SSL VPN 的主要优势和不足说课讲解.docx

SSL VPN 的主要优势和不足说课讲解.docx

《SSL VPN 的主要优势和不足说课讲解.docx》由会员分享，可在线阅读，更多相关《SSL VPN 的主要优势和不足说课讲解.docx（7页珍藏版）》请在冰豆网上搜索。

SSLVPN的主要优势和不足说课讲解

SSLVPN的主要优势和不足

SSLVPN的主要优势和不足

SSLVPN的简介

随着应用程序从C/S（客户端/服务器）结构想B/S（浏览器/服务器）结构的WEB应用方式的转变，企业必须面对一个新的挑战，就是如何在不影响最终用户使用的前提下，实现在任何地方灵活地远程访问这些应用程序。

而SSLVPN则是一个非常好的选择方案，这也是当前TLS/SSL的另一个最典型的应用。

目前提供SSLVPN的软、硬件解决方案相当多，特别是在硬件设备方面，主要是基于SSLVPN网管设备。

当前国内市场上，主要的SSLVPN网关品牌有junipernetscreen、天融信、联想、深信服、侠诺等。

SSLVPN网络结构和主要应用

SSLVPN其实就是SSL和VPN这两种协议的一种应用结合，就像IPSec与VPN结合后形成IPSecVPN一样。

当然主体仍然是VPN，SSL是用来保护VPN连接的。

因为我们知道，SSL具有数据加密、身份认证、数据完整性检查等安全功能。

SSLVPN的典型网络结构

SSLVPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器（实际上称之为SSLVPN网关）。

如果用户希望安全地连接到公司网络上，那么当用户在浏览器上输入一个URL后，连接将被SSL代理服务器取得，并验证改用户的身份，然后SSL代理服务器将提过一个远程用户域各种不同的应用服务器之间连接。

SSLVPN网关的作用就是代理Web页面。

它将来自远端浏览器的页面请求（采用HTTPS协议）转发给Web服务器，然后将服务器的响应回传给终端用户。

对于非Web页面的文件访问，往往要借助于应用转换。

SSLVPN网关与企业网内部的微软CIFS或FTP服务器通信，将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端，终端用户感觉这些服务器就是一些基于Web的应用。

