SSL VPN介绍

SSL VPN

 

SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。

 

一、 SSL VPN的技术演变
演化过程
随着应用程序从C/S 结构向Web 的迁移，企业必须面对一个新的挑战，就是如何在不影响最终用户使用的前提下实现在任何地方灵活访问这些应用程序。在最近20 年间，用户和管理层听到因为安全原因不能够在公司以外访问内部应用程序的声音不绝于耳。在70 年代，人们对远程访问概念几乎等同于从远端的办公地点访问应用程序，这需要设置非常昂贵的WAN 网并租用连接线路。

到了80 年代，一小部分用户可以使用调制解调器直接拨号到modem banks 或他们自己的PC 上，但是使用费用相当高昂只能有非常有限的小部分人使用。而且在那时候，在家使用个人电脑才刚刚成为主流，远程访问需求还不是很大。随着90 年代的来临， 在家用PC 盛行的同时，移动电脑开始显现，在家办公也开始兴起。公司管理者和销售员们开始在外出出差的时候携带他们的笔记本电脑，他们需要实时访问公司内部信息，设立IPSec VPN 可以保护用户远程访问。它可以提供足够的安全性，但是问题是安装和维护相当麻烦。任何在PC 上的改变对VPN 而言可能都是一场灾难，最终用户不得不硬着头皮忍受这些变化，因为他们别无选择。即使是现在，你也很难找到一个用户，他的VPN 一点儿问题也没有。从管理员的角度来讲，使用IPSec VPN 不仅仅意味着要对客户端进行安装和调试，而且还需要调整整个网络的结构。在数据包进行传输时NAT 不能完全工作正常，有时候会出现连接断开的现象，改变防火墙设置可以解决这一问题但是必须要做大量的管理工作。如果IT 管理部门可以完全控制从后端到客户的网络结构，其管理复杂性可以忍受；当IT 管理部门不能完全控制时，管理复杂性就要成倍增加。这种情况同样发生在本地NAT 和防火墙对合作伙伴，在家里或在酒店。

如今， 公司开始把眼光放在他们是否选择了合适的安全远程访问系统上。使用IPSec VPN 和租用WAN 线路对于不经常更改网络结构的用户来说是非常好的选择。如果情况并非如此，用户就需要另做选择。现在，已经有公司开始考虑使用架构在因特网上的SSL 协议，在不破坏已有网络布局的前提下进行安全远程访问。SSL 是通过因特网进行加密传输保护一种常用方法，许多公司对他们的内部网和外部网执行了SSL 设置，通过SSL VPN 进行访问控制。

 

二、SSL VPN 的定义
SSL VPN 的发展对现有SSL 应用是一个补充，它增加了公司执行访问控制和安全的级别和能力。

SSL VPN 还对那些因为使用远程访问应用系统而降低公司安全性的企业有所帮助。从属性上讲，拨号可以保证相对安全性，因为特定的电话线可以确认用户的身份。客户端/服务器和旧版本的VPN 自身也拥有一定级别的安全保障能力，因为客户端软件是需要安装的。但是，以这样的安全策略和属性， 不可否认，黑客入侵、安全威胁、身份欺诈呈增长趋势。现在，使用SSL VPN，安全特性已经发生了改变，人们可以通过浏览器访问应用程序。

如果把SSL 和VPN 两个概念分开，大多数人都清楚他们的含义，但是有多少人知道他们合在一起的意思呢？从学术和商业的角度来讲，因为他们代表的含义有所不同，因而常常会被曲解。

SSL 通过加密方式保护在互联网上传输的数据安全性，它可以自动应用在每一个浏览器上。这里，需要提供一个数字证书给Web 服务器，这个数字证书需要付费购买，相对而言，给应用程序设立SSL 服务是比较容易的。如果应用程序本身不支持SSL， 那么就需要改变一些链接，这只与应用程序有关。对于出现较大信息量的情况，建议给SSL 进行加速以避免流量瓶颈。通常SSL 加速装置为热插拔装置。

