SSL VPN简介
网络安全发展至今已近半个世纪。尤其自上世纪九十年代,网络安全以及VPN技术得到了迅猛地发展。防火墙的性能和功能越来越强,越来越智能化;各种类型的VPN产品也日趋完善。然而, 我们今天的网络却越来越不安全。VPN虽然在某种程度上缓解了企业、政务对网络日益增高的需求,但传统的VPN存在着许多弊病,已经严重地影响了企业网络化和政务电子化的进程。
SSL VPN是近年来新兴的一种应用级VPN,是目前解决远程用户访问最简单最安全的VPN技术。它正成为企业应用、无线接入、Web服务安全远程管理的关键产品。
与复杂的IPSec VPN相比,SSL VPN 采用的是无客户端技术。任何安装浏览器的机器都可以使用SSL VPN,它不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机,工作机和客户机等等)需要与公司内网相连接的用户至关重要。
SSL VPN提供智能的安全管理功能。与传统VPN不同,SSL VPN提供安全、可代理连接,只有经认证的用户才能对资源进行访问。SSL VPN是应用级VPN,能对加密隧道进行细分,从而使得终端用户能够同时接入Internet和访问内部企业网资源。另外,SSL VPN还能细化接入控制功能,易于将不同访问权限赋予不同用户,实现伸缩性访问。这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。
SSL VPN能遍历所有类型防火墙。不受接入位置和网络设备限制。IPSec VPN在稍复杂的网络结构中难于实现,因为它很难实现防火墙和NAT穿透,无力解决IP地址冲突。随着远程接入需求的不断增长,远程接入IPSec VPN在访问控制方面受到极大挑战,而且管理和运行支撑成本较高,它是实现站点对站点连接的最佳解决方案,但要实现任意位置的远程安全接入,SSL VPN要理想得多。
随着互联网日益渗透到人们生活的每个角落,企业对网络的依赖日益加深,面对层出不穷的各种网络安全威胁,如何提供安全可靠、低成本、高可用性的远程访问服务直接关系到企业运作的经济效益,各种VPN由此应运而生。勿庸置疑,每种VPN技术都有其特有的优势。SSL VPN只是其中的一种。但因为其所依赖的安全协议:SSL是无所不在(任何浏览器都支持SSL)的,各浏览器支持的SSL高度互相兼容,而且更为重要的是SSL可生存于任何网络环境,穿透任何防火墙,这种无所不在,无所不兼容,无所不达的特性为任何其他安全协议所不具备。也正是这三大特性奠定了SSL VPN为今后VPN的主导产品之一。
SSL VPN从它的问世,已有十年左右。从早期主要以Web应用远程访问为主的应用代理发展到今天完全可以取代传统VPN,有了长足的发展。但纵观网络发展的趋势,网络经济对其网络行为的安全性的依赖日益加深,SSL VPN的发展仅仅开启了它的冰山一角。
SSL VPN系统功能
安达通SSL VPN不需配置任何客户端,用户可以从任何地点安全地访问公司内网的资源。借助于SSL协议本身的优势,SJW74-SSL的远程VPN接入访问不受制于任何网络环境。
安达通SSL VPN提供多个访问模式,以增加远程访问的可控性:
Web模式
Web应用远程安全访问实际上是SSL VPN区别于IPSec VPN特有的一个安全访问模式。在此模式下,SSL VPN只对移动用户开放某些Web应用,而内网其他资源都不能访问。物理上对根本铲除不安全隐患。该安全模式的特点是:
◇ 可以访问任何基于Web的应用
◇ 支持应用服务代理,如:email服务、WEB服务、文件系统服务、FTP服务、Telnet服务等安全代理
◇ 访问控制可精确到具体网页
◇ 无客户端,使用方便
在此访问模式下, SSL VPN只开放指定的公司内网的某些Web应用服务, 诸如公司的Intranet, WiKi, CVS, ERP,Email等等。移动用户在该模式下看不到公司内网的任何其他资源。为远程访问最安全的模式
。
传统应用模式
这是SSL VPN区别于IPSec VPN的另一安全访问模式。此模式专为远程访问非Web应用而设计,弥补了Web模式只能访问Web服务的限制。是对Web模式的扩充。系统管理员可以灵活地将公司内网的某些应用代理到SSL VPN上。例如某工程师的开发机上的FTP服务,某服务器上的某个SAP应用等等。通过安达通SSL VPN 的访问控制模块,系统管理员控制哪个移动用户被限定可以访问哪些应用,与Web安全模式类似,该访问模式只开放部分应用。公司内网的任何其他资源对移动用户都不可达。