但有的产品所能支持的应用转换器和代理数量非常少，有的则很好地支持了FTP、网络文件系统和微软文件服务器的应用转换。

而有一些应用（如微软的Outlook或MSN），它们的外观会在转化为基于Web界面的过程中丢失，此事就要用户到端口转发技术。

端口转发用于端口定义明确的应用，他需要在终端系统上运行一个非常小的Java或ActiceX程序作为端口转发器，坚挺某个端口上的连接。

当数据包进入这个端口时，它们通过SSL连接中的隧道被传说送到SSLVPN网关，SSLVPN网关解开封装的数据包，将它们转发给目的应用服务器。

使用端口转发器，需要终端用户指向他希望运行的本地应用程序，而不必指向真正的应用服务器。

一些SSLVPN网关还可以帮助企业实现网络扩展。

它将终端用户系统连接到企业网上，并根据网络层信息（如目的IP地址和端口号）进行接入控制。

虽然牺牲了高级别的安全性，单确实复杂拓扑结构下的网络管理变得简单。

SSLVPN的主要应用

SSLVPN可以为企业提供多种远程访问的服务，主要包括下面的3种。

1）Web应用远程访问控制

因为SSL本来就是B/S结构的，它主要就是针对Web安全应用而开发的。

所以，Web应用远程访问控制是SSLVPN的主要功能。

在Web应用方面，除了常见的Web服务器访问外，还可以进行像Web方式的电子邮件访问和基于FTTP协议的FTP服务器访问等。

对于企业来说，电子邮件通信是一个很基本的功能。

IPSecVPN可以保护邮件系统的安全，但对于IPSecVPN需要在客户端安装支持IPSec协议的客户端软件，并且连接企业网络，然后才能使用内部的邮件系统。

如果员工使用他人的电脑设备或者在其他的网络中时，就会面临对方防火墙的地址转换和安全策略带来的障碍，导致无法连接企业网络，从而无法使用内部邮件系统。

SSLVPN提供了一个比较好的方案，员工使用任何一个带有浏览器的电脑就可以访问基于Web的电子邮件系统，通过SSLVPN建立的安全通道手法邮件。

SSLVPN还会把企业内部所有的域名和服务器地址隐藏起来，以提高企业网络的安全性。

2）内部网络访问

即使不在办公室，企业员工也需要使用内部网中的一些文件资源，但是一般情况下企业不会开放整个内部网络以实现文件访问。

SSLVPN可以让企业员工在任何地方，使用任何一个包含浏览器、连接到Internet的接入设备，以实现对内部特定资源的访问。

3）网络资源访问保护

为了提高工作效率和加强合作，企业通常会对合作伙伴开放内部站点和网络资源。

考虑到企业信息的保密性，如何能保证只有指定的合作伙伴才能访问相应的资源，以及保证信息在网络上传递时不被截获，就成了企业必须解决的问题。

IPSecVPN在部署时无法保证对最终用户的访问限制，即只允许访问合作伙伴访问内部网络中的制定资源，而且部署IPSecVPN会要求更改合作伙伴防火墙的安全策略，因此这是很难实现的。

SSLVPN则完全不存在上述问题，企业甚至可以限制某一个合作伙伴只能访问站点中的某些页面和文件夹，并且不需要修改合作伙伴的安全策略，只要合作伙伴能够访问Internet即可。

其他服务还有：

通用C/S应用远程访问控制，远程网络邻居功能（文件共享/传输等），特定C/S应用远程访问控制（终端服务实现）和远程桌面控制，UDP、ICMP协议应用远程控制等，这些在VPN网关设备上已提供。

SSLVPN的主要优势

从概念上来说，SSLVPN就是指采用了SSL协议，来实现远程接入的一种新型VPN技术。

在此之前，VPN接入技术中，早就有项PPTVVPN、L2TPBPN、IPSec/L2TPVPN（简称IPSecVPN）等多种接入方式。

我们知道，IPSecVPN也是一种VPN方案，那么SSLVPN与IPSecVPN相比又有什么特点和优势呢？

尽管IPSecVPN可以同时实现点到端（或点到站点）和端到端（或站点到站点）的VPN接入，但实际仍主要是应用在站点到站点的VPN接入中，在电到站点的远程访问VPN接入中，存在较多安全隐患。

现在大家都普遍认为，SSLVPN是IPSecVPN的互补技术，在实现移动办公和远程接入时，SSLVPN更可以作为IPSecVPN的取代性方案。

同时，它又对现有SSL应用是一个补充，它增加了公司执行访问控制和安全的级别和能力。

SSLVPN厂商进程强调的SSLVPN的优势，主要包括依稀几个方面。

1）更容易部署、管理成本低

部署IPSecVPN需要对基础设施进行重大改造，不仅在服务器端，在客户端也需要安装和配置相关软件。

而且，IPSecVPN对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件。

另外，IPSec安全协议方案需要大量的IT技术支持，包括在运行和长期维护两个方面，管理成本很高。

在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。

而SSLVPN避开了部署及管理必要客户端软件的复杂性和人力需求，具有“零客户端配置”的特性，特别适合于远程用户连接。

在SSLVPN中，客户端基本上不用灵位安装任何软件，可直接通过任何Web浏览器访问企业网的Web应用。

目前几乎所有的操作系统都带有浏览器软件，其内置的SSL协议软件能提供足够的支持。

虽然SSLVPN在某些应用（比如安全通道等服务）中，也必须下载客户端软件，但由于SSLVPN会自动下载、自动安装、自动配置完成，且在用户退出时，会自动删除。

因此我们还是可以说SSLVPN是零客户端配置的。

2）更安全

在通路本身的安全性上，IPSecVPN还是非常安全的，比如在公网中建立的通道，很难被人篡改。

说其不安全，是从另一方面考虑的，就是在安全的通路两端，仍存在很多不安全的因素。

传统的IPSec解决方案都没有很好地解决移动用户接入到私有网络的安全控制问题，这样就为病毒传播和黑客入侵提供了很多可能的途径。

如果仅仅在受控的PC上（比如员工办公电脑上使用IPSec客户端），则可以通过部署统一的安全策略来解决改问题，但是如果要让合作伙伴或者客户的电脑接入，就难以控制了。

