遠程訪問辦公室內(nèi)部網(wǎng)絡(luò)資源是各個公司的IT部門最頭疼的一件事情,而且這樣的頭疼由來已久了。
每天都有成千上萬的網(wǎng)絡(luò)管理員會收到大量要求解決他們網(wǎng)絡(luò)VPN 安裝設(shè)置問題的用戶電話。被搞得焦頭爛額的用戶在他們的機器上執(zhí)行了一些操作,使機器突然之間不能與他們的IPSec VPN連接了。是因為他們外出所在酒店或旅館的NAT 或防火墻設(shè)置問題嗎?這些設(shè)置總是千變?nèi)f化,公司管理員們真的已經(jīng)厭倦了做這些費力不討好的事。
對于改變防火墻和內(nèi)部結(jié)構(gòu)設(shè)置,為了與外部人員區(qū)分開,公司網(wǎng)絡(luò)管理員要花費大量時間和精力給公司內(nèi)部員工進行VPN 客戶端配置工作。如何讓外出公干的銷售人員成功實現(xiàn)安全遠程內(nèi)部訪問著實讓網(wǎng)管人員費了些心思,如何讓他們使用自己的電腦實現(xiàn)在家時查閱email 或訪問公司內(nèi)部重要數(shù)據(jù)呢?是否管理員要發(fā)給他們一張CD 并指導(dǎo)他們?nèi)绾芜M行安裝設(shè)置呢?直到現(xiàn)在,許多公司的網(wǎng)管人員還在被這個問題糾纏著,最近就有一個網(wǎng)絡(luò)管理員這樣說:“要在員工家里的計算機上安裝VPN 客戶端必須做的工作實在是太多了,為此我們不得不再發(fā)給員工另外一臺配置好的電腦,讓它專門在家里使用。這樣做的花費比指導(dǎo)員工自行安裝來得要少些。”
公司企業(yè)需要易于使用的安全遠程訪問連接,看起來IPSec VPN 實在是太麻煩了!他們不能輕而一舉地給客戶或是合作伙伴配置讓他們安全訪問內(nèi)部數(shù)據(jù)。我們的最終目的就是在簡單易用的前提下提供高性能的安全遠程數(shù)據(jù)訪問能力。公司該如何應(yīng)對這種情況呢?答案到底在哪里?
SSL VPN 之RAP“遙訪門”
一、 SSL VPN的技術(shù)演變
演化過程
隨著應(yīng)用程序從C/S 結(jié)構(gòu)向Web 的遷移,企業(yè)必須面對一個新的挑戰(zhàn),就是如何在不影響最終用戶使用的前提下實現(xiàn)在任何地方靈活訪問這些應(yīng)用程序。在最近20 年間,用戶和管理層聽到因為安全原因不能夠在公司以外訪問內(nèi)部應(yīng)用程序的聲音不絕于耳。在70 年代,人們對遠程訪問概念幾乎等同于從遠端的辦公地點訪問應(yīng)用程序,這需要設(shè)置非常昂貴的WAN 網(wǎng)并租用連接線路。
到了80 年代,一小部分用戶可以使用調(diào)制解調(diào)器直接撥號到modem banks 或他們自己的PC 上,但是使用費用相當(dāng)高昂只能有非常有限的小部分人使用。而且在那時候,在家使用個人電腦才剛剛成為主流,遠程訪問需求還不是很大。隨著90 年代的來臨, 在家用PC 盛行的同時,移動電腦開始顯現(xiàn),在家辦公也開始興起。公司管理者和銷售員們開始在外出出差的時候攜帶他們的筆記本電腦,他們需要實時訪問公司內(nèi)部信息,設(shè)立IPSec VPN 可以保護用戶遠程訪問。它可以提供足夠的安全性,但是問題是安裝和維護相當(dāng)麻煩。任何在PC 上的改變對VPN 而言可能都是一場災(zāi)難,最終用戶不得不硬著頭皮忍受這些變化,因為他們別無選擇。即使是現(xiàn)在,你也很難找到一個用戶,他的VPN 一點兒問題也沒有。從管理員的角度來講,使用IPSec VPN 不僅僅意味著要對客
戶端進行安裝和調(diào)試,而且還需要調(diào)整整個網(wǎng)絡(luò)的結(jié)構(gòu)。在數(shù)據(jù)包進行傳輸時NAT 不能完全工作正常,有時候會出現(xiàn)連接斷開的現(xiàn)象,改變防火墻設(shè)置可以解決這一問題但是必須要做大量的管理工作。如果IT 管理部門可以完全控制從后端到客戶的網(wǎng)絡(luò)結(jié)構(gòu),其管理復(fù)雜性可以忍受;當(dāng)IT 管理部門不能完全控制時,管理復(fù)雜性就要成倍增加。這種情況同樣發(fā)生在本地NAT 和防火墻對合作伙伴,在家里或在酒店。
