從概念角度來說,SSL VPN即指采用SSL (Security Socket Layer)協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議,它包括:服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對(duì)于內(nèi)、外部應(yīng)用來說,使用SSL可保證信息的真實(shí)性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用,也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。正因?yàn)镾SL 協(xié)議被內(nèi)置于IE等瀏覽器中,使用SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端。相對(duì)于傳統(tǒng)的IPSEC VPN而言,SSL VPN具有部署簡(jiǎn)單,無客戶端,維護(hù)成本低,網(wǎng)絡(luò)適應(yīng)強(qiáng)等特點(diǎn),這兩種類型的VPN之間的差別就類似C/S構(gòu)架和B/S構(gòu)架的區(qū)別。
一般而言,SSL VPN必須滿足最基本的兩個(gè)要求:
1. 使用SSL 協(xié)議進(jìn)行認(rèn)證和加密;沒有采用SSL 協(xié)議的VPN產(chǎn)品自然不能稱為SSL VPN,其安全性也需要進(jìn)一步考證。
2. 直接使用瀏覽器完成操作,無需安裝獨(dú)立的客戶端。即使使用了SSL 協(xié)議,但仍然需要分發(fā)和安裝獨(dú)立的VPN客戶端 (如Open VPN)不能稱為SSL VPN,否則就失去了SSL VPN易于部署,免維護(hù)的優(yōu)點(diǎn)了。
隨著技術(shù)的進(jìn)步和客戶需求的進(jìn)一步成熟的推動(dòng),當(dāng)前主流市場(chǎng)的SSL VPN和幾年前面市的僅支持WEB訪問的SSL VPN已經(jīng)發(fā)生很大的變化。主要表現(xiàn)在:
1. 對(duì)應(yīng)用的支持更廣泛。最早期的SSL VPN僅僅支持WEB應(yīng)用。但目前幾乎所有的SSL VPN都支持使用插件的形式、將TCP應(yīng)用的數(shù)據(jù)重定向到SSL 隧道中,從而支持絕大部分基于TCP的應(yīng)用。SSL VPN可以通過判斷來自不同平臺(tái)請(qǐng)求,從而自動(dòng)安裝不同的插件。
2. 對(duì)網(wǎng)絡(luò)的支持更加廣泛。早期的SSL VPN還無法支持服務(wù)器和客戶端間的雙向訪問以及UDP應(yīng)用;更不支持給移動(dòng)接入用戶分配虛擬IP,從而實(shí)現(xiàn)按IP區(qū)分的安全審計(jì)功能。但現(xiàn)在多數(shù)優(yōu)秀的SSL VPN都能通過用戶可選的客戶端插件形式為終端用戶分配虛擬IP,并通過SSL 隧道建立層三(Level 3)隧道,實(shí)現(xiàn)與傳統(tǒng)IPSEC VPN客戶端幾乎一樣強(qiáng)大的終端網(wǎng)絡(luò)功能。
3. 對(duì)終端的安全性要求更嚴(yán)格。原來的SSL VPN設(shè)計(jì)初衷是只要有瀏覽器就能接入,但隨著間諜軟件和釣魚軟件的威脅加大,在不安全的終端上接入內(nèi)部網(wǎng)絡(luò),將可能造成重要信息從終端泄漏。因此很多SSL VPN加入了客戶端安全檢查的功能:通過插件對(duì)終端操作系統(tǒng)版本,終端安全軟件的部署情況進(jìn)行檢查,來判斷其接入的權(quán)限。
以上這些不斷創(chuàng)新的SSL VPN功能都需要插件支持,因此簡(jiǎn)單的通過判斷是否安裝有插件來判斷是否是SSL VPN肯定是不正確的;那么又如何有效的選擇優(yōu)秀的SSL VPN產(chǎn)品呢?
