由于设备昂贵、通信费用庞大且浪费，因此除了一些大型企业外，一般鲜少使用。而本文将着重于讨论近日来新兴热门的SSL VPN技术，并先从分析两种VPN的优劣开始，提供读者多方考虑以降低选错产品的风险。而后再从SSL VPN的各种建置方式，提醒读者应注意之方向。

　　远程访问VPN的选择（IPSec vs. SSL）

　　随着宽带网络的普及与虚拟私有网络（VPN）的出现，一般企业也开始建置VPN以供员工或其它厂商进入存取。由于数据保密的需求与信道（tunnel）的建立，IPSec VPN普遍使用于这些VPN上。而此种路由器之间的VPN只需在路由器上加以设定，便可以建立起加密的通道，但是若想要由使用者计算机端与企业内部网络相连，则必须与VPN网关器（VPN Gateway）建立通道，而使用者端则必须安装客户端软件。

　　而安装客户端软件则代表增加复杂度、降低使用的友善度，首先使用者必须取得该软件，并且必须正确设定此软件，还须承担影响计算机中既有其它软件运作的风险。其次，网管人员也因安装VPN客户端软件后，接踵而来的维护工作而增加负担。另外，如果使用者在外使用的不是自己的计算机，导致无法安装客户端软件时，则形同英雄无用武之地，这也是IPSec VPN远程访问一直无法广泛被使用的原因。

　　而堪称VPN当红炸子鸡的SSL VPN即可解决上述的问题。SSL VPN运用浏览器与VPN网关器建立SSL联机，使数据既可以保密，同时企业内部网络也可经由此信道存取。最重要的是，由于它是透过使用每部计算机都有的浏览器，因此使用者可以在任何地方任何计算机存取企业内部资源。

　　当然相对的，SSL VPN也有它的缺点。由于它不像IPSec VPN在网络层上加密运作，而是在应用程序层上运作，首先效能就无法跟上IPSec VPN（目前尚无SSL VPN的硬件式加速设备）。其次，由于SSL VPN根基于浏览器，因此一些非Web-based的应用程序便必须经过测试与设定才能存取。另外使用者可以存取的应用程序必须是网络管理者事先定义好的（网管者无可避免的负担！），无法像IPSec VPN一样只要连接上网所有IP-based的应用程序都可使用、存取。而目前市面上的SSL VPN产品多能存取Outlook、Notes、Exchange、Citrix、MicrosoftTerminal Service等常用软件，telnet、ftp等也多有支持。

　　SSL VPN的建设

　　当网管人员选择一项网络产品时，必须考虑产品与整体架构的三个方向：安全性（Security）、扩充性（Scalability）、稳定性（Availability）。以下即针对此三点分别提出在建置时可采用的选项，以及须注意的地方：

　　安全性 Security

　　在安全性方面，目前大部分的产品都支持各种不同的认证方式，包括数字凭证（digital certificate）、LDAP、Microsoft AD、OTP（One-Time Password）、RADIUS等等。并且可以依据使用者的等级规范出允许存许的范围，限制的范围甚至可以小到URL，也可依据使用时间、远程使用者的IP地址来加以限制。另外，由于SSL VPN具备可在任何地方、任何计算机联机的好处，也相对增加黑客、病毒、网虫利用远程平台入侵内部网络的可能性，因此存取控制将是管理者一大课题。当然，也可利用产品的某些功能来减轻这类的工作，例如，某些厂商宣称可以在认证过后将agent软件推入使用者端，监视是否有执行个人防火墙或防毒软件，如果没有则限制使用SSL VPN。

　　而保护内部网络资源的机制则可有多种的选择以下简介三种方式，第一可选择使用与防火墙等网络安全设备分离、平行的方式（如图一）。这种分离式的布建机制可以降低各种设备设定的复杂度，并且由于SSL VPN设定允许使用者存取的网络资源的方式属正向表列，安全顾虑也不大。

　　第二，也可将SSL VPN网关器放在防火墙的DMZ区（如图二），让使用者透过防火墙进入DMZ区连入SSL VPN网关器，再进入内部网络存取网络资源。这种方法会增加防火墙设定的复杂度，在侦错时也可能要多花些心力，而且在考虑备援时也会增加整体网络设计的困难（将在本文“稳定性”一节讨论），但透过严谨的防火墙存取政策（policy），可以让网络更加安全。

　　第三种方式为将SSL VPN网关器放在防火墙的内部网络区（如图三），这种方法同样的会增加防火墙设定的复杂度，也会增加整体备援网络设计的困难（将在本文“稳定性”一节讨论）。

扩充性 Scalability

　　在扩充性方面，本文先前提到SSL VPN的效能普遍不佳，因此SSL VPN的设备可同时支持的使用人数往往不高。若是要增加SSL VPN的扩充性，可有两种选择：一、购买大型SSL VPN设备以支持更多的联机数，二、购买多台小型SSL VPN设备来作丛集（Clustering）。一般较建议使用后者，因为如此可以兼顾联机的稳定可用性（Availability）。在此即说明若采用后者之两种实际运作的选项：

　　一、设备本身提供的负载平衡（Load Balance）或丛集功能（如图四）。

　　二、使用第四层交换器（Layer4-7 switch）的服务器来作虚拟IP（Virtual IP）的服务器负载平衡（SLB，Server Load Balance）（如图五）。

稳定性 Availability

　　网络设备的稳定性一直是企业或电信网络所严格要求的，因此企业或电信网络通常会使用多部相同设备做到高度稳定的备援机制（HA，High Availability）。同样的SSL VPN设备也可以并且必须做到此功能。

　　SSL VPN网关器的HA，可用产品本身所提供的功能达到。例如，有些产品利用Failover线路侦测另一端设备的运作状况，有些产品则是利用VRRP的方式达到实时备援的效果。但这两种方式都是属于一部设备运行，其它设备备援的方式，也就是所谓的Active-Standby备援。

　　另外一种方式是Active-Active备援，SSL VPN网关器可以利用上一节“扩充性”的丛集（Clustering）达到Active-Active的效果。当然两种各有优缺点，Active-Standby，不需考虑联机负载分配的问题，减低复杂度；而Active-Active则是可以有效利用所有的设备同时运行。

　　不管是Active-Active或Active-Standby，所有相同群组的设备必须能够侦测得到对方。因此，考虑到我们在“安全性”一节所提的三种不同架构，便会有不同的建置方式。

　　如果采用Failover线路，则必须使两部设备相连，因此设备距离无法离开过远。

　　如果使用VRRP备援，那么所有设备必须在同一个网段内，如此才能互相侦测。因此如果多台SSL VPN网关器分接在不同的防火墙下（DMZ区或内部网络区），便需要考虑到IP网段的设计与防火墙存取政策的设定。

　　若使用Active-Active方式备援，则必须考虑多台SSL VPN网关器的联机分配与相互侦测问题。如果SSL VPN网关器分别连接在不同的防火墙之下（DMZ区或内部网络区），便需要考虑防火墙存取政策的设定。

　　结语

　　规划与设计各种网络必须循序渐进，特别是远程访问VPN网络。因此建议读者首先必须认清自己的需求，以建置符合使用与管理需求的VPN网络，另外需说明的是，IPSec VPN与SSL VPN是可以并存使用的，并非一定要二择一。在确立自己的选择后，清楚定义出对于安全性、扩充性、稳定（备援）性的表现方法（Implementation），然后多方比较各厂牌的产品，与咨询经验丰富的厂商，相信一定能够建置出暨安全又便利的使用者远程访问VPN网络。