很多公司已經(jīng)改進(jìn)了其IPsec VPN，有的甚至用基于SSL的遠(yuǎn)程訪問解決方案替換掉了IPsec VPN。SSL VPN能夠在任何未經(jīng)管理的家用或公用電腦上使用，當(dāng)要決定是否允許訪問公司網(wǎng)絡(luò)資源時(shí)，評價(jià)遠(yuǎn)程端點(diǎn)的安全性是至關(guān)重要的。

本文將探討用網(wǎng)絡(luò)訪問控制（NAC）功能來加強(qiáng)SSL VPN網(wǎng)絡(luò)的安全性的原因和措施，并討論其與NAC 優(yōu)先權(quán)的關(guān)系。

機(jī)會與風(fēng)險(xiǎn)

將瀏覽器用作客戶端平臺，SSL VPN使用戶遠(yuǎn)程訪問IT難以控制的設(shè)備成為可能，無論從家用PC還是商業(yè)伙伴的便攜式電腦或者PDA設(shè)備都是如此。這種“任何時(shí)間、任何地方”的方法可以將訪問擴(kuò)展到更多的工作人員而其成本卻會大大減少。據(jù)Gartner估計(jì)，到2008年，SSL VPN對三分之二的遠(yuǎn)程工作人員來說將會成為主要的遠(yuǎn)程訪問方法，而且約有90%的雇員需要使用臨時(shí)性的遠(yuǎn)程訪問。

然而，將未被管理的端點(diǎn)設(shè)備連接到公司網(wǎng)絡(luò)會增加風(fēng)險(xiǎn)。如果一個(gè)遠(yuǎn)程工作人員的家用PC感染了蠕蟲或木馬，其VPN通道可將這些威脅轉(zhuǎn)播到公司網(wǎng)絡(luò)資源。如果Internet信息站點(diǎn)有一個(gè)鍵盤記錄器，那么用戶的全部的VPN會話，包括登錄名和口令都將被竊取。在這兩種情況下，用戶趨向于將敏感數(shù)據(jù)─無論是緩存中的口令還是臨時(shí)文件，置于其他人可發(fā)現(xiàn)的地方。很明顯，要確保安全地訪問未被管理的端點(diǎn)就需要減輕這些風(fēng)險(xiǎn)。

過濾空白點(diǎn)

可喜的是，SSL VPN廠商一直努力著手解決這些問題。當(dāng)今的SSL VPN設(shè)備提供了一套相當(dāng)成熟的NAC（網(wǎng)絡(luò)訪問控制）功能來抗擊這些威脅。

身份識別：SSL VPN支持用戶身份驗(yàn)證和目錄，創(chuàng)建一個(gè)基于用戶標(biāo)識的訪問控制基礎(chǔ)。但是一個(gè)特定的用戶可能會從任何未經(jīng)管理的和被管理的端點(diǎn)設(shè)備來進(jìn)行連接。因?yàn)椋纫鶕?jù)用戶的身份標(biāo)識來判斷，又要根據(jù)設(shè)備的標(biāo)識和類型來決定。以產(chǎn)品為基礎(chǔ)，SSL VPN可以使用HostID（主機(jī)ID）識別被信任的端點(diǎn)、計(jì)算機(jī)/域名、設(shè)備證書、駐留文件、注冊表項(xiàng)或硬件標(biāo)識。SSL VPN還可以識別端點(diǎn)的操作系統(tǒng)和瀏覽器，并相應(yīng)地做出響應(yīng)。

端點(diǎn)完整性：多年來，VPN僅僅假定被管理的設(shè)備是可信賴的。未被管理的設(shè)備有極大的風(fēng)險(xiǎn)，但是假定端點(diǎn)將會免于受惡意軟件的侵害卻并非真正安全。如今，大多數(shù)VPN產(chǎn)品都檢查端點(diǎn)的完整性，并且使用管理員定義的配置文件來檢測遺漏的補(bǔ)丁、老病毒特征、非活動的或被破壞的反病毒程序、反間諜軟件和防火墻程序、不正常的進(jìn)程或監(jiān)聽端口以及惡意軟件的跡象等。 為了簡化配置，許多產(chǎn)品提供可供選擇的模板、檢查列表或者圖形化的規(guī)則生成器。有一些甚至可以與被管理端點(diǎn)的端點(diǎn)安全程序進(jìn)行交互。而且，大多數(shù)SSL VPN產(chǎn)品還可以執(zhí)行進(jìn)入前檢查，有一些產(chǎn)品還支持后進(jìn)入完整性審計(jì)，確保端點(diǎn)保持清潔。