如果移动用户要访问的不是Web服务,而是一些传统的C/S服务,,诸如telnet,ftp,,财务软件及其他应用,远程访问可以使用该模式。系统管理员指定哪个用户可以访问哪些应用。在该模式下,移动用户只能看到开放给该用户的应用。用户看不到公司内网的其他任何资源。
隧道模式
大部分的SSL VPN都只支持Web模式,部分支持传统应用模式。虽然这两种模式通过网络隐藏的手段有效地根除了许多安全隐患,但它的代价也是巨大的。安达通SSL VPN 克服了以上模式的局限性。通过隧道模式,移动客户可以象传统的VPN那样,访问公司内网的任何设备。但为了应对由此带来的安全隐患,安达通SSL VPN 在隧道模式之上,通过安全域的概念,更细粒度地控制通过隧道的访问。例如某公司可以将公司内网划分成 “开发子网”,“人事子网”,“财务子网”等等,并对不同的用户加以访问子网的限制。
如果移动用户需要访问公司内网的某些设备,可以使用该模式,通过建立安全隧道直接连到公司的内网。这与传统VPN非常类似。为进一步保障远程访问的安全性,SSL VPN可将公司内网划分为不同的安全域。系统管理员可以指定哪个用户可以访问哪个安全域。
网络资源安全代理将分布在网络各地的资源统一呈现给用户:
◇ 用户不需知道资源在什么地方,随时随地安全访问
◇ 网络资源缓存加速远程资源的访问
◇ 特别适合行业级VPN需求及有多个分支机构的环境
- 专门的访问控制模块
- 支持多种访问控制模型:本地访问控制,RADIUS, LDAP,Active Directory
- 支持分布式,或集中式访问控制
- 支持各种粒度的访问控制:
◇基于角色的访问控制
◇基于组的访问控制
- 证书管理
◇内置的证书管理模块
◇证书发放
◇证书撤销
◇证书查询
- 应用级的访问审计
- 设备配置审计
- 访问操作以及内容审计
- 回放功能
- 支持多种应用, 包括:telnet,FTP,SSH,Web,SNMP,SMTP,等等
- 通过WEB接口浏览目录、下载和上传文件
- 通过标准浏览器安全接入内部文件系统
◇ 所有文件传输采用SSL加密
◇ 所有文件接入需要认证
◇ 文件服务器访问权限增强
◇ 增强额外接入控制
- UNIX (NFS) 文件
- Windows (SMB/CIFS) 文件
- 用户只需要登录一次,SSL VPN将根据其所使用的应用, 自动为用户登录.
- 支持多种应用:telnet,SSH,HTTP,SMTP等等。
SSL VPN组网
在旁路代理方式中,从Internet需要访问内部应用服务器的数据通过企业防火墙直接到达SJW74-SSL VPN,经过SJW74-SSL VPN对用户进行认证、授权之后,应用数据将在SSL的保护下在Internet上传输,SJW74-SSL VPN解密得到应用数据并通过内部网络转发给应用服务器,应用服务器对客户端的应答则按照相反的顺序到达客户端。
这种部署方式的好处是用户不需要改变任何的网络配置,只需要为SJW74-SSL VPN分配两个IP地址分别连接内部网络和企业网关路由器/防火墙即可,这种部署方式不会中断企业服务。这种部署方式也不需要改变应用服务器的路由设置。
下图为SSL VPN系统的“旁路代理”部署示意图:
“在线转发方式需要将SJW74-SSL VPN串接在企业应用服务器组同企业网关路由器/防火墙之间,这种部署方式的好处是SJW74-SSL VPN完全接管从Internet访问企业内部网络的数据,可以避免因为防火墙上策略配置的失误导致Internet访问直接到达应用服务器的问题。但是这种方式在部署SJW74-SSL VPN的时候需要中断应用服务对Internet用户提供的服务。
下图为SSL VPN系统的“在线转发”部署示意图:
SSL VPN优势
高性能的TCP/IP协议栈
数据包的零拷贝技术
SSL协议的内核实现
内核级别的代理转发
隧道模式VPN
全自动的安装,卸载
零配置
基于IP/端口/协议的访问控制
支持UDP,动态端口,任何的IP应用
代理模式VPN
全自动的安装,卸载
零配置
拓扑隐藏
应用模式VPN
WEB Forward VPN
文件共享VPN
本地数据库,动态口令,LDAP,AD,Radius…
基于用户,用户组和用户角色的访问控制
基于地址/端口/协议的访问控制
基于应用的访问控制
支持国密办的商密算法
支持USB key
