從概念角度來說,SSL VPN即指采用SSL (Security Socket Layer)協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議,它包括:服務(wù)器認證、客戶認證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于內(nèi)、外部應(yīng)用來說,使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用,也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。正因為SSL 協(xié)議被內(nèi)置于IE等瀏覽器中,使用SSL 協(xié)議進行認證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端。相對于傳統(tǒng)的IPSEC VPN而言,SSL VPN具有部署簡單,無客戶端,維護成本低,網(wǎng)絡(luò)適應(yīng)強等特點,這兩種類型的VPN之間的差別就類似C/S構(gòu)架和B/S構(gòu)架的區(qū)別。
一般而言,SSL VPN必須滿足最基本的兩個要求:
1. 使用SSL 協(xié)議進行認證和加密;沒有采用SSL 協(xié)議的VPN產(chǎn)品自然不能稱為SSL VPN,其安全性也需要進一步考證。
2. 直接使用瀏覽器完成操作,無需安裝獨立的客戶端。即使使用了SSL 協(xié)議,但仍然需要分發(fā)和安裝獨立的VPN客戶端 (如Open VPN)不能稱為SSL VPN,否則就失去了SSL VPN易于部署,免維護的優(yōu)點了。
隨著技術(shù)的進步和客戶需求的進一步成熟的推動,當(dāng)前主流市場的SSL VPN和幾年前面市的僅支持WEB訪問的SSL VPN已經(jīng)發(fā)生很大的變化。主要表現(xiàn)在:
1. 對應(yīng)用的支持更廣泛。最早期的SSL VPN僅僅支持WEB應(yīng)用。但目前幾乎所有的SSL VPN都支持使用插件的形式、將TCP應(yīng)用的數(shù)據(jù)重定向到SSL 隧道中,從而支持絕大部分基于TCP的應(yīng)用。SSL VPN可以通過判斷來自不同平臺請求,從而自動安裝不同的插件。
2. 對網(wǎng)絡(luò)的支持更加廣泛。早期的SSL VPN還無法支持服務(wù)器和客戶端間的雙向訪問以及UDP應(yīng)用;更不支持給移動接入用戶分配虛擬IP,從而實現(xiàn)按IP區(qū)分的安全審計功能。但現(xiàn)在多數(shù)優(yōu)秀的SSL VPN都能通過用戶可選的客戶端插件形式為終端用戶分配虛擬IP,并通過SSL 隧道建立層三(Level 3)隧道,實現(xiàn)與傳統(tǒng)IPSEC VPN客戶端幾乎一樣強大的終端網(wǎng)絡(luò)功能。
3. 對終端的安全性要求更嚴格。原來的SSL VPN設(shè)計初衷是只要有瀏覽器就能接入,但隨著間諜軟件和釣魚軟件的威脅加大,在不安全的終端上接入內(nèi)部網(wǎng)絡(luò),將可能造成重要信息從終端泄漏。因此很多SSL VPN加入了客戶端安全檢查的功能:通過插件對終端操作系統(tǒng)版本,終端安全軟件的部署情況進行檢查,來判斷其接入的權(quán)限。
以上這些不斷創(chuàng)新的SSL VPN功能都需要插件支持,因此簡單的通過判斷是否安裝有插件來判斷是否是SSL VPN肯定是不正確的;那么又如何有效的選擇優(yōu)秀的SSL VPN產(chǎn)品呢?
