基于特定目的的Array SSL VPN(1)

　　摘要

　　随着越来越多公司转为采用基于加密套接字协议层(SSL)的个虚拟专用网 (VPN )满足远程接入需求，基于普通目的计算机平台的 SSL VPN 解决方案已经不能满足大中型企业和服务供应商的需求的状况已经非常明显。大中型企业和服务供应商这样的客户对安全性、用户体验、响应时间、吞吐量和扩展性都有很高的要求。同时，他们还希望通过在一个单独的VPN 系统中整合多个访问控制列表 (ACL)来使系统变得更有效率，这些访问控制列表如防火墙、LAN 交换机、无线LAN 设备以及应用安全代理设备等。只有基于特定目的的SSL VPN 平台可以满足这些要求。

　　本白皮书中将会讨论这样一个基于特定目的的SSL VPN 平台-Array Networks SPX-的特性，以及它如何把高性价比的实际利益交付给企业和服务供应商。它的特性包括：

　　更高的安全性，适应性和控制力度

　　更高的性能，效率和用户体验

　　更少的总体拥有成本(TCO)

　　简介

　　现在越来越多的公司转为采用基于SSL协议的的VPN来满足他们远程接入的需求。根据Gartner的研究报告：

　　“截止至2008年，大于三分之二的远程电子办公的雇员、大于四分之三的订约人和大于百分之 九十的临时雇员 (可能0.7)选择SSL VPN作为最主要的远程接入方式。”

　　“SSL VPN最终也将取代目前处理成千上万个简单SSL会话的B2C门户”

　　“增长潜力足以吸引每一个网络工作者，以及支撑一个相当大数量的小规模经营者、刚起步者和投资者。”

　　资料来源：2005年12月8日Gartner发布的John Girard的 《2005年第三季度北美地区SSL VPN魔力象限报告》。

　　随着移动、多样化用户日益增多-包括那些具有多种安全级别的自己的笔记本电脑的非雇员，企业和运营商正在期待一种使得安全应用程序和网络接入成为他们提供给终端用户资源的一部分的方法。

　　一般的SSL VPN可以让用户从多个地点和多种计算机设备安全访问数据和应用程序，同时给用户提供精细的、基于身份的访问控制。但是大部分SSL VPN没有注意实际终端用户体验所需的性能以及大规模统一部署所需的扩展性。

　　普通的SSL VPN是不够的

　　SSL VPN解决方案利用任何浏览器都具有的SSL加密技术加密数据，提供数据传输的私密性和完整性。Gartner提出，与那些基于IPSec协议或专线接入相比，很多公司一般都选择SSL VPN进行远程访问。

　　然而，到现在为止，SSL VPN厂商几乎都无一例外地把焦点集中在SSL VPN无客户端接入及应用接入控制所提供的灵活性和安全性方面。他们在保证SSL VPN解决方案的性能和扩展性能够与Ipsec VPN相媲美甚至超过IPSec工作方面作了很少。

　　现在问题在于大部分SSL VPN解决方案将软件打包在一般的Linux平台上，因此它们不能满足企业客户以下需求：

　　性能和用户体验性能和用户体验- 接近Ipsec VPN的延迟和吞吐量性能，以及可以在不需要部署和管理昂贵性能和用户体验性能和用户体验的第三方解决方案前提下改善终端用户应用程序性能体验。

　　扩展性-在一个独立的硬件平台上扩展到更多的并发用户，同时不必降低性能。

　　安全性-在不影响总体系统性能的情况下不仅可以提供加密技术而且可以提供深度包检测安全性安全性和应用级过滤。

　　统一接入-在不需要改变任何硬件的情况下把远程用户、分支机构用户、有线和无线LAN统一接入统一接入(WLAN)用户整合到一个独立的SSL VPN平台。

　　性能

　　在一般的平台上交付的SSL VPN解决方案在设计和构架方面受到限制，这些限制能够导致增加延迟和减少吞吐量的处理瓶颈。比如SSL批量加密。大部分一般的的SSL VPN解决方案使用一个SSL VPN并发处理器在硬件中交换SSL密钥，但是对于批量加密还是依赖主要的CPU 。批量加密是一种中央处理器密集处理，它让系统的吞吐量付出了沉重的代价，同时也大大增加的延迟时间。