如今, 公司開始把眼光放在他們是否選擇了合適的安全遠程訪問系統(tǒng)上。使用IPSec VPN 和租用WAN 線路對于不經(jīng)常更改網(wǎng)絡(luò)結(jié)構(gòu)的用戶來說是非常好的選擇。如果情況并非如此,用戶就需要另做選擇。現(xiàn)在,已經(jīng)有公司開始考慮使用架構(gòu)在因特網(wǎng)上的SSL 協(xié)議,在不破壞已有網(wǎng)絡(luò)布局的前提下進行安全遠程訪問。SSL 是通過因特網(wǎng)進行加密傳輸保護一種常用方法,許多公司對他們的內(nèi)部網(wǎng)和外部網(wǎng)執(zhí)行了SSL 設(shè)置,通過SSL VPN 進行訪問控制。
SSL VPN 的定義
SSL VPN 的發(fā)展對現(xiàn)有SSL 應(yīng)用是一個補充,它增加了公司執(zhí)行訪問控制和安全的級別和能力。
SSL VPN 還對那些因為使用遠程訪問應(yīng)用系統(tǒng)而降低公司安全性的企業(yè)有所幫助。從屬性上講,撥號可以保證相對安全性,因為特定的電話線可以確認用戶的身份。客戶端/服務(wù)器和舊版本的VPN 自身也擁有一定級別的安全保障能力,因為客戶端軟件是需要安裝的。但是,以這樣的安全策略和屬性, 不可否認,黑客入侵、安全威脅、身份欺詐呈增長趨勢?,F(xiàn)在,使用SSL VPN,安全特性已經(jīng)發(fā)生了改變,人們可以通過瀏覽器訪問應(yīng)用程序。
如果把SSL 和VPN 兩個概念分開,大多數(shù)人都清楚他們的含義,但是有多少人知道他們合在一起的意思呢?從學(xué)術(shù)和商業(yè)的角度來講,因為他們代表的含義有所不同,因而常常會被曲解。
SSL 通過加密方式保護在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)安全性,它可以自動應(yīng)用在每一個瀏覽器上。這里,需要提供一個數(shù)字證書給Web 服務(wù)器,這個數(shù)字證書需要付費購買,相對而言,給應(yīng)用程序設(shè)立SSL 服務(wù)是比較容易的。如果應(yīng)用程序本身不支持SSL, 那么就需要改變一些鏈接,這只與應(yīng)用程序有關(guān)。對于出現(xiàn)較大信息量的情況,建議給SSL 進行加速以避免流量瓶頸。通常SSL 加速裝置為熱插拔裝置。
VPN 則主要應(yīng)用于虛擬連接網(wǎng)絡(luò),它可以確保數(shù)據(jù)的機密性并且具有一定的訪問控制功能。過去,VPN 總是和IPSec 聯(lián)系在一起,因為它是VPN 加密信息實際用到的協(xié)議。IPSec 運行于網(wǎng)絡(luò)層,IPSec VPN 則多用于連接兩個網(wǎng)絡(luò)或點到點之間的連接。
以上我們簡要介紹了SSL和VPN,現(xiàn)在我們要了解一下SSL和VPN是怎樣結(jié)合在一起的?大量理論可以證明SSL的獨特性以及VPN所能提供的安全遠程訪問控制能力。到目前為止,SSL VPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSec VPN相比,SSL通過簡單易用的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN, 這是因為SSL 內(nèi)嵌在瀏覽器中,它不需要象傳統(tǒng)IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件。這一點對于擁有大量機器(包括家用機,工作機和客戶機等等)需要與公司機密信息相連接的用戶至關(guān)重要。人們普遍認為它將成為安全遠程訪問的新生代。
什么是SSL VPN?
