從概念角度來說,SSL VPN即指采用SSL (Security Socket Layer)協議來實現遠程接入的一種新型VPN技術。SSL協議是網景公司提出的基于WEB應用的安全協議,它包括:服務器認證、客戶認證(可選)、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對于內、外部應用來說,使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協議被廣泛應用于各種瀏覽器應用,也可以應用于Outlook等使用TCP協議傳輸數據的C/S應用。正因為SSL 協議被內置于IE等瀏覽器中,使用SSL 協議進行認證和數據加密的SSL VPN就可以免于安裝客戶端。相對于傳統的IPSEC VPN而言,SSL VPN具有部署簡單,無客戶端,維護成本低,網絡適應強等特點,這兩種類型的VPN之間的差別就類似C/S構架和B/S構架的區別。
一般而言,SSL VPN必須滿足最基本的兩個要求:
1. 使用SSL 協議進行認證和加密;沒有采用SSL 協議的VPN產品自然不能稱為SSL VPN,其安全性也需要進一步考證。
2. 直接使用瀏覽器完成操作,無需安裝獨立的客戶端。即使使用了SSL 協議,但仍然需要分發和安裝獨立的VPN客戶端 (如Open VPN)不能稱為SSL VPN,否則就失去了SSL VPN易于部署,免維護的優點了。
隨著技術的進步和客戶需求的進一步成熟的推動,當前主流市場的SSL VPN和幾年前面市的僅支持WEB訪問的SSL VPN已經發生很大的變化。主要表現在:
1. 對應用的支持更廣泛。最早期的SSL VPN僅僅支持WEB應用。但目前幾乎所有的SSL VPN都支持使用插件的形式、將TCP應用的數據重定向到SSL 隧道中,從而支持絕大部分基于TCP的應用。SSL VPN可以通過判斷來自不同平臺請求,從而自動安裝不同的插件。
2. 對網絡的支持更加廣泛。早期的SSL VPN還無法支持服務器和客戶端間的雙向訪問以及UDP應用;更不支持給移動接入用戶分配虛擬IP,從而實現按IP區分的安全審計功能。但現在多數優秀的SSL VPN都能通過用戶可選的客戶端插件形式為終端用戶分配虛擬IP,并通過SSL 隧道建立層三(Level 3)隧道,實現與傳統IPSEC VPN客戶端幾乎一樣強大的終端網絡功能。
3. 對終端的安全性要求更嚴格。原來的SSL VPN設計初衷是只要有瀏覽器就能接入,但隨著間諜軟件和釣魚軟件的威脅加大,在不安全的終端上接入內部網絡,將可能造成重要信息從終端泄漏。因此很多SSL VPN加入了客戶端安全檢查的功能:通過插件對終端操作系統版本,終端安全軟件的部署情況進行檢查,來判斷其接入的權限。
以上這些不斷創新的SSL VPN功能都需要插件支持,因此簡單的通過判斷是否安裝有插件來判斷是否是SSL VPN肯定是不正確的;那么又如何有效的選擇優秀的SSL VPN產品呢?
1. 考察SSL 的真實性。有些廠商僅僅將TCP 數據做了簡單的封裝,或者把IPSEC VPN做些修改,將數據轉發到443端口,便宣稱自己是SSL VPN。鑒別這種偽SSL VPN,可以使用標準的HTTP流量測試工具如Loadrunner,Web bench,Avalanche等。如果能進行SSL 對接,并進行SSL負載測試的就是真正的SSL VPN。但是普通客戶往往沒有這個測試條件,因此建議在SSL VPN選型時購買經過第三方評測機構(如網絡世界,賽迪評測等)評測過的產品。
2. 考察SSL VPN的可用性。SSL VPN的部署要支持客戶的實際應用和未來的應用擴展。因此需要考慮選購的SSL VPN是否支持所有的B/S應用,C/S應用,甚至基于UDP,ICMP的IP應用,當然支持得越多越好。SSL VPN要支持各種網絡環境,因此要對SSL VPN的穿透性進行考察,檢查SSL VPN是否可以在NAT環境,Web代理環境,Socket代理環境下都能工作正常。SSL VPN最好能適應中國的各種跨運營商環境,如果在全國大范圍內部署SSL VPN,則需要考察SSL VPN是否支持多ISP鏈路,是否支持選擇最快接入線路的功能。
3. 考察SSL VPN的易用性。易用性的考察主要依賴于用戶體驗。除了考察管理員是否易于操作和掌握SSL VPN網關的使用,很重要的需要考察SSL VPN的終端是否易于使用和維護。在登錄SSL VPN之前,終端不應該安裝獨立的客戶端。SSL VPN的插件應該做到自動安裝自動修復。用戶登錄SSL VPN不需要培訓和指導就能進入應用。對于大規模的SSL VPN用戶部署,應該要支持對統一用戶認證數據的無縫支持,如域認證,Radius認證,目錄服務認證等,這樣可以避免在SSL VPN上維護大量用戶。
4. 考察SSL VPN的安全性。如果是真實的SSL VPN,其安全性在很大程度上得到了SSL 協議的保證。更多的安全性主要體現在對多種認證的支持,除了通用的X509,PKI,Radius等認證外,最好能夠提供更安全的USB KEY,動態令牌,一次性短信口令等較難復制盜用的認證方法。還有就是終端安全,主要包括對終端的Cookie清除,客戶端安全檢查等。
5. 考察SSL VPN的性能。SSL VPN的性能一定要滿足用戶目前的用戶容量和未來幾年內的用戶擴展要求。SSL VPN最主要的性能指標是并發用戶數和加密吞吐量。往往采購的SSL VPN的并發用戶授權可以遠小于真實的使用用戶數量,因為大部分情況下,不是所有的用戶都同時在使用SSL VPN的,一般而言,需要購買的授權數為實際使用用戶1/4-1/3即可。因此,選購SSL VPN并非用戶容量越多越好,因為大容量也意味著高價格,不要過于追求性能造成浪費。但也不能過于追求價格而忽視了未來的擴展。比如現在只有幾十個并發用戶,就暫時購買了最大容量才二十幾個用戶的設備。但是,一年后業務發展了,就不得不再更換設備,結果還是造成了浪費。
6. 考察SSL VPN的性價比。一般而言,同等價格獲得越多的功能和性能,則性價比越高。但獲得的更多功能和性能都應該是用戶目前或未來1-2年內能夠使用得到的,否則就無法體現其價值。另外,單一的SSL VPN無法解決所有互聯需求和安全需求,比如SSL VPN就不能解決網對網的互聯問題。因此需要多種安全和互聯需求的用戶,如果能在同等價格下,購買集成SSL ,IPSEC VPN和防火墻的一體化設備,將更加劃算。