1. 考察SSL 的真實性。有些廠商僅僅將TCP 數(shù)據(jù)做了簡單的封裝,或者把IPSEC VPN做些修改,將數(shù)據(jù)轉(zhuǎn)發(fā)到443端口,便宣稱自己是SSL VPN。鑒別這種偽SSL VPN,可以使用標(biāo)準(zhǔn)的HTTP流量測試工具如Loadrunner,Web bench,Avalanche等。如果能進行SSL 對接,并進行SSL負載測試的就是真正的SSL VPN。但是普通客戶往往沒有這個測試條件,因此建議在SSL VPN選型時購買經(jīng)過第三方評測機構(gòu)(如網(wǎng)絡(luò)世界,賽迪評測等)評測過的產(chǎn)品。
2. 考察SSL VPN的可用性。SSL VPN的部署要支持客戶的實際應(yīng)用和未來的應(yīng)用擴展。因此需要考慮選購的SSL VPN是否支持所有的B/S應(yīng)用,C/S應(yīng)用,甚至基于UDP,ICMP的IP應(yīng)用,當(dāng)然支持得越多越好。SSL VPN要支持各種網(wǎng)絡(luò)環(huán)境,因此要對SSL VPN的穿透性進行考察,檢查SSL VPN是否可以在NAT環(huán)境,Web代理環(huán)境,Socket代理環(huán)境下都能工作正常。SSL VPN最好能適應(yīng)中國的各種跨運營商環(huán)境,如果在全國大范圍內(nèi)部署SSL VPN,則需要考察SSL VPN是否支持多ISP鏈路,是否支持選擇最快接入線路的功能。
3. 考察SSL VPN的易用性。易用性的考察主要依賴于用戶體驗。除了考察管理員是否易于操作和掌握SSL VPN網(wǎng)關(guān)的使用,很重要的需要考察SSL VPN的終端是否易于使用和維護。在登錄SSL VPN之前,終端不應(yīng)該安裝獨立的客戶端。SSL VPN的插件應(yīng)該做到自動安裝自動修復(fù)。用戶登錄SSL VPN不需要培訓(xùn)和指導(dǎo)就能進入應(yīng)用。對于大規(guī)模的SSL VPN用戶部署,應(yīng)該要支持對統(tǒng)一用戶認證數(shù)據(jù)的無縫支持,如域認證,Radius認證,目錄服務(wù)認證等,這樣可以避免在SSL VPN上維護大量用戶。
4. 考察SSL VPN的安全性。如果是真實的SSL VPN,其安全性在很大程度上得到了SSL 協(xié)議的保證。更多的安全性主要體現(xiàn)在對多種認證的支持,除了通用的X509,PKI,Radius等認證外,最好能夠提供更安全的USB KEY,動態(tài)令牌,一次性短信口令等較難復(fù)制盜用的認證方法。還有就是終端安全,主要包括對終端的Cookie清除,客戶端安全檢查等。
5. 考察SSL VPN的性能。SSL VPN的性能一定要滿足用戶目前的用戶容量和未來幾年內(nèi)的用戶擴展要求。SSL VPN最主要的性能指標(biāo)是并發(fā)用戶數(shù)和加密吞吐量。往往采購的SSL VPN的并發(fā)用戶授權(quán)可以遠小于真實的使用用戶數(shù)量,因為大部分情況下,不是所有的用戶都同時在使用SSL VPN的,一般而言,需要購買的授權(quán)數(shù)為實際使用用戶1/4-1/3即可。因此,選購SSL VPN并非用戶容量越多越好,因為大容量也意味著高價格,不要過于追求性能造成浪費。但也不能過于追求價格而忽視了未來的擴展。比如現(xiàn)在只有幾十個并發(fā)用戶,就暫時購買了最大容量才二十幾個用戶的設(shè)備。但是,一年后業(yè)務(wù)發(fā)展了,就不得不再更換設(shè)備,結(jié)果還是造成了浪費。
6. 考察SSL VPN的性價比。一般而言,同等價格獲得越多的功能和性能,則性價比越高。但獲得的更多功能和性能都應(yīng)該是用戶目前或未來1-2年內(nèi)能夠使用得到的,否則就無法體現(xiàn)其價值。另外,單一的SSL VPN無法解決所有互聯(lián)需求和安全需求,比如SSL VPN就不能解決網(wǎng)對網(wǎng)的互聯(lián)問題。因此需要多種安全和互聯(lián)需求的用戶,如果能在同等價格下,購買集成SSL ,IPSEC VPN和防火墻的一體化設(shè)備,將更加劃算。