很多因素都可以證明SSL VPN 是解決遠程訪問問題的救星。隨著越來越多的公司掙扎于如何權(quán)衡訪問控制、安全和用戶易用, SSL VPN 已經(jīng)給出了最好的答案。在最近Infonetics 的一份調(diào)查報告中,他們指出: “到2003 年, 59% 的移動用戶會使用VPN, 到2005 年,這個數(shù)字將上升到74%;增加的部分大多來自SSL VPN, 因為它可以避免客戶端安裝和管理所帶來的麻煩。" Gartner 副總裁John Girard 在最近的一份研究報告中為SSL VPN 做出了精彩評述:” 作為傳統(tǒng)VPN 的升級,那些希望使用更加簡單更加靈活的方式部署他們的安全遠程訪問系統(tǒng)的企業(yè)應(yīng)該考慮使用SSL VPN 作為一項新的投資。現(xiàn)在,許多企業(yè)已經(jīng)開始使用這項基于SSL 技術(shù),簡單、易用而且不需要高額費用的VPN 解決方案部署他們的系統(tǒng)了?!?/P>
SSL VPN 的價值包括許多方面,最主要的是提高訪問控制能力,安全易用以及高額的投資回報率。
訪問控制SSL VPN 對訪問控制更加有效,因為實施了用戶集中化管理。所有的遠程訪問都是通過SSL VPN 控制臺進行控管,這樣可以更加有效的監(jiān)控用戶使用權(quán)限,這些用戶可能是公司內(nèi)部員工,合作伙伴或客戶。所有訪問被限制在應(yīng)用層,而且可以將權(quán)限細分到一個URL 或一個文件。
而使用IPSec VPN, 安全權(quán)限只局限到網(wǎng)絡(luò)。
二、 SSL VPN 之RAP“遙訪門”
Remote Access Pass (遙訪門系統(tǒng))
安全的遠程訪問解決方案
介紹
Remote Access Pass (遙訪門系統(tǒng)) 能夠?qū)崿F(xiàn)基于瀏覽器來安全地訪問企業(yè)局域網(wǎng)內(nèi)部的任何一臺Windows PC.鍵盤、鼠標(biāo)以及顯示界面的變化被大比例的壓縮并加密后傳輸。使用寬帶的用戶能夠逼真地得到“身臨其境”式的體驗,即使通過撥號連接,用戶對于它那令人贊嘆的優(yōu)異性能也會感到滿意。
Remote Access Pass (遙訪門系統(tǒng)) 包括以下功能:
遠程控制:基于任何一個瀏覽器都可以運行自適應(yīng)程序,通過它就能夠交互訪問企業(yè)內(nèi)網(wǎng)中的桌面應(yīng)用(哪怕這個應(yīng)用不是基于WEB的)。
文件傳輸:在計算機之間快速地傳輸文件、文件夾和共享目錄資源,而且非常簡便易用。上傳下載文件速度等同于FTP.
遠程開機:用戶可以遠程喚醒位于企業(yè)內(nèi)網(wǎng)中自己的主機。
Java JSP: 動態(tài)運行在任何遠程終端上的JVM網(wǎng)頁。
Java Applet:能夠運行在任何遠程終端上的遙控訪問連接,遠程用戶端支持幾乎所有的操作系統(tǒng),包括Windows、Mac或者Unix PC.