1. 考察SSL 的真實(shí)性。有些廠商僅僅將TCP 數(shù)據(jù)做了簡(jiǎn)單的封裝,或者把IPSEC VPN做些修改,將數(shù)據(jù)轉(zhuǎn)發(fā)到443端口,便宣稱自己是SSL VPN。鑒別這種偽SSL VPN,可以使用標(biāo)準(zhǔn)的HTTP流量測(cè)試工具如Loadrunner,Web bench,Avalanche等。如果能進(jìn)行SSL 對(duì)接,并進(jìn)行SSL負(fù)載測(cè)試的就是真正的SSL VPN。但是普通客戶往往沒有這個(gè)測(cè)試條件,因此建議在SSL VPN選型時(shí)購(gòu)買經(jīng)過第三方評(píng)測(cè)機(jī)構(gòu)(如網(wǎng)絡(luò)世界,賽迪評(píng)測(cè)等)評(píng)測(cè)過的產(chǎn)品。
2. 考察SSL VPN的可用性。SSL VPN的部署要支持客戶的實(shí)際應(yīng)用和未來的應(yīng)用擴(kuò)展。因此需要考慮選購(gòu)的SSL VPN是否支持所有的B/S應(yīng)用,C/S應(yīng)用,甚至基于UDP,ICMP的IP應(yīng)用,當(dāng)然支持得越多越好。SSL VPN要支持各種網(wǎng)絡(luò)環(huán)境,因此要對(duì)SSL VPN的穿透性進(jìn)行考察,檢查SSL VPN是否可以在NAT環(huán)境,Web代理環(huán)境,Socket代理環(huán)境下都能工作正常。SSL VPN最好能適應(yīng)中國(guó)的各種跨運(yùn)營(yíng)商環(huán)境,如果在全國(guó)大范圍內(nèi)部署SSL VPN,則需要考察SSL VPN是否支持多ISP鏈路,是否支持選擇最快接入線路的功能。
3. 考察SSL VPN的易用性。易用性的考察主要依賴于用戶體驗(yàn)。除了考察管理員是否易于操作和掌握SSL VPN網(wǎng)關(guān)的使用,很重要的需要考察SSL VPN的終端是否易于使用和維護(hù)。在登錄SSL VPN之前,終端不應(yīng)該安裝獨(dú)立的客戶端。SSL VPN的插件應(yīng)該做到自動(dòng)安裝自動(dòng)修復(fù)。用戶登錄SSL VPN不需要培訓(xùn)和指導(dǎo)就能進(jìn)入應(yīng)用。對(duì)于大規(guī)模的SSL VPN用戶部署,應(yīng)該要支持對(duì)統(tǒng)一用戶認(rèn)證數(shù)據(jù)的無縫支持,如域認(rèn)證,Radius認(rèn)證,目錄服務(wù)認(rèn)證等,這樣可以避免在SSL VPN上維護(hù)大量用戶。
4. 考察SSL VPN的安全性。如果是真實(shí)的SSL VPN,其安全性在很大程度上得到了SSL 協(xié)議的保證。更多的安全性主要體現(xiàn)在對(duì)多種認(rèn)證的支持,除了通用的X509,PKI,Radius等認(rèn)證外,最好能夠提供更安全的USB KEY,動(dòng)態(tài)令牌,一次性短信口令等較難復(fù)制盜用的認(rèn)證方法。還有就是終端安全,主要包括對(duì)終端的Cookie清除,客戶端安全檢查等。
5. 考察SSL VPN的性能。SSL VPN的性能一定要滿足用戶目前的用戶容量和未來幾年內(nèi)的用戶擴(kuò)展要求。SSL VPN最主要的性能指標(biāo)是并發(fā)用戶數(shù)和加密吞吐量。往往采購(gòu)的SSL VPN的并發(fā)用戶授權(quán)可以遠(yuǎn)小于真實(shí)的使用用戶數(shù)量,因?yàn)榇蟛糠智闆r下,不是所有的用戶都同時(shí)在使用SSL VPN的,一般而言,需要購(gòu)買的授權(quán)數(shù)為實(shí)際使用用戶1/4-1/3即可。因此,選購(gòu)SSL VPN并非用戶容量越多越好,因?yàn)榇笕萘恳惨馕吨邇r(jià)格,不要過于追求性能造成浪費(fèi)。但也不能過于追求價(jià)格而忽視了未來的擴(kuò)展。比如現(xiàn)在只有幾十個(gè)并發(fā)用戶,就暫時(shí)購(gòu)買了最大容量才二十幾個(gè)用戶的設(shè)備。但是,一年后業(yè)務(wù)發(fā)展了,就不得不再更換設(shè)備,結(jié)果還是造成了浪費(fèi)。
6. 考察SSL VPN的性價(jià)比。一般而言,同等價(jià)格獲得越多的功能和性能,則性價(jià)比越高。但獲得的更多功能和性能都應(yīng)該是用戶目前或未來1-2年內(nèi)能夠使用得到的,否則就無法體現(xiàn)其價(jià)值。另外,單一的SSL VPN無法解決所有互聯(lián)需求和安全需求,比如SSL VPN就不能解決網(wǎng)對(duì)網(wǎng)的互聯(lián)問題。因此需要多種安全和互聯(lián)需求的用戶,如果能在同等價(jià)格下,購(gòu)買集成SSL ,IPSEC VPN和防火墻的一體化設(shè)備,將更加劃算。
