從概念角度來(lái)說(shuō),SSL VPN即指采用SSL (Security Socket Layer)協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議,它包括:服務(wù)器認(rèn)證、客戶(hù)認(rèn)證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對(duì)于內(nèi)、外部應(yīng)用來(lái)說(shuō),使用SSL可保證信息的真實(shí)性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用,也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。正因?yàn)镾SL 協(xié)議被內(nèi)置于IE等瀏覽器中,使用SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶(hù)端。相對(duì)于傳統(tǒng)的IPSEC VPN而言,SSL VPN具有部署簡(jiǎn)單,無(wú)客戶(hù)端,維護(hù)成本低,網(wǎng)絡(luò)適應(yīng)強(qiáng)等特點(diǎn),這兩種類(lèi)型的VPN之間的差別就類(lèi)似C/S構(gòu)架和B/S構(gòu)架的區(qū)別。
一般而言,SSL VPN必須滿(mǎn)足最基本的兩個(gè)要求:
1. 使用SSL 協(xié)議進(jìn)行認(rèn)證和加密;沒(méi)有采用SSL 協(xié)議的VPN產(chǎn)品自然不能稱(chēng)為SSL VPN,其安全性也需要進(jìn)一步考證。
2. 直接使用瀏覽器完成操作,無(wú)需安裝獨(dú)立的客戶(hù)端。即使使用了SSL 協(xié)議,但仍然需要分發(fā)和安裝獨(dú)立的VPN客戶(hù)端 (如Open VPN)不能稱(chēng)為SSL VPN,否則就失去了SSL VPN易于部署,免維護(hù)的優(yōu)點(diǎn)了。
隨著技術(shù)的進(jìn)步和客戶(hù)需求的進(jìn)一步成熟的推動(dòng),當(dāng)前主流市場(chǎng)的SSL VPN和幾年前面市的僅支持WEB訪(fǎng)問(wèn)的SSL VPN已經(jīng)發(fā)生很大的變化。主要表現(xiàn)在:
1. 對(duì)應(yīng)用的支持更廣泛。最早期的SSL VPN僅僅支持WEB應(yīng)用。但目前幾乎所有的SSL VPN都支持使用插件的形式、將TCP應(yīng)用的數(shù)據(jù)重定向到SSL 隧道中,從而支持絕大部分基于TCP的應(yīng)用。SSL VPN可以通過(guò)判斷來(lái)自不同平臺(tái)請(qǐng)求,從而自動(dòng)安裝不同的插件。
2. 對(duì)網(wǎng)絡(luò)的支持更加廣泛。早期的SSL VPN還無(wú)法支持服務(wù)器和客戶(hù)端間的雙向訪(fǎng)問(wèn)以及UDP應(yīng)用;更不支持給移動(dòng)接入用戶(hù)分配虛擬IP,從而實(shí)現(xiàn)按IP區(qū)分的安全審計(jì)功能。但現(xiàn)在多數(shù)優(yōu)秀的SSL VPN都能通過(guò)用戶(hù)可選的客戶(hù)端插件形式為終端用戶(hù)分配虛擬IP,并通過(guò)SSL 隧道建立層三(Level 3)隧道,實(shí)現(xiàn)與傳統(tǒng)IPSEC VPN客戶(hù)端幾乎一樣強(qiáng)大的終端網(wǎng)絡(luò)功能。
3. 對(duì)終端的安全性要求更嚴(yán)格。原來(lái)的SSL VPN設(shè)計(jì)初衷是只要有瀏覽器就能接入,但隨著間諜軟件和釣魚(yú)軟件的威脅加大,在不安全的終端上接入內(nèi)部網(wǎng)絡(luò),將可能造成重要信息從終端泄漏。因此很多SSL VPN加入了客戶(hù)端安全檢查的功能:通過(guò)插件對(duì)終端操作系統(tǒng)版本,終端安全軟件的部署情況進(jìn)行檢查,來(lái)判斷其接入的權(quán)限。
以上這些不斷創(chuàng)新的SSL VPN功能都需要插件支持,因此簡(jiǎn)單的通過(guò)判斷是否安裝有插件來(lái)判斷是否是SSL VPN肯定是不正確的;那么又如何有效的選擇優(yōu)秀的SSL VPN產(chǎn)品呢?