Remote Access Pass (遙訪門系統(tǒng)) 的整體結(jié)構(gòu)由以下五部分組成:
企業(yè)內(nèi)網(wǎng)主機:處于內(nèi)網(wǎng)中的目標(biāo)機控制權(quán)屬于用戶自己,由已被授權(quán)的用戶注冊目標(biāo)計算機。在注冊過程中,將由遙訪門基于RSA算法產(chǎn)生證書給目標(biāo)計算機,連同目標(biāo)計算機的私鑰存于目標(biāo)計算機中,以認證目標(biāo)計算機和用戶的所屬關(guān)系及建立SSL安全通道。
遠程終端:在用戶端,工作人員需要打開瀏覽器,訪問企業(yè)的公共IP地址,輸入用戶名和密碼,然后點擊所要連接的目標(biāo)主機名。遠程用戶端會自動向App模塊發(fā)出一個基于SSL協(xié)議的加密請求。
App模塊:偵聽外來的連接請求,并把他們映射給注冊的目標(biāo)機。
通過遠程瀏覽器動態(tài)運行JSP與該模塊中的Java servlet的對應(yīng)交互, 實現(xiàn)認證及文件的傳輸。 同時,當(dāng)一個遠程遙控連接完成,App會分配一個session任務(wù)給Relay.此時,遠程終端的Java Applet程序自動裝載運行,任何一個細小或簡短的事件都會被精確地執(zhí)行。
Relay中繼:負責(zé)在遠程終端和內(nèi)網(wǎng)主機之間傳送高壓縮比的加密數(shù)據(jù)包。
Admin系統(tǒng)管理平臺:可以使企業(yè)管理員輕松地完成增減用戶,設(shè)定帳號臨時失效或有效,刪除目標(biāo)主機等工作。
任何一個企業(yè)最關(guān)心的都是如何保持企業(yè)網(wǎng)絡(luò)的完整性和敏感數(shù)據(jù)的機密性。基于Internet來向移動工作者擴展企業(yè)的網(wǎng)絡(luò)應(yīng)用時,安全是最關(guān)鍵的要素。
Remote Access Pass (遙訪門系統(tǒng)) 正是基于密鑰安全措施來得以建立和發(fā)展的,正如本文所描述的那樣。
徹底的安全性
Helm Systems提供的Remote Access Pass遙訪門系統(tǒng)是一個非常強大、堅固和安全的系統(tǒng)。
安全的設(shè)備
Remote Access Pass (遙訪門系統(tǒng)) 作為硬件工作設(shè)備,對于未授權(quán)的普通人員是無法對其進行控制和管理的,甚至它連顯示屏幕都沒有提供。只有企業(yè)的系統(tǒng)管理員才能夠通過登錄來對其進行管理設(shè)置,而且所有的操作都是非常簡單和容易的。
安全的應(yīng)用平臺
Remote Access Pass遙訪門系統(tǒng)運行在堅固的、高品質(zhì)的、可靠的Linux應(yīng)用平臺之上。所有的遙訪門系統(tǒng)都通過了突破測試,它們時刻監(jiān)察著任何可疑的行為并做出詳細的系統(tǒng)記錄。
可靠的、伸縮性的系統(tǒng)結(jié)構(gòu)
整個系統(tǒng)結(jié)構(gòu)設(shè)計是可靠而又安全的,支持集群及冗余功能保證了系統(tǒng)的高實用性和伸縮性。
大量的圖像壓縮和加/解密工作分布在遠程終端和內(nèi)網(wǎng)主機上,而遙訪門系統(tǒng)的核心模塊則主要負責(zé)在連接之初對用戶和微機雙方的身份進行驗證、在遠程終端和內(nèi)網(wǎng)主機建立連接后的交互會話過程中,不斷對雙方身份的真實性進行再次驗證以及抵御外界的非法侵入。這樣就非常有效地解決了常見的網(wǎng)絡(luò)瓶頸問題,而使系統(tǒng)能夠得到最佳性能。
保護用戶的機密
Helm Systems知道,任何一個企業(yè)對于網(wǎng)絡(luò)建設(shè)最關(guān)心的是安全性。Remote Access Pass (遙訪門系統(tǒng))
提供強大的安全保密策略來保證個人用戶或企業(yè)的信息不被泄露。
訪問用戶信息企業(yè)的系統(tǒng)管理員是唯一能夠管理控制Remote Access Pass (遙訪門系統(tǒng)) 的人,當(dāng)然,這是在被允許的受限范圍內(nèi)。為了進行更好地技術(shù)服務(wù),他們要進行一些大家都知道的必需的基本工作。