而SSL安全通道是在客户到所访问的资源之间建立的，确保点到点的真正安全。

无论是在内部网络还是在因特网上，数据都不是透明的。

客户对资源的每一次操作都需要经过安全的身份人中和加密。

灵位，SSLVPN是直接与具体的应用系统关联的，并没在网络层上连接，黑客不易侦测出应用系统内部网络设置，同时黑客攻击的也只是VPN服务器，无法攻击到后台的应用服务器，攻击机会相对就减少了。

还有，在SSLVPN中，远程主机与SSLVPN网管之间是直接通过SSL通信端口来作为传输通道的，只要在防火墙上开放所配置的SSL端口（默认是443TCP），就不会因为不同应用系统的需求而修改防火墙上的设定，从而减少IT管理者的困扰。

如果所有后台系统都通过SSLVPN的保护，那么在日常办公中防火墙只开启一个SSL端口就可以了，因此大大增强内部网络受外部黑客攻击的可能性。

3）更好的可扩展性

IPSecVPN在部署时一般放置在网络网关处，因而要考虑网络的拓扑结构，如果增添新的设备，就要改变网络结构，那么IPSecVPN就要重新部署，因此造成IPSecVPN的可扩展性比较差。

而SSLVPN就不同了它一般部署在内网中任一节点处，可以随时根据需要，添加VPN保护的服务器，因此无须影响原有网络结构。

目前国内外的一些名VPN厂商都提供透明模式下的VPN网关，所以无须对用户原有的网络做任何改变，包括主机路由、接入方式等。

4）控制更精细

由于IPSecVPN部署在网络层，因此，内部网络对于通过VPN的使用者来说是透明的，只要是通过了IPSecVPN网关，入侵者就可以在内部为所欲为。

因此，IPSecVPN的目标是建立一个虚拟的IP网，却无法保护内部数据的安全。

所以IPSecVPN又被称为网络安全设备

而SSLVPN具有权限隔离特色，用户远程登录后，只能看到开放给他的资源界面，不同的权限看到的用户界面是不同的。

SSL可以对用户的访问资源进行权限设置，保障资源的安全性。

如侠诺的SSLVPN产品目前提供了网络服务、微软终端服务、远程桌面服务、在线网络邻居、安全隧道等服务。

在网络服务方面，提供了远程接入使用局域网TCP/IP相关服务，主要包括常见的TCP/IP服务，例如Web、SSLWeb、FTP、Telnet、SSH等服务；在微软终端服务方面，提供远程接入使用局域网具有的windows终端服务器应用软件。

注意包括常见的微软终端服务，例如WordExcelPowerPointOutlook或任何可在Windows服务器运作的软件；在远程桌面服务方面，提供了远程接入使用局域网支持RDP或VNC的计算机整改桌面资源；在在线网络邻居方面，提供了远程接入使用局域网Windows网流量计的稳定服务；在安全隧道方面，提供了远程接入使用局域网的所有网络资源，具有和局域网计算机相同的权限。

而且，这些服务开发权限从小到大，用户可以依据不同的群组开放不同的资源。

如勾选用应商需要的ERP终端服务。

供应商在客户端登陆画面时，智慧看到ERP终端服务选项，避免对外开放太多资源，容易被恶意入侵。

当然，还可以自己添加或删除服务资源管理项目。

SSLVPN的不足

SSLVPN也不是十全十美的，它也有一些不足，主要表现在如下几个方面。

1）对C/S结果的应用支持力度不够

由于SSLVPN是B/S结构的，所以对于C/S结果的非Web系统应用，就需要一定的配置和技术支持，在服务器端要进行针对性的配置，在客户端则可能需要安装插件，这带来部署和应用上的不便。

这种配置只能基于已知或流行的应用系统。

2）对移动用户的安全访问仍存在较大风险

由于对应用户具有良好的支持，所以SSLVPN要经受用户从任意地点和设备访问应用系统的考验，并且要承受更大风险。

如用户可能从信息亭或网关上网来访问，这是地点和设备均不受用户控制，也不可预测设备的安全状况。

3）对应用性能影响较大

SSLVPN是应用层加密的，性能比较差，需要使用加速装置。

以上资料摘自《网络工程师必读—网络安全系统设计》

王达编著

电子工业出版社

2009年8月第1次印刷