VPN 则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。过去，VPN 总是和IPSec 联系在一起，因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层，IPSec VPN 则多用于连接两个网络或点到点之间的连接。

以上我们简要介绍了SSL和VPN，现在我们要了解一下SSL和VPN是怎样结合在一起的？大量理论可以证明SSL的独特性以及VPN所能提供的安全远程访问控制能力。到目前为止，SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器（包括家用机，工作机和客户机等等）需要与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全远程访问的新生代。

 

 三、什么是SSL VPN？

很多因素都可以证明SSL VPN 是解决远程访问问题的救星。随着越来越多的公司挣扎于如何权衡访问控制、安全和用户易用， SSL VPN 已经给出了最好的答案。在最近Infonetics 的一份调查报告中，他们指出： “到2003 年， 59% 的移动用户会使用VPN， 到2005 年，这个数字将上升到74%；增加的部分大多来自SSL VPN， 因为它可以避免客户端安装和管理所带来的麻烦。" Gartner 副总裁John Girard 在最近的一份研究报告中为SSL VPN 做出了精彩评述：” 作为传统VPN 的升级，那些希望使用更加简单更加灵活的方式部署他们的安全远程访问系统的企业应该考虑使用SSL VPN 作为一项新的投资。现在，许多企业已经开始使用这项基于SSL 技术，简单、易用而且不需要高额费用的VPN 解决方案部署他们的系统了。

SSL VPN 的价值包括许多方面，最主要的是提高访问控制能力，安全易用以及高额的投资回报率。

访问控制SSL VPN 对访问控制更加有效，因为实施了用户集中化管理。所有的远程访问都是通过SSL VPN 控制台进行控管，这样可以更加有效的监控用户使用权限，这些用户可能是公司内部员工，合作伙伴或客户。所有访问被限制在应用层，而且可以将权限细分到一个URL 或一个文件。

而使用IPSec VPN， 安全权限只局限到网络。

 

 

从概念角度来说，SSL VPN即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。

一般而言，SSL VPN必须满足最基本的两个要求：
1. 使用SSL 协议进行认证和加密；没有采用SSL 协议的VPN产品自然不能称为SSL VPN，其安全性也需要进一步考证。
2. 直接使用浏览器完成操作，无需安装独立的客户端；即使使用了SSL 协议，但仍然需要分发和安装独立的VPN客户端 (如Open VPN)不能称为SSL VPN，否则就失去了SSL VPN易于部署，免维护的优点了。

随着技术的进步和客户需求的进一步成熟的推动，当前主流市场的SSL VPN和几年前面市的仅支持WEB访问的SSL VPN已经发生很大的变化。主要表现在：
1. 对应用的支持更广泛。
最早期的SSL VPN仅仅支持WEB应用。但目前几乎所有的SSL VPN都支持使用插件的形式、将TCP应用的数据重定向到SSL 隧道中，从而支持绝大部分基于TCP的应用。SSL VPN可以通过判断来自不同平台请求，从而自动安装不同的插件。
2. 对网络的支持更加广泛。
早期的SSL VPN还无法支持服务器和客户端间的双向访问以及UDP应用；更不支持给移动接入用户分配虚拟IP，从而实现按IP区分的安全审计功能。但现在多数优秀的SSL VPN都能通过用户可选的客户端插件形式为终端用户分配虚拟IP，并通过SSL 隧道建立层三（Level 3）隧道，实现与传统IPSEC VPN客户端几乎一样强大的终端网络功能。
3. 对终端的安全性要求更严格。
原来的SSL VPN设计初衷是只要有浏览器就能接入，但随着间谍软件和钓鱼软件的威胁加大，在不安全的终端上接入内部网络，将可能造成重要信息从终端泄漏。因此很多SSL VPN加入了客户端安全检查的功能：通过插件对终端操作系统版本，终端安全软件的部署情况进行检查，来判断其接入的权限。