Remote Access Pass (遙訪門系統(tǒng)) 的session記錄將被企業(yè)用來進一步提高網(wǎng)絡(luò)服務(wù)的質(zhì)量和進行性能分析。遙訪門系統(tǒng)記錄了交互通訊中的域名、瀏覽器和MIME類型。當(dāng)然,這些數(shù)據(jù)是集中體現(xiàn)和記錄的,它不會同任何的個人或企業(yè)帳號發(fā)生關(guān)聯(lián)。
確保傳輸?shù)谋C苄?/P>
使用Remote Access Pass (遙訪門系統(tǒng)),系統(tǒng)管理員能夠訪問到企業(yè)內(nèi)帳號的使用摘要,而不會訪問到某個用戶的遠程聯(lián)接中去。事實上,盡管Remote Access Pass (遙訪門系統(tǒng)) 的Relay中繼承擔(dān)著遠程終端與內(nèi)網(wǎng)主機之間的交互傳輸工作,但這些信息包都是加密傳輸?shù)模魏稳硕紵o法破解傳輸信息。除了使用者之外誰也無法擁有產(chǎn)生密鑰的計算機遙控密碼,因此每個人建立的session活動都不會受到任何的安全威脅。
安全的管理策略
Remote Access Pass (遙訪門系統(tǒng)) 為企業(yè)的系統(tǒng)管理員提供一個安全的系統(tǒng)管理平臺,通過它可以控制管理那些合法職員的訪問和阻止未授權(quán)人員的連接。
安全的操作界面
在線的系統(tǒng)管理平臺無須安裝任何客戶端軟件,只需通過一臺內(nèi)網(wǎng)計算機采用瀏覽器就能實現(xiàn)管理。一旦企業(yè)安裝部署了Remote Access Pass (遙訪門系統(tǒng)) ,該企業(yè)的系統(tǒng)管理員會收到詳細的使用說明。
Remote Access Pass (遙訪門系統(tǒng)) 基于X.509數(shù)字簽名體系進行驗證,管理員身份還需通過用戶名/密碼的再次認證。建立連接后,所有的傳輸管理都是基于加密的SSL協(xié)議來進行,以此保護企業(yè)和個人機密不被泄露和修改。
添加新用戶
只有系統(tǒng)管理員是唯一被授權(quán)可添加新用戶的人,管理員通過系統(tǒng)管理平臺可以輕松地進行增加用戶的操作。系統(tǒng)會向每個新用戶發(fā)送郵件,郵件信息中包含了暫時的隨意密碼。之后,用戶自行更改密碼。
該密碼通過MD5等一系列不可逆算法變換成新的大數(shù)密碼存入數(shù)據(jù)庫,以便認證。這種方式非常適合企業(yè)進行大范圍的網(wǎng)絡(luò)部署,而又保持了嚴(yán)謹(jǐn)?shù)钠髽I(yè)認證管理。
停用和刪除用戶帳號系統(tǒng)管理平臺還可被用來檢查個人或群組的活動狀態(tài),可以臨時地停用或永久地刪除用戶帳號。對于受到影響的用戶,系統(tǒng)會自動向他們發(fā)送郵件來說明帳號被停用或刪除的信息。在其后,這些帳號的用戶,他們的訪問要求都會遭到拒絕。
安全的安裝服務(wù)
Remote Access Pass (遙訪門系統(tǒng)) 的軟件安裝和升級程序都是從企業(yè)安全的角度來考慮和設(shè)計的。
數(shù)字簽名的應(yīng)用軟件
在內(nèi)網(wǎng)中的用戶通過“注冊計算機”操作來進行主機服務(wù)程序的自動下載。在注冊過程中,將由遙訪門基于RSA算法產(chǎn)生證書給目標(biāo)計算機,連同目標(biāo)計算機的私鑰存于目標(biāo)計算機中,以認證目標(biāo)計算機和用戶的所屬關(guān)系及建立SSL安全通道。內(nèi)網(wǎng)主機的注冊程序是必須的,而客戶端則不需要安裝任何軟件。
所有Remote Access Pass (遙訪門系統(tǒng)) 的應(yīng)用程序都是經(jīng)數(shù)字簽名的,而且它們會保持自動更新和升級。所有的安裝和升級過程都要經(jīng)過簽名驗證,這是為了防止那些偽裝成合法Remote Access Pass (遙訪門系統(tǒng)) 軟件的“特洛伊木馬”程序。
在客戶端沒有任何安全參數(shù)的設(shè)定,系統(tǒng)只驗證用戶的登錄名、帳號密碼和計算機遙控密碼。此舉是為了防止用戶發(fā)生錯誤的參數(shù)設(shè)置,因此,每個用戶都要安全地保護自己的密碼。