　　应用级吞吐量是另一个重要的因素。随着SSL VPN变得越来越流行，他们被用来处理那些大部分一般SSL VPN平台所不能够处理的负载。因此许多SSL VPN平台已经达到了他们的实际限制，而这个限制要远远低于供应商在支持的并发用户数方面规定的限制。 这就导致了他们无法正常运行或运行情况不佳，最终导致影响终端用户的效率。

　　为了达到一个满意的性能水平，客户经常发现他们必须购买大量一般SSL VPN设备，但是同时它们的运行性能却远远低于所宣称的吞吐量和并发用户方面的性能。由于多次失败，当然就导致成本的增加-在初期资本开支和协同管理方面，并且由于多点存在故障带来可靠性的降低。

　　一些机构遭受如此低的性能导致他们必须购买和维护独立的第三方应用加速解决方案。这样又会导致成本增加和可靠性降低。

　　扩展性

　　为了避免这些成本意味着要寻找具有高扩展性的SSL VPN解决方案。扩展性的高低主要由两个因素决定：最大并发用户数和最大并发SSL连接数。

　　当普通SSL VPN解决方案宣称它们能够扩展到2500个并发用户时，它们实际底线就像上文中提到的一样很有可能远远低于他们所宣称的。然而对于许多的企业和服务供应商而言，2500个并发用户数远远低于他们的需求。

　　一个提供管理SSL VPN服务的服务供应商必须要有在一个独立的系统中扩展到10000个用户和几百个客户的能力。许多的大型企业比如大部分全球前2000的企业都有超多100000个员工也必须有这样的能力。然而并不是所有的员工都需要安全远程接入，而且那些需要的员工也并不是要在同一时间同时登陆，重要的是要记住使用SSL VPN的不仅仅是员工。在许多情况下，许多的定约人、合作伙伴、供应商以及客户必须能够安全访问。由于SSL VPN操作简易、无客户端的特点，大部分专业IT人士更喜欢使用它们满足不同组织和个人的安全访问需求。但是除非SSL VPN解决方案能够扩展到超过每个系统500到1000个用户的限制，对于如此巨大的需要，它在架构构上和经济上是不可行的。

　　另外，每个用户团体，无论它是不同的业务部门、合作伙伴、供应商或客户，具有不同级别的接入权限。普通的SSL VPN解决方案可以为不同的用户组提供细粒度的的基于角色的授权，但他们需要分开的SSL VPN设备为每个用户组提供不同的门户。结果，就造成了在增加很多用户的情况下造成了整体拥有成本的增加。

　　安全

　　普通的SSL VPN平台在性能和可扩展性的缺陷也造成了安全能力上的一些问题。提供适当的安全需要处理器的处理能力，在一个普通的SSL VPN解决方案中，当一个系统中只有五十个用户时可以把安全性设置在客户想要的级别，但是随着用户的增加，性能降低。最终IT经理可能会降低安全性级别直到性能恢复到可以 受的水平。显然这不是最优的策略。

　　普通的SSL VPN设备的另一个问题是它们是在安装在现成的操作系统中，因此它们也会受到与那些操作系统关联的攻击和安全漏洞的影响。大部分一般 目的SSL VPN没有任何先进的安全特性，比如集成防火墙和深度包检测，这就意味着客户必须增加其他的设备完成这些功能，这就增加了复杂性、成本和延迟。另外，普通SSL VPN解决方案只在客户和SSL VPN设备之间提供传输安全，而不在SSL VPN设备和任何其他与之连接的服务器之间提供。这就使得用户可能会有受到内部攻击的危险，而这个危险是所有安全威胁中很重要的一个。

　　实际上，《2005年CSI/FBI 计算机犯罪与安全调查》调查显示，百分之五十六的人表示在过去的12个月中最少有一次攻击是来自他们组织内部。

　　统一接入

　　当一般 目的SSL VPN解决方案允许远程用户访问公司资源，通常情况下他们不会处理其他企业用户的访问要求，例如那些从公司LAN或无线LAN登陆公司网络的用户。那就意味着SSL VPN平台已经成为IT管理员必须管理访问控制列表 (ACL)的另外一个领域，以及在它们LAN和WLAN交换机、防火墙和公司目录下添加存在ACL的地方。保持所有的ACL与现在的信息同步是一个真正的挑战，但同时如果应对不当的话，会产生安全漏洞。

　　即使一般 目的SSL VPN宣称它们支持统一接入，他们有限的能力使得服务器供应商或企业范围内的部署不切实际。