以上这些不断创新的SSL VPN功能都需要插件支持，因此简单的通过判断是否安装有插件来判断是否是SSL VPN肯定是不正确的；那么又如何有效的选择优秀的SSL VPN产品呢？

1. 考察SSL 的真实性。
有些厂商仅仅将TCP 数据做了简单的封装，或者把IPSEC VPN做些修改，将数据转发到443端口，便宣称自己是SSL VPN。鉴别这种伪SSL VPN，可以使用标准的HTTP流量测试工具如Loadrunner,Web bench,Avalanche等。如果能进行SSL 对接，并进行SSL负载测试的就是真正的SSL VPN。但是普通客户往往没有这个测试条件，因此建议在SSL VPN选型时购买经过第三方评测机构（如网络世界，赛迪评测等）评测过的产品。
2. 考察SSL VPN的可用性。
SSL VPN的部署要支持客户的实际应用和未来的应用扩展。因此需要考虑选购的SSL VPN是否支持所有的B/S应用，C/S应用，甚至基于UDP，ICMP的IP应用，当然支持得越多越好。SSL VPN要支持各种网络环境，因此要对SSL VPN的穿透性进行考察，检查SSL VPN是否可以在NAT环境，Web代理环境，Socket代理环境下都能工作正常。SSL VPN最好能适应中国的各种跨运营商环境，如果在全国大范围内部署SSL VPN，则需要考察SSL VPN是否支持多ISP链路，是否支持选择最快接入线路的功能。
3. 考察SSL VPN的易用性。
易用性的考察主要依赖于用户体验。除了考察管理员是否易于操作和掌握SSL VPN网关的使用，很重要的需要考察SSL VPN的终端是否易于使用和维护。在登录SSL VPN之前，终端不应该安装独立的客户端。SSL VPN的插件应该做到自动安装自动修复。用户登录SSL VPN不需要培训和指导就能进入应用。对于大规模的SSL VPN用户部署，应该要支持对统一用户认证数据的无缝支持，如域认证，Radius认证，目录服务认证等，这样可以避免在SSL VPN上维护大量用户。
4. 考察SSL VPN的安全性。
如果是真实的SSL VPN，其安全性在很大程度上得到了SSL 协议的保证。更多的安全性主要体现在对多种认证的支持，除了通用的X509,PKI,Radius等认证外，最好能够提供更安全的USB KEY，动态令牌，一次性短信口令等较难复制盗用的认证方法。还有就是终端安全，主要包括对终端的Cookie清除，客户端安全检查等。
5. 考察SSL VPN的性能。
SSL VPN的性能一定要满足用户目前的用户容量和未来几年内的用户扩展要求。SSL VPN最主要的性能指标是并发用户数和加密吞吐量。往往采购的SSL VPN的并发用户授权可以远小于真实的使用用户数量，因为大部分情况下，不是所有的用户都同时在使用SSL VPN的，一般而言，需要购买的授权数为实际使用用户1/4-1/3即可。因此，选购SSL VPN并非用户容量越多越好，因为大容量也意味着高价格，不要过于追求性能造成浪费。但也不能过于追求价格而忽视了未来的扩展。比如现在只有几十个并发用户，就暂时购买了最大容量才二十几个用户的设备。但是，一年后业务发展了，就不得不再更换设备，结果还是造成了浪费。
6. 考察SSL VPN的性价比。
一般而言，同等价格获得越多的功能和性能，则性价比越高。但获得的更多功能和性能都应该是用户目前或未来1-2年内能够使用得到的，否则就无法体现其价值。另外，单一的SSL VPN无法解决所有互联需求和安全需求，比如SSL VPN就不能解决网对网的互联问题。因此需要多种安全和互联需求的用户，如果能在同等价格下，购买集成SSL ,IPSEC VPN和防火墙的一体化设备，将更加划算。