虚拟专用网 (VPN) 是通过一个互联网建立一个临时的、安全的连接,是一条穿过公用网络到企业网的安全、稳定的通信隧道。 SSL VPN (浏览器协议)与IPSec VPN 相比, SSL VPN 具有部署简单,无客户端,维护成本低,网络适应强。 目前 VPN 产品中主要分 IPSec VPN 和 SSL VPN 两大类, IPSec VPN 是指采用 IPSec 安全技术标准的 VPN 设备,而 SSL VPN 指采用 SSL 协议来加密 IP 数据链路实现 远程接入 的一种新型 VPN 技术。 由于 SSL 协议广泛内置于 IE 等各种浏览器中,具体来讲, SSL VPN 与 IPSec VPN 相比有如下 4 大明显的技术优势: (1) SSL VPN 比 IPSec VPN 部署和管理成本更低: IPSec VPN 最大的难点在于客户端需要安装复杂的软件,而且当用户的 VPN 策略稍微有所改变时, VPN 的管理难度将呈几何级数增长。 SSL VPN 则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的 SSL 安全加密协议,安全地访问网络中的信息。 (2) SSL VPN 比 IPSec VPN 更安全 : SSL VPN 只需要开放 443 端口,而 IP Sec VPN 需要根据不同的应用开放不同的端口,而且是等于直接物理访问内部网络,会因为外部接入点的不安全而影响到内网的安全。 (3) SSL VPN 比 IPSec VPN 有更好可扩展性 : IPSec VPN 在部署时一般放置在网络网关处, SSL VPN 一般部署在内网中任一节点处, IPSec VPN 的可扩展性比较差。 (4) SSL VPN 在访问控制方面比 IPSec VPN 有更细粒度 : IPSec VPN 部署在网络层,可以访问整个内部网;而 SSL VPN 则在应用层,可以控制用户访问不同的应用系统和不同的数据,具有更细的控制度。 OA 、 CRM 、 ERP 、 SCM 一般而言, SSL VPN 必须满足最基本的两个要求: (1) 必须使用 SSL 协议进行认证和加密;没有采用 SSL 协议的 VPN 产品自然不能称为 SSL VPN 。而且必须采用 128 位或以上密钥长度加密,否则会由于加密强度不够而形同虚设; (2) 一般来讲,访问 SSL VPN 直接使用浏览器就能登录到内部网管理系统,无需安装独立的客户端。如果采用专用 VPN 客户端软件,则一定要确保使用了 https 方式实现 VPN 访问。 一、应用需求 选择 VPN 是为了支持远程访问内部网络的应用,因此这一点也是最先需要考虑的一点,目前,大多数 SSL VPN 支持我们日常经常会用到的邮件系统、 OA 系统、 CRM/ERP 等等,但并不是所有的应用 SSL VPN 都能够提供支持。因此,在决定使用一款 SSL VPN 前一定要先确定是否能支持你的应用。 二、安全需求 要构建一个安全的 VPN 系统,不仅仅需要传输过程安全,还要提高系统安全性,以下几个方面是缺一不可的: (1) 传输过程安全 传输的过程加密强度是确保内部数据不在传输过程中被黑客盗取的关键因素。传输过程加密强度越高,传输安全性就越有保障。如上所述, 40 位和 56 位加密已经不安全,必须选择支持 128 位加密的 SSL VPN 产品,选择时需要特别注意此点。 (2) 用户身份验证 用户名加密码的验证方式已经非常不安全了,除了用户名和密码外,能提供其他的双因素验证方式的产品更加具有优势,如:客户端证书认证或 OTP 动态密码认证等。 (3) 客户端电脑的安全性: 客户端电脑是否安装了防火墙、防病毒软件等。如果客户端电脑不够安全,比如有木马程序,那么系统依然存在安全隐患。目前部分 SSL VPN 能够提供客户端环境检测,比如检测客户端是否安装了防火墙和防病毒软件。当客户端不符合某个条件时,系统将禁止用户登陆。 (4) 完成访问后,客户端需要清除客户端电脑的缓存 在移动用户完成远程访问后,系统应该提醒用户清除客户端电脑中的各种缓存,否则,如果是共用电脑的话,不法分子可以通过拷贝、复制驻留在客户端电脑中的缓冲区内数据盗取企业机密信息。当然,如果系统支持用户离线后可自动清除用户缓冲区的内容就更好了。 (5) 服务端管理和日志跟踪 SSL VPN 服务器应该提供访问统计和跟踪功能,这样管理员能够根据日志随时掌握系统访问情况。并且能有实时监控功能,对于发现不安全连接应该有能断开其连接的功能。 三、管理需求 SSL VPN 的突出优势之一就在于移动性强、易用性强。但这些特性往往会增加管理难度。因此用户在选购 SSL VPN 时要重点考虑产品的管理性能。产品要做到界面简单,使用方便,灵活、细致地设置访问权限 , 采用基于用户 / 组 / 角色的认证机制,每个文件、网址或应用都可进行单独设置,使访问控制更易于管理。 四、性能需求 由于是集某公司, SSL 加速决定整个网络的吞吐量。如果 SSL 加速跟不上,远程接入就会比实际的 Internet 接入带宽低很多。有的 SSL VPN 产品采用专门的 SSL 加速硬件,从而提高了 VPN 的响应速度。另外,通过数据压缩技术,还对所有的传输数据进行压缩后再进行传输,这样就提高了整个网络的运行效率和实用性。 最后需要强调是:需要单独购买支持浏览器的 SSL 证书,隐患。 |