防火墻的兼容性
Remote Access Pass (遙訪門系統(tǒng)) 具備防火墻友好性。它僅利用HTTP/TCP的80、443端口實現(xiàn)訪問。因為大多數(shù)的防火墻都是開放了這些端口與互聯(lián)網(wǎng)進行通訊。使用遙訪門系統(tǒng)進行遠程訪問,您就不需要設(shè)置旁路訪問或?qū)偣尽⒎止尽⑦h程辦公場所的防火墻設(shè)置進行任何改變。
許多其他的解決方案都要求目標(biāo)主機具有公用的IP地址。而Remote Access Pass遙訪門系統(tǒng)則不同,內(nèi)網(wǎng)主機會以固定的時間間隔,向App模塊不斷發(fā)送“Upcall”命令以檢查連接請求。這就使得遙訪門系統(tǒng)同各種應(yīng)用代理的防火墻、動態(tài)IP、NAT/PAT設(shè)置完全兼容。因此,企業(yè)能夠非常容易和簡單得對Remote Access Pass(遙訪門系統(tǒng))進行控制管理。
保護計算機訪問
企業(yè)內(nèi)網(wǎng)中的目標(biāo)主機必須進行遙訪門系統(tǒng)注冊才能夠建立遠程連接。注冊程序必須在目標(biāo)主機前物理地進行,它不支持遠程部署,這樣也防止了“安置”特洛伊程序的可能。
只有已被授權(quán)的用戶才能對自己的微機進行注冊。作為計算機的擁有者,他必須以授權(quán)的用戶名、臨時密碼登錄,然后開始進行自身微機的管理工作,包括注冊目標(biāo)主機、修改臨時密碼和建立計算機遙控密碼。
保護機密數(shù)據(jù)
Remote Access Pass (遙訪門系統(tǒng)) 將數(shù)據(jù)形成高壓縮比的加密包來傳輸,它能保證數(shù)據(jù)的安全性而并不以犧牲性能為代價。所有在客戶端和目標(biāo)機之間的傳輸應(yīng)用,例如屏幕圖象、文件傳輸、鍵盤/鼠標(biāo)輸入等,都是基于安全的SSL協(xié)議的加密保護。
當(dāng)每一次合法聯(lián)接最初建立之時,遙訪門系統(tǒng)會為其分配一個一次性的隨機32位數(shù)。通過這個隨機數(shù)系統(tǒng)可以確定當(dāng)前連接的唯一性,這樣就防止了黑客采用重放技術(shù)進行攻擊或加入合法連接的可能。
對于第三方攻擊者來說,加密的二進制數(shù)據(jù)使得通過傳輸分析來修改信息包或猜測加密密鑰的工作變得極度困難。
受嚴(yán)格驗證保護的訪問
Remote Access Pass (遙訪門系統(tǒng)) 的機密性是建立在嚴(yán)格的、強大的驗證基礎(chǔ)之上的。Remote Access Pass (遙訪門系統(tǒng)) 的每部分,包括App模塊、Admin管理平臺、Relay中繼、遠程終端和內(nèi)網(wǎng)主機都會得到同樣嚴(yán)格地驗證,只有驗證通過才能夠加入到安全的企業(yè)資源中來。
長串組合的復(fù)雜密碼Remote Access Pass遙訪門系統(tǒng)要求每個被設(shè)定的密碼可以包含字母和數(shù)字,并支持大小寫敏感。密碼設(shè)置的越長、越復(fù)雜,就會得到越強壯地保護。
多級的嵌套密碼
用戶在輸入登錄密碼時,遙訪門系統(tǒng)采用了密寫技術(shù)來保護敏感數(shù)據(jù),輸入的密碼都采用了密文顯示。
Remote Access Pass (遙訪門系統(tǒng)) 使用多重嵌套密碼以保證其安全性。APP模塊使用數(shù)字簽名進行自身驗證,對于所有的Java程序和系統(tǒng)軟件它都會進行數(shù)字簽名。遠程用戶的驗證通過基于MD5算法加密的用戶名/密碼登錄來實現(xiàn)。當(dāng)內(nèi)網(wǎng)主機向App注冊時,將由遙訪門基于RSA算法產(chǎn)生證書給目標(biāo)計算機,連同目標(biāo)計算機的私鑰存于目標(biāo)計算機中,以認證目標(biāo)計算機和用戶的所屬關(guān)系及建立SSL安全通道。
端到端的驗證
當(dāng)遠程終端同內(nèi)網(wǎng)主機建立連接時,他們同樣使用用戶二次輸入的密碼(計算機遙控密碼)對保護數(shù)據(jù)的密鑰來進行加密交換, 即使用遙控密碼對這個密鑰碼進行數(shù)字簽名。達到遠程終端和內(nèi)網(wǎng)主機間數(shù)據(jù)包的加解密。該密鑰保護基于Trib-DES算法的簽名信息來進行相互的認證。
