科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道SSL VPN 技术,“更快更安全”!

SSL VPN 技术,“更快更安全”!

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着信息技术,特别是网络技术的不断进步,网络正在改变着传统的商业模式和人们日常的工作和生活方式。信息技术包罗万象,在此我们仅从SSL VPN的角度来掀开IT技术变革的冰山一角。

作者:黑客基地 来源:黑客基地 2008年7月4日

关键字: SSL VPN VPN 远程接入

  • 评论
  • 分享微博
  • 分享邮件

  随着信息技术,特别是网络技术的不断进步,网络正在改变着传统的商业模式和人们日常的工作和生活方式。信息技术包罗万象,在此我们仅从SSL VPN的角度来掀开IT技术变革的冰山一角。

  SSL VPN主要用于移动用户的远程接入、第三方合作伙伴的接入、内网资源的加密等环境,用户只需要通过浏览器即可建立到应用资源的VPN隧道,那么在这个虚拟的隧道中,SSL VPN都能够支持哪些应用的访问呢?

  而伴随着B/S架构的大行其道,已经有越来越多的软件和应用从C/S架构转换为B/S架构。基于SSL协议构建的SSL VPN对于B/S应用的支持是毋庸置疑的,内网的WWW网站、Web化的Email服务、B/S的ERP等系统、甚至是普通的FTP服务,用户只要通过浏览器建立SSL VPN隧道,即可使用内网的这些应用,就这么简单。而浏览器在哪里?windows、linux、windows mobile pda、Sybain Palm等等,越来越多的智能手机、手持终端等,都能够通过其内置的支持SSL协议的浏览器建立到总部的SSL VPN隧道,实现应用的访问和扩展,这对于常用的IPSec VPN来说是无法想象的。

  而B/S架构的兴起是否会灭亡C/S架构,我们都认为这在可预见的未来是不可能实现的,正如SSL VPN暂时不可能替代IPSec VPN一样;C/S架构不管是从历史发展的延续性还是其独具的一些特点,仍然是当前很多软件和工具的首选架构,如部分税务机关的网上报税系统、Lotus Notes等,对于此类C/S架构软件SSL VPN是否能够支持呢?坦白地说,早期的SSL VPN是无法支持C/S架构软件的,但随着技术的进步,技术实力强的厂商,如Cisco、Juniper、深信服等SSL VPN都能够完美的支持各种C/S架构,呈现给用户方便简单的点到网互联手段。

  B/S、C/S应用SSL VPN都提供了完善的支持,但用户的需求多种多样,各种基于TCP、UDP、ICMP协议的应用都是用户需要使用的,如IT管理人员假日在家,希望通过SSL VPN接入内网后能够通过ping命令检测内网设备的状态,SSL VPN还能够支持吗?就如同古人畅想的嫦娥奔月,如今嫦娥一号已经梦想成真一样,技术是无止境的。国内外优秀的SSL VPN解决方案已经能够全面支持各种基于TCP、UDP、ICMP的应用,达到类似IPSec VPN用于远程接入时的效果,SSL VPN真正实现了为远程移动用户架设了“虚拟通道”,将用户纳入内网。

  通过SSL VPN为用户构建“虚拟通道”,除了从技术上能为用户的远程接入提供可能外,还需要在安全性、快速性等多个方面进行保障。

  SSL VPN的安全实际上分为四块:

  1. 传输的安全:采用业界标准的SSL VPN架构体系和实现方式,辅以高强度的加密算法保障数据传输的安全性。

  2. 认证的安全:如果无法区分真假用户,所有的安全保障措施都是空中楼阁;而通过USB-Key、数字证书、动态令牌、短信认证等双因素身份认证技术,则能够强化认证的安全,尤其是通过将用户帐号和接入终端设备的硬件(如CPU、主板、硬盘等硬件信息)特征绑定的技术,将进一步提升认证的安全性。

  3. 权限的安全:领导和普通员工的接入,第三方合作伙伴的接入,都需要严格的权限控制,而SSL VPN天生可以精细到URL级别的权限划分,有效控制了资源的访问行为;用户的所有访问行为日志也需要进行详细记录和方便的查询审计。

  4. 端点安全:接入终端设备如笔记本,本身的不安全因素如病毒、蠕虫怎样抵挡于内网之外?笔记本被黑客远程控制,再随着SSL VPN隧道进入内网怎么办?这些都需要SSL VPN厂商提供一体化的端点安全解决方案。

  快速的访问是所有用户所期盼的,谁会嫌速度太快呢?而我们更多的是感受到传统VPN加密后引入冗余数据导致速度下降,电信网通、大陆到海外等跨运营商、跨国线路的带宽瓶颈,潜在的降低了用户的访问体验。可喜的是,很多SSL VPN厂商都将提高访问速度、提升用户体验作为SSL VPN今后的重要发展方向。拿知名厂商深信服科技的SSL VPN解决方案来说,其提供的多线路复用和智能选路技术,以及数据压缩、重封包、webpush等多种技术,极大的提升了SSL VPN的访问速度,尤其今年还会加入广域网加速的相关技术,将进一步提升访问速度。

  SSL VPN完善的满足了用户的点对网互联需求,但她并不能替代IPSec VPN,对于一个有分支机构和远程办公室的用户来说,总部网和分支网的互联还应该借助IPSec VPN构建,而移动接入和第三方接入则通过SSL VPN则更为合适。

  面对业界众多的SSL VPN产品,我们需要擦亮眼睛,只有遵循标准SSL VPN架构体系,而非仅仅是表象上的通过443端口传输的方案,才能为用户提供安全、高速、可靠的点到网接入解决方案。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章