微軟表示計劃在3/4月份推出的LH Beta3和Vista SP1 Beta中加入SSTP的Beta Release?？磥碇挥械萀onghorn Server定型了，Vista才算是完整了吧，特別是Bussiniss這個版本。像殺毒市場進軍一樣,讓VPN的生存廠商難以生存吧.目前國內(nèi)VPN廠商,還未有幾個建立起這樣的危機意識，安全意識值得我們反思。
在即將到來的Windows Longhron Server Beta3以及Windows Vista SP1中，針對遠程訪問中的VPN 連接，微軟將提供一個新的協(xié)議，稱為SSTP（Secure Socket Tunneling Protocol，安全套接字隧道協(xié)議）。這個協(xié)議將用來替代PPTP和L2TP 協(xié)議，以提高VPN訪問的靈活性，不過SSTP還不是一個標準，將來肯定還有一段路需要走。
SSL VPN 定義
SSL協(xié)議是由SSL記錄協(xié)議、握手協(xié)議、密鑰更改協(xié)議和告警協(xié)議組成，它們共同為應(yīng)用訪問連接提供認證、加密和防篡改功能。SSL握手協(xié)議主 要是用于服務(wù)器和客戶之間的相互認證，協(xié)商加密算法和MAC(Message Authentication Code)算法，用于生成在SSL記錄中發(fā)送的加密密鑰。 SSL記錄協(xié)議是為各種高層協(xié)議提供基本的安全服務(wù)，其工作機制如下：應(yīng)用程序消息被分割成可管理的數(shù)據(jù)塊(可以選擇壓縮數(shù)據(jù))，并產(chǎn)生一 個MAC信息，加密，插入新的文件頭，最后在TCP中加以傳輸；接收端將收到的數(shù)據(jù)解密，做身份驗證、解壓縮、重組數(shù)據(jù)報然后交給高層應(yīng)用 進行處理。SSL密鑰更改協(xié)議是由一條消息組成，其作用是把未定狀態(tài)拷貝為當(dāng)前狀態(tài)，更新用于當(dāng)前連接的密鑰組。SSL警告協(xié)議主要是用于 為對等實體傳遞與SSL相關(guān)的告警信息，包括警告、嚴重和重大等三類不同級別的告警信息。
作為應(yīng)用層協(xié)議，SSL使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性。SSL安全功能組件包括三部分：認證(在連 接兩端對服務(wù)器或同時對服務(wù)器和客戶端進行驗證)，加密(對通信進行加密，只有經(jīng)過加密的雙方才能交換信息并相互識別)，完整性檢驗(進 行信息內(nèi)容檢測，防止被篡改)。保證通信進程安全的關(guān)鍵步驟就是對通信雙方進行認證，SSL握手協(xié)議負責(zé)這一進程的處理，圖1描述了SSL握 手協(xié)議的消息流程。

圖1 SSL握手協(xié)議的消息流程

SSL VPN技術(shù)特點
IPSec VPN和SSL VPN是兩種不同的VPN架構(gòu)，IPSec VPN是工作在網(wǎng)絡(luò)層的，提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護和透明的安全通信，而SSL VPN 是工作在應(yīng)用層(基于HTTP協(xié)議)和TCP層之間的，從整體的安全等級來看，兩者都能夠提供安全的遠程接入。但是，IPSec VPN技術(shù)是被設(shè)計用 于連接和保護在信任網(wǎng)絡(luò)中的數(shù)據(jù)流，因此更適合為不同的網(wǎng)絡(luò)提供通信安全保障，而SSL VPN因為以下的技術(shù)特點則更適合應(yīng)用于遠程分散移 動用戶的安全接入。
(1)客戶端支撐維護簡單
對于大多數(shù)執(zhí)行基于SSL協(xié)議的遠程訪問是不需要在遠程客戶端設(shè)備上安裝軟件，只需通過標準的Web瀏覽器連接因特網(wǎng)，即可以通過網(wǎng)頁訪問 到企業(yè)內(nèi)部的網(wǎng)絡(luò)資源。
(2)提供增強的遠程安全接入功能
SSL VPN提供安全、可代理連接。通常SSL VPN的實現(xiàn)方式是在企業(yè)的防火墻后面放置一個SSL代理服務(wù)器。如果用戶希望安全地連接到公司 網(wǎng)絡(luò)上，那么當(dāng)用戶在瀏覽器上輸入一個URL后，連接將被SSL代理服務(wù)器取得，并驗證該用戶的身份，然后SSL代理服務(wù)器將連接映射到不同的 應(yīng)用服務(wù)器上。
(3)提供更細粒度的訪問控制
SSL VPN能對加密隧道進行細分，使終端用戶能夠同時接入Internet和訪問內(nèi)部企業(yè)網(wǎng)資源。另外，SSL VPN還能細化接入控制功能，提供 用戶級別的鑒權(quán)，依據(jù)安全策略確保只有授權(quán)的用戶才能夠訪問特定的內(nèi)部網(wǎng)絡(luò)資源，這種精確的接入控制功能對遠程接入IPSec VPN來說幾乎 是不可能實現(xiàn)的。
