让企业远程服务远程办公更简单,深信服SSL VPN全面解析. 2019-11-20
随着电子商务、企业信息化、教育信息化等信息化进程的推进,整个社会的信息化程度不断提高。在人们的工作、生活中,信息处理变得越来越重要了。而作为信息处理的一种典型模式,企业等各类社会组织的“内部资源处理系统”迅速地发展起来,并逐步成为组织的各种业务的基础设施。在这些内部资源系统的服务器和主机上,配置了大量的业务处理应用软件,存放了越来越多的数据。这些资源(软件和数据)与组织的各种业务紧密相关,已经成为组织的重要财富,在企业的发展中起着重要的作用。在全球化的商业环境中,一个大型的跨国企业可能在全世界都有其子公司或是分支机构,那么如何安全快速的远程访问企业内部资源呢。目前企业内部资源的远程访问只能达到对内部文件的共享。多数的应用也不可能作到本地办公室一样的方便。
随着中国进入WTO和经济全球化的进程,企业为了提高工作效率和竞争能力,远程访问、移动办公已经成了各种社会组织的普遍需要。由于Internet的普及和发展,通过IPSecVPN技术实现大量数据的远程访问为人们提供了一种低运行成本、高生产效率的远程访问方式。但是,IPSecVPN也有不足,它使用十分复杂,必须安装和维护客户端软件。另外,从远程通过IPSec通道连接到企业内部网络可能会增加局域网受到攻击或被病毒感染的可能。SSLVPN(安全套接层虚拟专网)技术的出现刚好解决的这一问题。SSLVPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。这使得部门员工出差时不必再携带自己的笔记本电脑,仅仅通过一台接入了Internet的计算机就能访问企业资源,这为企业提高了效率也带来了方便,同时很好的解决了安全性问题。
SSLVPN原理
如果把SSL和VPN两个概念分开,大家对他们的含义应该都非常清楚,但是作为一种新技术,它们之间是如何结合起来的大家也许还不是很了解。从学术和商业的角度来讲,因为他们代表的含义有所不同,因而常常会被曲解。
SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。
VPN(虚拟专用网)则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。VPN是一项非常实用的技术,它可以扩展企业的内部网络,允许企业的员工、客户以及合作伙伴利用Internet访问企业网,而成本远远低于传统的专线接入。过去,VPN总是和IPSec联系在一起,因为它是VPN加密信息实际用到的协议。IPSec运行于网络层,IPSecVPN则多用于连接两个网络或点到点之间的连接。
所谓的SSLVPN,其实是VPN设备厂商为了与IPsecVPN区别所创造出来的名词,指的是使用者利用浏览器内建的SecureSocketLayer封包处理功能,用浏览器连回公司内部SSLVPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的SSLVPN解决方案可保证企业进行安全的全局访问。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间,SSLVPN克服了IPSecVPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方,设置传统的IPSecVPN非常困难,甚至是不可能的,这是由于必须更改网络地址转换(NAT)和防火墙设置。
通过SSLVPN远程访问企业内部网络的构架
SSLVPN的实现
简单的来讲,SSLVPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。掌握四个关键术语的含义有助于理解SSLVPN是如何实现的。即:代理、应用转换、端口转发和网络扩展。
SSLVPN网关至少要实现一种功能:代理Web页面。它将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器,然后将服务器的响应回传给终端用户。
对于非Web页面的文件访问,往往要借助于应用转换。SSLVPN网关与企业网内部的微软CIFS或FTP服务器通信,将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端,终端用户感觉这些服务器就是一些基于Web的应用。
在进行代理和应用转换时,测试者发现,这些产品之间存在着很大的差别。有的产品所能支持的应用转换器和代理的数量非常少。有的则很好地支持了FTP、网络文件系统和微软文件服务器的应用转换。用户在选择网关时,必须对自己所需要转换的应用有一个很明确的了解,并能够根据它们的重要性给它们排个先后顺序。
而有一些应用,如微软Outlook或MSN,它们的外观会在转化为基于Web界面的过程中丢失。此时要用到端口转发技术。端口转发用于端口定义明确的应用。它需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器,监听某个端口上的连接。当数据包进入这个端口时,它们通过SSL连接中的隧道被传送到SSLVPN网关,SSLVPN网关解开封装的数据包,将它们转发给目的应用服务器。使用端口转发器,需要终端用户指向他希望运行的本地应用程序,而不必指向真正的应用服务器。
