許多公司使用VPN向公司外部的員工提供企業網絡接入。目前,大多數遠程接入VPN都使用IP安全擴展(IPsec)加密在公共IP網絡上傳輸的專用IP數據包。
然而,隨著員工隊伍的增長和多元化,IPsec VPN客戶對於最終用戶來說是很麻煩的,對於網絡管理員來說是成本是很高的。通過利用廣泛應用的網絡浏覽器作為一個客戶平台,SSL VPN設備將是提供一種簡單而安全的外點訪問專用企業服務和數據的有希望的替代方法。
為什麼使用SSL VPN設備?
市場研究公司Gartner預測,到2008年,SSL VPN將成為主要的遠程接入方式。三分之二以上的遠程工作員工、四分之三的承包商和90%以上的需要隨機訪問企業網絡的雇員都將采用這種方式。作為一個基於浏覽器的解決方案,SSL VPN幾乎能在任何系統上快速啟動,不需要安裝永久性的客戶端軟件。對於那些對管理旅行者和遠程工作者的筆記本電腦感到厭煩以及那些需要不增加已經很沉重的IT工作量來擴大遠程接入的企業來說,上述好處是有吸引力的。
用戶通常可以使用一台SSL VPN設備從家裡的或者公共的PC上加入網絡,在任何可用的互聯網連接上獲得直接的訪問。一旦用戶通過身份識別,組或者單個規則便允許訪問SSL VPN設備後面的代表系統、服務和數據的URL.目標應用一般通過一個浏覽器的窗口顯示出來,由下載的ActiveX控件或者Java程序實施的。SSL或者其IETF(互聯網工程任務組)的繼任者TLS(傳輸層安全)將用於數據壓縮、散列、加密和在用戶和VPN設備之間的傳輸全部信息。總之,SSL VPN設備能夠提供安全的訪問,較少地依賴客戶端軟件。
應用SSL VPN設備
深入挖掘這個漂亮的外表,你將會發現SSL和IPsec VPN之間的巨大差別。例如,IPsec VPN提供訪問具體的子網或者整個企業網絡。連接的主機必須分配一個這個專用網絡地址空間中的IP地址。因為SSL VPN提供具體URL地址的訪問,資源規則可以更詳細並且能過更容易地隱藏內部網絡的結構。從網絡工程師的觀點看,SSL VPN整合更簡單,因為這種設備能夠在你防火牆的隔離區中使用,不用增加IP子網或者重新為IP子網編號。
另一方面,IPsec VPN創建一個支持任何基於IP的應用程序的強大的、通用的應用程序。根據其設計,SSL VPN設備可能需要逐步努力支持新的應用。例如,詳細的設置可能需要把URL鏡像為應用對象,並且重寫URL以便隱藏內部信息。每一個SSL VPN設備都支持通用商務應用程序,如企業電子郵件和網絡文件系統訪問等。但是,專有的或者復雜的應用需要客戶介入開發或者需要客戶方面的端口轉發代碼。因此,許多公司最初都使用SSL VPN來增強其IPsec VPN,把僅需要訪問電子郵件的員工增加到SSL VPN網絡,5自學網,同時保留IPsec VPN以滿足真正需要廣泛的網絡層訪問的員工的需求。
在SSL VPN設備中尋求什麼
當然,SSL VPN設備必須有增強的平台的操作系統,並且通過安全界面進行管理。雖然早期的SSL VPN性能與IPsec相比還不是很好,但是,目前的企業設備能夠使用硬件加速和高可用性等技術可靠地支持每一個大型的員工隊伍。但是,除了對任何網絡安全設備的這些基本的考慮之外,當你選擇一台SSL VPN設備的時候,你應該考慮什麼功能和因素呢?
VPN架構——SSL VPN設備是多種多樣的:
·Web代理設備僅支持Web應用程序。浏覽器把普通的HTTP包在SSL中並且發送給這台設備。這台設備檢查政策、鏡像URL並且把HTTP請求轉發給目標互聯網服務器。
·應用解析設備讓用戶通過ActiveX或者Java接口與應用程序互動。這種Java接口模仿本地的應用程序圖形用戶界面,但是以HTTP格式發送請求。這台設備在把這個請求轉發到目標服務器(非Web服務器)之前必須要把HTTP解析為每一個應用程序的本地協議。
·端口轉發設備通過使用一個客戶端代理在SSL隧道中轉發本地應用協議來支持TCP客戶機/服務器應用程序。這個代理與遠程主機的應用端口連接在一起,同時,自學教程,這台設備轉發內部服務器(非Web服務器)發出和接收的信息。
·網絡擴展設備通過使用一個客戶端代理在一個SSL隧道中轉發IP數據來支持任何IP應用程序。一個安裝的代理攔截並且把出網的IP數據傳送給這個設備。這台設備像一台網絡層網關一樣工作,在結構上與IPsec相似,但是沒有標准IPsec的限制。
任何指定的設備可能都支持一個以上的結構。但是,從這裡開始,將幫助你理解產品的客戶和應用程序支持。
客戶支持:每一個SSL VPN使用Web浏覽器當作一個客戶平台。但是,許多下載的客戶端代碼限制在公共PC、非Windows主機、移動設備以及外部網合作伙伴的系統上使用。你能夠滿足客戶的要求嗎,例如客戶對浏覽器廠商/版本或者啟用ActiveX的要求?這種設備能為現值的客戶提供減少的功能,同時為使用VPN門戶網頁自己安裝代理軟件的雇員提供更多的功能嗎?
應用程序支持:除了電子郵件和文件共享之外,考慮你的員工隊伍需要的應用程序,這種設備是否/如何支持這些應用程序以及實現這些應用所需要的努力。例如,端口轉發設備通常不需要客戶化就能夠支持許多客戶機/服務器。但是,實時的應用(如VoIP)可能需要網絡擴展設備。確認你理解了在URL鏡像和為你需要的應用程序進行協議解析都涉及到什麼。
用戶身份識別:SSL VPN在提供授權服務之前必須要識別用戶的身份。確認這種設備支持你需要的用戶身份識別方式以及現有的身份識別服務器和用戶數據庫(如, RADIUS、主動目錄和LDAP)。此外,你要考慮這種設備是否能夠從用戶賬戶提取授權屬性,並且考慮建立這種工作流所涉及的整合努力。
授權:SSL VPN通常有能力強制執行控制用戶(或者組)能夠訪問什麼內容的詳細規則。評估支持每一個需要的應用程序/資源的授權詳細規則,蘋果這種設備是否支持你定義的安全政策。例如,一些SSL VPN能夠識別遠程設備身份,讓你限制那些在公共或者家庭PC上的用戶的功能。
端點安全:在批准訪問之前評估端點安全狀況和一台設備的狀況也是很有用的。SSL VPN支持是為NAC、NAP、TNC和產品具體界面開發的,使它能夠檢查和/或者強制執行端點安全。采取的方法是要求在端點使用當前的安全補丁或者殺毒軟件,或者限制不符合規定的端點能夠訪問的資源。考慮這種設備如何更好地適應你們公司的端點安全戰略和實施。如果你計劃支持沒有管理的端點,你要評估對客戶端安全措施的支持,如浏覽器緩存、cookie和歷史記錄的清除以及"沙盒處理"(sandboxing)。
審計與報告:最後,你要考慮這種設備如何跟蹤和存檔用戶訪問企業資源,並且考慮這種信息是否足以滿足你的公司內部/外部報告的需求。