(4)能夠穿越NAT和防火墻設(shè)備
SSL VPN工作在傳輸層之上，因而能夠遍歷所有NAT設(shè)備和防火墻設(shè)備，這使得用戶能夠從任何地方遠程接入到公司的內(nèi)部網(wǎng)絡(luò)。
(5)能夠較好地抵御外部系統(tǒng)和病毒攻擊
SSL是一個安全協(xié)議，數(shù)據(jù)是全程加密傳輸?shù)?。另外，由于SSL網(wǎng)關(guān)隔離了內(nèi)網(wǎng)服務(wù)器和客戶端，只留下一個Web瀏覽接口，客戶端的大多數(shù) 木馬病毒感染不到內(nèi)網(wǎng)服務(wù)器。
(6)網(wǎng)絡(luò)部署靈活方便
SSL VPN一般部署在內(nèi)網(wǎng)中防火墻之后，可以隨時根據(jù)需要，添加需要VPN保護的服務(wù)器，因此無需影響原有網(wǎng)絡(luò)結(jié)構(gòu)。
然而SSL VPN技術(shù)也存在一些不足，如認證方式比較單一，只能夠采用證書，而且一般是單向認證，SSL VPN用戶只能訪問基于Web服務(wù)器的 應(yīng)用， SSL VPN只對通信雙方的某個應(yīng)用通道進行加密，而不是對在通信雙方的主機之間的整個通道進行加密；SSL VPN是應(yīng)用層加密，性能相 對來說可能會受到較大影響。此外，SSL VPN主要適用于點到點的信息加密傳輸，客戶端到站點的遠程訪問連接。如果要實現(xiàn)網(wǎng)絡(luò)到網(wǎng)絡(luò)的安全 互聯(lián)，只能考慮采用IPSec VPN。
SSL VPN的實際應(yīng)用
SSL VPN在實際應(yīng)用中就是要依據(jù)安全控制策略為分散移動用戶提供從外網(wǎng)訪問企業(yè)內(nèi)網(wǎng)資源的安全訪問通道。通常企業(yè)內(nèi)部的資源服務(wù)器 向外網(wǎng)用戶提供一個虛擬的URL地址，當(dāng)用戶從外網(wǎng)訪問企業(yè)內(nèi)網(wǎng)資源時，發(fā)起的連接被SSL VPN網(wǎng)關(guān)取得，通過認證后映射到不同的應(yīng)用服務(wù) 器，采用這種方式能夠屏蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，不易遭受來自外部的攻擊。對于SSL VPN的網(wǎng)關(guān)設(shè)備應(yīng)當(dāng)從三個基本層面來滿足不同的應(yīng)用需求：
(1)支持Web方式的應(yīng)用：例如通過SSL VPN建立的安全通道訪問基于Web的電子郵件系統(tǒng)收發(fā)郵件。
(2)支持非Web方式的應(yīng)用：例如終端用戶想要實現(xiàn)非Web頁面的文件共享，那么SSL VPN網(wǎng)關(guān)必須將與內(nèi)網(wǎng)FTP服務(wù)器的通信內(nèi)容轉(zhuǎn)化為 HTTPS協(xié)議和HTML格式發(fā)往客戶端，使終端用戶感覺這些應(yīng)用就是一些基于Web的應(yīng)用。
(3)支持基于客戶/服務(wù)器應(yīng)用的代理：這種應(yīng)用需要在終端系統(tǒng)上運行一個非常小的Java或ActiveX程序作為端口轉(zhuǎn)發(fā)器，監(jiān)聽某個端口上 的連接。當(dāng)數(shù)據(jù)包進入這個端口時，它們通過SSL連接中的隧道被傳送到SSL VPN網(wǎng)關(guān)中，SSL VPN網(wǎng)關(guān)解開封裝的數(shù)據(jù)包，將它們轉(zhuǎn)發(fā)給目的應(yīng) 用服務(wù)器。
對于一個企業(yè)來說不僅提供基于Web的應(yīng)用，也同時提供大量不基于Web的應(yīng)用，如OA、財務(wù)、銷售管理、ERP等應(yīng)用。在現(xiàn)階段，SSL VPN 只能訪問基于Web的應(yīng)用，而IPSec VPN卻幾乎可以為所有的應(yīng)用提供訪問。對于用戶來說，理想的方式是將SSL VPN和IPSec VPN結(jié)合起來使用 。一方面為數(shù)量有限的用戶提供IPSec VPN連接，使其能夠訪問企業(yè)內(nèi)網(wǎng)的所有資源；另一方面為多數(shù)用戶提供SSL VPN連接，使其可以訪問基 于Web的企業(yè)應(yīng)用。
結(jié)束語：隨著企業(yè)信息化程度的加深，遠程安全訪問、協(xié)同工作的需求會日益明顯，SSL VPN由于其自身的技術(shù)優(yōu)勢，勢必將成為企業(yè)用戶遠程安全 接入的首選方式，并且將與IPSec VPN技術(shù)一同為企業(yè)提供一個安全的遠程接入平臺。國內(nèi)VPN廠商只有跟進時代的步伐，集精華于一身，才能占領(lǐng)市場。