SSL
通过加密方式保护在上传输的数据安全性,它可以自动应用在每一个上。这里,需要提供一个数字证书给,这个数字证书需要付费购买,相对而言,给应用程序设立ssl服务是比较容易的。如果应用程序本身不支持SSL,那么就需要改变一些链接,这只与应用程序有关。对于出现较大信息量的情况,建议给SSL 进行加速以避免流量瓶颈。通常SSL 加速装置为热插拔装置。
VPN
主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。过去, 总是和IPSec 联系在一起,因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层,IPSec VPN 则多用于连接两个网络或点到点之间的连接。
SSL VPN作为一项近两年发展起来的新技术,具备无须安装客户端的便捷性和低管理成本的经济性,这也促使了其在国外的迅速发展。不过回到国内,SSL VPN目前仍然被三大误区所困扰。
SSL VPN正值壮年
SSL VPN采用当前广泛使用的工业级安全套接层协议SSL,无需安装客户端软件,授权用户能够从任何标准的Web浏览器和互联网连接安全地接入网络资源,包括PC、笔记本电脑和移动设备,从而安全可靠地获取信息。
SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与传统的IPSec VPN相比,SSL VPN更加适用于客户端单机接入中心网络的应用要求(如移动办公),而IPSec VPN则更适用于两个网络之间构建安全通道。
从2005年开始,IDC以及Gartner的专家都曾陆续做出过预测,他们认为SSL技术是未来VPN的发展趋势,SSL技术具备在Web应用方面的巨大优势,而未来主流IT应用逐步在朝Web、分布式移用方向发展。特别是随着的大面积推广,未来移动办公将更加流行。
另外,除了传统意义的远程连接访问以外,政府机构和大型在享受建立内部资源共享基础上高效率的协同工作的成果或Web上传下载的同时,也面临着保护内部网络及其数据安全性的挑战,包括网络反、防、防、数据丢失等。此间,基于SSL VPN的应用将会越来越多。
迷雾一:安全性
不过,专家的预测并没有过多打动国内的安全市场,用户对于SSL VPN仍然存在疑问,首当其冲就体现在SSL VPN的安全性上。
要知道,IPSec VPN的每个客户端都必须安装IPSec客户端软件,并有多种身份认证和数据加密方式,其自身技术成熟且安全性得到了实际应用的证明。而SSL VPN首先就打破了安装专用客户端的传统,倡导的是“随时随地移动接入”的新概念,甚至在公共场合(如网吧)、都能够利用SSL VPN访问内网资源。这些现象给国内用户带来了一定的困扰:SSL VPN足够安全吗?
传统上VPN系统的安全性主要包括三个层面:数据传输的安全、身份认证的安全、内网应用的安全。
从协议上分析,SSL VPN采用标准的安全套接层协议对传输中的数据包进行加密。SSL协议则是浏览器自带的,加密强度一般为128位,从应用的实际情况看,完全能够满足数据传输层的安全需求。
在身份认证的安全上,SSL VPN也日趋成熟。“目前采用多重身份认证机制已经成为主流,像用户名密码的校验、支持第三方PKI体系且能与CA中心集成的数字证书、USB KEY认证、动态短信发送密钥,都已经开始了产品化应用。”
而对于内网应用的安全,其实SSL VPN更胜于IPSec VPN。对标准的IPSec VPN而言,并没有在内网安全上做进一步的要求,它只是打开了从分支到总部的通路、对于里面传什么数据是没有有效保证的。因此也造成了病毒在IPSec VPN内部跨网传播等一系列安全隐患。而SSL VPN则不同,它本来就是基于应用层的VPN。只有开放了的应用才允许使用、并没有给接入的用户不受限制的访问权限。因此,从安全性角度来分析,SSL VPN完全能够满足移动用户的接入安全需求。
迷雾二:应用支持与设备部署
在这一点上,很多用户收到了误导。关于网络上很多SSL VPN的介绍文章中,到处充斥着“SSL VPN只支持Web应用”的字眼。这其实是混淆了SSL协议和SSL VPN的概念。
SSL VPN之所以不需要安装任何客户端,就是因为用户终端中只要有浏览器、就一定会有SSL协议。SSL VPN就是用到了系统已有的SSL协议来构建安全的通道,但并不等于SSL VPN只支持Web应用。
SSL VPN除了支持Web应用之外,还能支持任何基于TCP的应用(如C/S应用软件)、支持Windows网上邻居、等多种应用。因为从技术上说,只要将所有其他非Web的应用进行重定向,在客户端将所有数据转入SSL协议通道传输,在中心端进行恢复和还原就可以实现。
另外,许多本土厂商,都开发了独特的隧道SSL VPN技术或IPTUNEL协议,以便在SSL VPN设备上运行一些类似IPSec VPN的功能。以IPTUNEL协议为例,该协议支持UDP应用,支持PING通,从而实现对视频等更复杂应用的透明支持。对客户端来说,仍然不需安装任何客户端软件,只需在SSL用户登录时自动下载部分插件,从而保证了SSL VPN天然的易用性。
在设备部署上,SSL VPN最大的便利在于不需安装任何客户端,这也使得它在一些特殊终端(如支持浏览器的PDA)、特殊场合(如不是使用自己电脑时、临时需要接入总部)具有IPSec VPN不可比拟的优势。
利用DKEY的即插即用技术可以将SSL VPN做到零配置。同时,对于用户来说,往往不仅需要移动用户接入,而且还需要站点间的互联互通。因此,如果用户必须部署两套设备(IPSec和SSL各一套),则无疑增加了成本和管理的复杂性。因此,现在流行的“IPSec/SSL二合一”的技术,可以在同一台设备中同时支持两种协议,以便用户规划全网的VPN。并且,IPSec和SSL客户端授权可由用户自行分配。例如用户购买了100个客户端授权,可自己定义多少个用于IPSec、多少个用于SSL,让用户在实际应用中选择最适合自己的VPN接入方式。
迷雾三:价格与接受程度
SSL VPN和大多数IT新技术一样,是从国外流传到中国的新技术。目前SSL VPN的产品仍然以国外厂商为主,国内自主研发的SSL VPN产品屈指可数、并且在技术上还没有形成普遍的突破。这是导致SSL VPN价格高昂的主要原因。而IPSEC VPN由于技术成熟、普及时间长,国内厂商的进步等等,由市场将价格拉到了合适的水平。
不过可喜的是,很多本土厂商已经奋起直追,除了在技术上赶超国外品牌,同时加入更多的技术优势确保性价比,如本土厂商中的多线路自动选路、短信认证等专利,以及客户化定制页面、单点登录等功能,都出现了挑战国外SSL VPN产品的局面。
为了进一步推动SSL VPN应用普及,一些本土厂商已经在VPN产品中缺省配置SSL VPN模块,届时用户只需以购买IPSec VPN相同的价格,就可以同时拥有支持两种协议的VPN产品。有分析人士表示,在未来国内市场中,SSL VPN有望成为企业用户买得起、用得好的安全基础设施。