SSL VPN即将成为企业热门应用设备

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

近年来,销售VPN设备的厂商发现SSL VPN开始窜红,因为不少客户本来规划VPN是为了点对点的办公室连接(Site-to-Site),现有的VPN设备多办公室网络环境当中应用上没有问题。但因为客户的员工外出办公情况增加,所以管理阶层开始考虑到,希望行动工作者能够透过VPN连回公司,以免发生员工在外无法控管的情况。虽然大部分的VPN设备都有Client端软件让使用者连回公司,但由于外界网络环境相当复杂,并不是所有的因特网都能让使用者透过IPsec VPN的方式连接回公司服务器。
为了解决这类问题,所以网络设备厂商推出SSL VPN设备,让使用者能够透过SSL VPN的方式连接回公司,藉此达到行动工作者能够达到与公司同事数据同步运作的效果。
SSL VPN运作原理与优势
所谓的SSL VPN,其实是VPN设备厂商为了与IPsec VPN区别所创造出来的名词,指的是使用者利用浏览器内建的Secure Socket Layer封包处理功能,用浏览器连回公司内部SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。
实际上SSL VPN运作的方式是这样,使用者开启支持SSL功能的浏览器,输入公司SSL VPN服务器网址,然后键入使用者账号与密码,远程的SSL VPN服务器就会利用ActiveX的功能,自动在使用者端安装特定程序,产生一个虚拟网络界面。这个时候,使用者就可以点选服务器上面的应用程序画面,然后该应用程序所需的相关数据,就会透过所建立的虚拟网络界面进行转换,将远程公司服务器内部的数据,透过SSL加密的封包传送到远程计算机当中,让远程计算机使用者可以如同在公司内部般地读写数据。如果使用者要结束程序,只要关闭浏览器,所有的SSL VPN也会同步中断。
由于SSL是网络浏览器所内建的功能,因此SSL VPN的连接方式,能够适用于常见的因特网环境,而且不限制使用者用的是Public IP或者是Private IP;再加上ActiveX也是常见的网页语言之一,如果使用者要使用SSL VPN的话,MIS人员并不需要在使用者的计算机当中安装VPN Client应用程序。只要事先设定好公司SSL VPN服务器的相关参数,当使用者连接上来之后,SSL VPN服务器就会透过ActiveX自动安装所需程序,结束之后自动移除,可说是相当方便。
跟传统走IPsec为主的VPN装置来比较,SSL VPN在网络穿通能力与跨平台应用上,兼容性要更高,而且透过SSL的加密方式,可以达到一定的安全效果,再加上不用事先安装程序,简化MIS的人力支出,所以近来SSL VPN非常热门。根据Infonetics Research在’04年第一季的研究报告指出,预计全球SSL VPN的市场规模会持续成长,在’05年可达到360百万美元,而’06年会达到497百万美元,甚至在’07年可以有591百万美金的规模。
SSL VPN设备应用的网络架构
在既有网络的架构当中,SSL VPN的应用方式其实是很简单的,比起传统IPsec VPN要容易许多。因为它所在的位置是在防火墙后方,MIS人员只需要针对SSL VPN装置在防火墙当中开启单一设定,就完成安装了,并不会像IPsec VPN一样,需要针对不同用户开启不同的VPN Profile设定。因为远程的使用者是利用浏览器连接到SSL VPN设备,然后透过IP封包转译的方式,由SSL VPN设备「模拟」远程使用者在「内部」进行数据存取,所以才有办法突破各种网络的限制,达到执行各种ERP、CRM或者是特定应用程序。
传统使用VPN Client程序的架构,由于使用者取得的是内部IP位置,因此在执行企业内部专属程序的时候,只要该程序所使用的连接协议是VPN装置所支持,就没有设定上的问题,但是SSL VPN的设计却不一样。
由于各家的SSL VPN在与内部程序的连接上有不同的设计,所以在规划使用的时候,必须要作事前测试。因为依照厂商技术不同,有的是利用Adapter的方式作网络封包转译,有的则是利用Port Forward的方式作介接,不同厂商所使用的技术差异不小,所以在使用前必须要作应用程序兼容性测试。
除此之外,SSL VPN跟传统VPN在费用计算上最大的差异,是SSL VPN装置需要使用到网络认证(Certificate),传统的VPN装置是不需要的,因此在产品的费用计算上,您需要额外计算网络认证的费用支出。
延伸阅读:
全面认识VPN设备
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
VPN网关是实现局域网(LAN)到局域网连接的设备。从字面上我们就能够知道它可以实现两大功能:VPN和网关。广义上讲,支持VPN(虚拟专用网)的路由器和防火墙等设备都可以算作VPN网关。目前常见的VPN网关产品可以包括单纯的VPN网关、VPN路由器、VPN防火墙、VPN服务器等产品。
典型的VPN网关产品应该具有以下性能:
一、它应集成包过滤防火墙和应用代理防火墙的功能
企业级VPN产品是从防火墙产品发展而来,防火墙的功能特性己经成为它的基本功能集中的一部分。如果是一个独立的产品,VPN与防火墙的协同工作会遇到很多难以解决的问题,有可能不同厂家的防火墙和VPN不能协同工作,防火墙的安全策略无法制定(这是由于VPN把IP数据包加密封装的缘故)或者带来性能的损失,如防火墙无法使用NAT功能等等。而如果采用功能整合的产品,则上述问题不存在或很容易解决。
二、VPN应有一个开放的架构
VPN部署在企业接入因特网的路由器之后,或者它本身就具有路由器的功能,因此,它己经成为保护企业内部资产安全最重要的门户。阻止黑客入侵、检查病毒、身份认证与权限检查等很多安全功能需要VPN完成或在同VPN与相关产品协同完成。因此,VPN必须按照一个开放的标准,提供与第三方安全产品协同工作的能力。
三、有完善的认证管理
一个VPN系统应支持标准的认证方式,如RADIUS(Remote Authentication Dial In User Service,远程认证拨号用户服务)认证、基于PKI(Public Key Infrastructure,公钥基础设施)的证书认证以及逐渐兴起的生物识别技术等等。对于一个大规模的VPN系统,PKI/KMI的密钥管理中心,提供实体(人员、设备、应用)信息的LDAP目录服务及采用标准的强认证技术(令牌、IC卡)是一个VPN系统成功实施和正常运行必不可少的条件。
四、VPN应提供第三方产品的接口
当用户部署了客户到LAN的VPN方案时,VPN产品应提供标准的特性或公开的API(应用程序编程接口),可以从公司数据库中直接输入用户信息。否则,对于一个有数千甚至上万的SOHO人员和移动办公人员的企业来说,单独地创建和管理用户的权限是不可想像的。
VPN网关应拥有IP过滤语言,并可以根据数据包的性质进行包过滤。
数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出栈和入栈网络接口等。


标签: ssl ssl vpn 安全 包过滤防火墙 标准 防火墙 防火墙的功能 防火墙设备 服务器 公司服务器 企业 权限 数据库 网络 问题 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:美成立黑客司令部 预网络袭击他国

下一篇:创建“动态工作环境”应对微利挑战