只要用戶安全地保護他的密碼,那么就只有他本人才能夠建立與內(nèi)網(wǎng)主機的連接。
休止超時設(shè)定
遠程訪問者可能會沒有Logout就離開了公用的PC或是無人管理的家用PC.Remote Access Pass(遙訪門系統(tǒng))會采用休止?fàn)顟B(tài)的超時設(shè)定功能以減輕來自這方面的危險。如果用戶的Session保持15分鐘的休止?fàn)顟B(tài),遠程用戶帳號將自動從Remote Access Pass (遙訪門系統(tǒng)) 退出登錄。
遠程終端不留痕跡
遠程終端僅使用瀏覽器及動態(tài)運行Java JVM, 當(dāng)用戶退出該應(yīng)用或關(guān)閉瀏覽器后, Session將被清除, 在遠程終端不會留下任何用戶痕跡。
系統(tǒng)級的訪問控制
Remote Access Pass (遙訪門系統(tǒng)) 提供系統(tǒng)級的遠程訪問控制技術(shù),能夠使用戶更有效的控制企業(yè)局域網(wǎng)中的資源。使用遙訪門系統(tǒng)的遠程用戶輸入他的Windows登錄密碼,而后他就取得了企業(yè)為其授權(quán)的文件級、擁有者和域級許可權(quán)限。換句話說,遠程用戶并沒有另辟奚徑來訪問企業(yè)內(nèi)部網(wǎng),他們只能進入到專有的桌面應(yīng)用,而且是在現(xiàn)有局域網(wǎng)的管理控制之內(nèi)的。
為公司提供監(jiān)控訪問
通過Remote Access Pass (遙訪門系統(tǒng)) 的系統(tǒng)管理平臺,企業(yè)可以記錄連接情況和維護session日志,這都是出于安全、統(tǒng)計和審核的目的。
企業(yè)的系統(tǒng)管理員能夠查看活動中和歷史的session記錄。包括用戶名、主機名、客戶端的IP地址、session的開始/結(jié)束時間、session使用時間以及session的類型。
同樣也能夠通過遙訪門系統(tǒng)的Admin管理平臺,來統(tǒng)計各種所需的數(shù)據(jù),包括用戶數(shù)量、session統(tǒng)計、session接入時間等。標(biāo)準(zhǔn)的統(tǒng)計報告可用來進行“非常規(guī)訪問”模式的分析,包括例外的長時間session、意外的客戶端IP地址、異常關(guān)閉的代碼等。這些信息對于進行故障診斷、排除問題是非常有益處和幫助的。
系統(tǒng)管理員對于這些信息的訪問都是在限制范圍之內(nèi)的,他們只會進行一些必要的基礎(chǔ)工作。
遠程內(nèi)網(wǎng)WEB服務(wù)器訪問
總結(jié)
SSL VPN之RAP的作用:提供安全的遠程訪問服務(wù)并以實際行動來保護用戶的機密;不斷完善企業(yè)級結(jié)構(gòu)的安全和遠程訪問控制工具;采用多級認證和先進的加密技術(shù)來保護交互式的遠程session的安全性。其最終結(jié)果就是:Remote Access Pass (“遙訪門”系統(tǒng)) 是強大的、安全可靠的遠程訪問解決方案。
國外SSL VPN的技術(shù)優(yōu)勢、劣勢
1、 大部分國外產(chǎn)品經(jīng)過國外市場的考驗,基本上是成熟產(chǎn)品,但是不乏有一些為了趕上SSL VPN這個時髦概念的偽SSL VPN產(chǎn)品
2、 國外的SSL VPN除了whale communications外其他的產(chǎn)品都是采用的反向代理技術(shù)來處理內(nèi)部的HTML網(wǎng)頁,所以導(dǎo)致很多特殊的應(yīng)用不能支持
3、 很多國外產(chǎn)品并不是嚴(yán)格的無客戶端的產(chǎn)品,在很多實際應(yīng)用的時候采用了動態(tài)下載插件或者ActiceX等方式,帶來不安全隱患,而且技術(shù)上也比較簡單,容易實現(xiàn)
4、 國外SSL VPN 通常不支持遠程桌面的訪問
5、 國外的SSL VPN產(chǎn)品目前來講,支持的應(yīng)用比較豐富,比如郵件、lotus 、exhange、ftp、telnet、等應(yīng)用目前已經(jīng)支持