一些SSLVPN网关还可以帮助企业实现网络扩展。它将终端用户系统连接到企业网上,并根据网络层信息(如目的IP地址和端口号)进行接入控制。虽然牺牲了高级别的安全性,却也换来了复杂拓扑结构下网络管理简单的好处。
SSLVPN的优势
在最重要的安全性方面,由于SSL协议本身就是一种安全技术,因此SSLVPN就具有防止信息泄漏、拒绝非法访问、保护信息的完整性、防止用户假冒、保证系统的可用性的特点,能够进一步保障访问安全,从而扩充了安全功能设施。首先SSLVPN可以实现128位数据加密,保证数据在传输过程中不被窃取,确保ERP数据传输的安全性。其次,多种认证和授权方式的使用能够只让“正确”的用户访问内部网络,从而保护了企业内部网络的安全性。
在应用性方面,SSLVPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。这样尽管购买软件和硬件的费用不一定低,但是SSLVPN的部署成本却很低。只要安装了SSLVPN,基本上就不需要IT部门的支持了,所以维护成本可以忽略不计。对于那些只需进入企业内部网站或者进行E-mail通信的远程用户来说,SSLVPN显然是一个价廉物美的选择。此外,SSLVPN连接要比IPSecVPN更稳定,这是因为IPSecVPN是网络层连接,故容易中断。除此之外,在管理维护和操作性方面,SSLVPN方案可以做到基于应用的精细控制,基于用户和组赋予不同的应用访问权限,并对相关访问操作进行审计。此外,SSLVPN还提高了平台的灵活性,方便扩展应用和增强性能,尤其是在降低使用成本、最有效地保护用户投资这一敏感话题上,SSLVPN赢得了用户最终的好感。
更值得一提的是,当今Web成为标准平台已势不可挡,越来越多的企业开始将系统移植到Web上。而SSLVPN通过特殊的加密通讯协议,被认为是实现远程安全访问Web应用的最佳手段,能够让用户随时随地甚至在移动中连入企业内网,将给企业带来很高的利益和方便。
无疑,伴随企业信息化程度的加深,远程安全访问、协同工作的需求会日益明显,SSLVPN技术由于拥有全方位的优势,取代传统的组网技术成为主流已为时不远。
SSLVPN的应用
SSLVPN可以为企业提供多种远程访问的服务。就下面常用服务进行介绍:
E-mail:对于企业来说,电子邮件通信是一个很基本的功能。IPSecVPN可以保护邮件系统的安全性,但是IPSecVPN需要安装客户端软件并且连接企业网络,然后才能使用内部的邮件系统。如果员工使用他人的电脑设备或者在其他的的网络中时,就会面临对方防火墙的地址转换和安全策略带来的障碍,无法连接企业网络,从而无法使用内部邮件系统。外出的工作人员在酒电里由于这些问题无法连接到企业内部网络是非常另人头疼的问题。SSLVPN提供了一个比较好的方案,员工使用任何一个带有浏览器的电脑就可以访问基于Web的电子邮件系统,通过SSLVPN建立的安全通道收发邮件。SSLVPN还会把企业内部所有的域名和服务器地址隐藏起来,以提高企业网络的安全性。
内部网访问:即使不在办公室,企业员工也需要使用内部网中的一些文件资源,但是一般情况下企业不会开放整个内部网络以实现文件访问。SSLVPN可以让企业员工在任何地方,使用任何一个包含浏览器、连接到Internet的接入设备,实现对内部特定资源的访问。
面向合作伙伴的网络资源:为了提高工作效率和加强合作关系,企业通常会对合作伙伴开放内部站点和网络资源。考虑到企业信息的保密性,如何能保证只有指定的合作伙伴才能访问相应的资源,以及保证信息在网络上传递时不被截获,就成为企业必须解决的问题。IPSecVPN在部署时无法保证对最终用户的访问限制,即只允许合作伙伴访问内部网络中的指定资源,而且部署IPSecVPN会要求更改合作伙伴防火墙的安全策略,这是很难实现的。SSLVPN则完全不存在上述问题,企业甚至可以限制某一个合作伙伴只能访问一个站点中的某些页面和文件夹,并且不需要修改合作伙伴的安全策略,只要合作伙伴能够访问Internet即可。
目前形式
随着Web应用的增多以及远程接入需求的增长,公司远程办公SSL VPN正在成为一个热门市场。虽然目前大部分的远程接入服务都是由IPSecVPN来实现的,不过业内人士指出,大约90%的企业利用IPSecVPN只是用来进行电子邮件通信以及访问Web应用,只有10%的用户利用IPSecVPN访问非Web应用。也就是说目前90%的IPSecVPN应用都可以被SSLVPN来实现,而SSLVPN更加容易配置和管理,实现成本要比IPSecVPN低很多。经过几年的发展,如今许多的大型公司对SSLVPN技术趋之若鹜,吸引着包括思科、诺基亚、ArrayNetworks等在内的国际知名厂商。目前,几乎所有的主流商业浏览器都集成了SSL,实施SSLVPN不需要再安装额外的软件。Infonetics预测,在未来几年,SSLVPN设备的全球销售将会出现持续增长,到2005年,SSLVPN会出现8.4亿美元的市场。SSLVPN为运营商提供了新创收机遇,它为运营商及最终用户创造的优势是以往任何技术都无法比拟的。现在,SSLVPN在一些1级运营商中的部署获得成功,SSLVPN高速发展的时机已经到来.