1. 考察SSL 的真實(shí)性。有些廠(chǎng)商僅僅將TCP 數(shù)據(jù)做了簡(jiǎn)單的封裝,或者把IPSEC VPN做些修改,將數(shù)據(jù)轉(zhuǎn)發(fā)到443端口,便宣稱(chēng)自己是SSL VPN。鑒別這種偽SSL VPN,可以使用標(biāo)準(zhǔn)的HTTP流量測(cè)試工具如Loadrunner,Web bench,Avalanche等。如果能進(jìn)行SSL 對(duì)接,并進(jìn)行SSL負(fù)載測(cè)試的就是真正的SSL VPN。但是普通客戶(hù)往往沒(méi)有這個(gè)測(cè)試條件,因此建議在SSL VPN選型時(shí)購(gòu)買(mǎi)經(jīng)過(guò)第三方評(píng)測(cè)機(jī)構(gòu)(如網(wǎng)絡(luò)世界,賽迪評(píng)測(cè)等)評(píng)測(cè)過(guò)的產(chǎn)品。
2. 考察SSL VPN的可用性。SSL VPN的部署要支持客戶(hù)的實(shí)際應(yīng)用和未來(lái)的應(yīng)用擴(kuò)展。因此需要考慮選購(gòu)的SSL VPN是否支持所有的B/S應(yīng)用,C/S應(yīng)用,甚至基于UDP,ICMP的IP應(yīng)用,當(dāng)然支持得越多越好。SSL VPN要支持各種網(wǎng)絡(luò)環(huán)境,因此要對(duì)SSL VPN的穿透性進(jìn)行考察,檢查SSL VPN是否可以在NAT環(huán)境,Web代理環(huán)境,Socket代理環(huán)境下都能工作正常。SSL VPN最好能適應(yīng)中國(guó)的各種跨運(yùn)營(yíng)商環(huán)境,如果在全國(guó)大范圍內(nèi)部署SSL VPN,則需要考察SSL VPN是否支持多ISP鏈路,是否支持選擇最快接入線(xiàn)路的功能。
3. 考察SSL VPN的易用性。易用性的考察主要依賴(lài)于用戶(hù)體驗(yàn)。除了考察管理員是否易于操作和掌握SSL VPN網(wǎng)關(guān)的使用,很重要的需要考察SSL VPN的終端是否易于使用和維護(hù)。在登錄SSL VPN之前,終端不應(yīng)該安裝獨(dú)立的客戶(hù)端。SSL VPN的插件應(yīng)該做到自動(dòng)安裝自動(dòng)修復(fù)。用戶(hù)登錄SSL VPN不需要培訓(xùn)和指導(dǎo)就能進(jìn)入應(yīng)用。對(duì)于大規(guī)模的SSL VPN用戶(hù)部署,應(yīng)該要支持對(duì)統(tǒng)一用戶(hù)認(rèn)證數(shù)據(jù)的無(wú)縫支持,如域認(rèn)證,Radius認(rèn)證,目錄服務(wù)認(rèn)證等,這樣可以避免在SSL VPN上維護(hù)大量用戶(hù)。
4. 考察SSL VPN的安全性。如果是真實(shí)的SSL VPN,其安全性在很大程度上得到了SSL 協(xié)議的保證。更多的安全性主要體現(xiàn)在對(duì)多種認(rèn)證的支持,除了通用的X509,PKI,Radius等認(rèn)證外,最好能夠提供更安全的USB KEY,動(dòng)態(tài)令牌,一次性短信口令等較難復(fù)制盜用的認(rèn)證方法。還有就是終端安全,主要包括對(duì)終端的Cookie清除,客戶(hù)端安全檢查等。
5. 考察SSL VPN的性能。SSL VPN的性能一定要滿(mǎn)足用戶(hù)目前的用戶(hù)容量和未來(lái)幾年內(nèi)的用戶(hù)擴(kuò)展要求。SSL VPN最主要的性能指標(biāo)是并發(fā)用戶(hù)數(shù)和加密吞吐量。往往采購(gòu)的SSL VPN的并發(fā)用戶(hù)授權(quán)可以遠(yuǎn)小于真實(shí)的使用用戶(hù)數(shù)量,因?yàn)榇蟛糠智闆r下,不是所有的用戶(hù)都同時(shí)在使用SSL VPN的,一般而言,需要購(gòu)買(mǎi)的授權(quán)數(shù)為實(shí)際使用用戶(hù)1/4-1/3即可。因此,選購(gòu)SSL VPN并非用戶(hù)容量越多越好,因?yàn)榇笕萘恳惨馕吨邇r(jià)格,不要過(guò)于追求性能造成浪費(fèi)。但也不能過(guò)于追求價(jià)格而忽視了未來(lái)的擴(kuò)展。比如現(xiàn)在只有幾十個(gè)并發(fā)用戶(hù),就暫時(shí)購(gòu)買(mǎi)了最大容量才二十幾個(gè)用戶(hù)的設(shè)備。但是,一年后業(yè)務(wù)發(fā)展了,就不得不再更換設(shè)備,結(jié)果還是造成了浪費(fèi)。
6. 考察SSL VPN的性?xún)r(jià)比。一般而言,同等價(jià)格獲得越多的功能和性能,則性?xún)r(jià)比越高。但獲得的更多功能和性能都應(yīng)該是用戶(hù)目前或未來(lái)1-2年內(nèi)能夠使用得到的,否則就無(wú)法體現(xiàn)其價(jià)值。另外,單一的SSL VPN無(wú)法解決所有互聯(lián)需求和安全需求,比如SSL VPN就不能解決網(wǎng)對(duì)網(wǎng)的互聯(lián)問(wèn)題。因此需要多種安全和互聯(lián)需求的用戶(hù),如果能在同等價(jià)格下,購(gòu)買(mǎi)集成SSL ,IPSEC VPN和防火墻的一體化設(shè)備,將更加劃算。