授權(quán)認(rèn)可：通過操作在一個(gè)更高的層次上，SSL VPN提供比IPsec更加精細(xì)的授權(quán)策略。與對整個(gè)子網(wǎng)授權(quán)相反，許多SSL VPN將訪問縮小到單個(gè)服務(wù)器、應(yīng)用程序、命令、URL、文件夾和其它數(shù)據(jù)對象。將這些精細(xì)過濾器與用戶身份驗(yàn)證、設(shè)備標(biāo)識相結(jié)合，端點(diǎn)安全檢查就會有更大的威力。例如，使用公司桌面PC的工作人員可以被授權(quán)使用寬帶應(yīng)用訪問，而對于從公用PC訪問公司資源則被限制為只能使用遠(yuǎn)程終端會話。如果端點(diǎn)的完整性檢查失敗，工作人員就會轉(zhuǎn)到一個(gè)自助頁面來尋求補(bǔ)救。一些SSL VPN產(chǎn)品將用戶和設(shè)備與小組結(jié)合起來，簡化了管理并可促進(jìn)連續(xù)性。.

增強(qiáng): SSL VPN通道的建立并不意味著安全的終止。VPN必須實(shí)施過濾器來決定用戶可以發(fā)送的應(yīng)用程序消息，發(fā)往何處，在傳輸中如何進(jìn)行保護(hù)。大多數(shù)SSL VPN產(chǎn)品都得到了強(qiáng)化，以減輕那些未被管理的端點(diǎn)的風(fēng)險(xiǎn)。在會話期間，用戶可以在一個(gè)安全工作區(qū)中（一個(gè)將活動和數(shù)據(jù)與其它端點(diǎn)過程隔離開的虛擬化的環(huán)境）操作。 會話結(jié)束后（由于顯式退出或非活動超時(shí)），SSL VPN可以刪除所有的會話數(shù)據(jù)，包括Web的cache(高速緩存)、歷史數(shù)據(jù)、cookies、表單記錄及口令等。在這里，措施是基于策略的。例如，在允許文件被存到一個(gè)策略一致的公司膝上型電腦上時(shí)，在一個(gè)高風(fēng)險(xiǎn)的平臺上要求安全的工作空間。

這些網(wǎng)絡(luò)訪問控制功能也有可能沒有存在于你喜歡的SSL VPN產(chǎn)品中。特定端點(diǎn)的限制也可以執(zhí)行安全檢查，這些檢查并不能通過管理員權(quán)限來執(zhí)行，也不能通過只能建立在Win32 PC上的虛擬環(huán)境來執(zhí)行。SSL VPN特性在過去的幾年里已經(jīng)有了極大的擴(kuò)充，這都反映了這個(gè)領(lǐng)域經(jīng)驗(yàn)和技術(shù)的成熟。好好看一下你可以使用的NAC功能吧，你也許會大吃一驚的。

與NAC的關(guān)系

熟悉思科  Network Admission Control（NAC），微軟Network Access Protection或者TCG的Trusted Network Connect的讀者可能會想“等一下，這些功能怎么這么像NAC、NAP、TNC？”事實(shí)上，許多概念和技術(shù)都是起源于SSL VPN市場，從端點(diǎn)的安全檢查到基于瀏覽器的客戶端軟件。

SSL VPN有望在NAC的使用中大展風(fēng)采。Infonetics 預(yù)計(jì)到2008年超過2/3的SSL VPN網(wǎng)關(guān)可以用作一個(gè)NAC部署的部分。在有些情況下，這些SSP VPN 會成為一個(gè)更寬泛的NAC策略的一部分。許多SSL VPN供應(yīng)商已經(jīng)宣布NAC體系結(jié)構(gòu)或參與到一個(gè)或多個(gè)NAC項(xiàng)目中。例如，Cicso,Microsoft,Juniper都銷售分別適合NAC、NAP和TNC的設(shè)備。Caymas Systems甚至還有一種產(chǎn)品既支持NAC又支持NAP。

在部署為一個(gè)更寬泛的NAC策略的局部時(shí)，一個(gè)明顯的方法就是使SSL VPN設(shè)備集中于控制離站的遠(yuǎn)程用戶的網(wǎng)絡(luò)訪問,遠(yuǎn)程用戶包括：旅途中的工作人員，遠(yuǎn)程工作人員等等。然而，一些分析人士相信，SSL VPN可以在NAC中扮演明星的角色。特別是，隨著網(wǎng)絡(luò)外圍的消失，越來越多的設(shè)備可被認(rèn)為是“遠(yuǎn)程的”（外部的）。一些企業(yè)可能會選擇運(yùn)行所有的網(wǎng)絡(luò)訪問，無論是在站的還是離站的，這些訪問都通過一個(gè)SSL VPN設(shè)備實(shí)施，這樣就能提供更安全的訪問控制。