近年來����,隨著國內(nèi)信息化建設(shè)的深入���,網(wǎng)銀系統(tǒng)、企業(yè)移動辦公�����、電子政務(wù)�����、數(shù)字圖書館等的大規(guī)模建設(shè)����,國內(nèi)用戶對SSL VPN的需求不斷增加����,豐富的需求催生了國產(chǎn)品牌SSL VPN產(chǎn)品的迅速崛起���,那么�,SSL VPN都有哪些關(guān)鍵技術(shù)呢���?
Web代理
該技術(shù)的實現(xiàn)原理是:客戶端通過瀏覽器向SSL VPN網(wǎng)關(guān)發(fā)送頁面訪問請求����,由SSL VPN網(wǎng)關(guān)代為向Web服務(wù)器發(fā)送請求����,然后將Web服務(wù)器回應(yīng)的HTTP頁面經(jīng)過復雜的處理和轉(zhuǎn)換后封裝成HTTPS頁面轉(zhuǎn)發(fā)給客戶端的瀏覽器。由于目前大部分瀏覽器已經(jīng)集成了SSL(HTTPS)協(xié)議處理功能�,因此客戶端在通過SSL VPN訪問Web應(yīng)用時,直接用瀏覽器加解密信息即可��,無需額外的客戶端程序和控件�����,做到了真正100%零客戶端。
端口轉(zhuǎn)發(fā)
該技術(shù)主要用于實現(xiàn)客戶端對C/S架構(gòu)應(yīng)用的訪問����。由于Outlook、FTP等各種C/S應(yīng)用的客戶端軟件并不具備SSL協(xié)議處理功能�����,因此需要借助控件程序來完成不同應(yīng)用端口服務(wù)的轉(zhuǎn)發(fā)功能�����?��?蛻舳嗽诮SL VPN隧道后����,會下載并運行一個控件程序�����,該程序?qū)utlook等應(yīng)用軟件發(fā)出的相應(yīng)端口數(shù)據(jù)包截獲���,加密封裝成SSL協(xié)議端口數(shù)據(jù)包發(fā)給SSL VPN網(wǎng)關(guān)����,網(wǎng)關(guān)經(jīng)過解密���、還原相應(yīng)的應(yīng)用端口后再代替客戶端與內(nèi)部服務(wù)器進行通訊���。
應(yīng)用轉(zhuǎn)換
利用該技術(shù),客戶端通過SSL VPN訪問內(nèi)部的FTP��、文件共享���、郵件����、SSH��、Telnet�、RDP等服務(wù)時都可以Web的形式進行。而SSL VPN產(chǎn)品則需要將這些應(yīng)用的操作界面和各種功能基于Web形式重新實現(xiàn)���。
網(wǎng)絡(luò)連接
網(wǎng)絡(luò)連接即通常所說的NC(Network Connection)功能���,該技術(shù)可以讓客戶端通過SSL VPN擁有對內(nèi)部整個子網(wǎng)的訪問權(quán)限��,也是目前應(yīng)用比較廣泛的一項技術(shù)����。在SSL VPN產(chǎn)品上集成該技術(shù)后����,即有IPsec VPN與應(yīng)用無關(guān)的優(yōu)勢,又保持了SSL VPN的高安全性���?��?蛻舳送ㄟ^NC連接SSL VPN時,會獲得一個虛擬IP地址����,然后通過這個虛擬IP地址與內(nèi)網(wǎng)通訊。
以上便是實現(xiàn)SSL VPN的幾項核心技術(shù)�����,目前大部分的SSL VPN產(chǎn)品����,都是以這幾項技術(shù)的一項或幾項為基礎(chǔ)研發(fā)實現(xiàn)的。那么�����,對國產(chǎn)SSL VPN產(chǎn)品而言���,哪些技術(shù)尤其重要呢��?
首先是Web代理技術(shù)�。由于用戶需要訪問內(nèi)網(wǎng)的Web應(yīng)用����,而且希望訪問方式盡量簡便,而只有具備Web代理技術(shù)��,SSL VPN產(chǎn)品才能做到100%零客戶端��,才能為用戶提供最簡便的接入方式��,因此�, Web代理技術(shù)對國產(chǎn)SSL VPN產(chǎn)品而言是一項必需技術(shù),也是SSL VPN產(chǎn)品是否專業(yè)的重要標準之一�。
除了Web代理技術(shù),端口轉(zhuǎn)發(fā)技術(shù)的重要性也不容小覷。除了要訪問除Web應(yīng)用外���,用戶還需要經(jīng)常訪問組織內(nèi)部的C/S架構(gòu)應(yīng)用�,例如郵件�、FTP、文件共享�、數(shù)據(jù)庫、ERP等����,這時,SSL VPN產(chǎn)品采用端口轉(zhuǎn)發(fā)技術(shù)實現(xiàn)對C/S應(yīng)用的處理���,是再合適不過的了��。
至于應(yīng)用轉(zhuǎn)換技術(shù)�����,目前國內(nèi)用戶需求并不迫切����。由于SSL VPN產(chǎn)品需要把FTP�����、Email��,SSH等應(yīng)用以Web的形式重新實現(xiàn)�,實現(xiàn)起來比較復雜,還可能存在提供的功能不夠完整���,界面不夠友好����,不太符合用戶的操作習慣以及控件引用是不合法等一系列問題���。從另一個角度來看��,用戶在沒有使用SSL VPN之前�,都已經(jīng)習慣通過相應(yīng)的客戶端軟件對C/S應(yīng)用進行訪問����,在使用SSL VPN后,仍然希望通過使用原來的客戶端軟件訪問內(nèi)部的各種C/S應(yīng)用��。由此看來���,應(yīng)用轉(zhuǎn)換技術(shù)并不十分適應(yīng)于國內(nèi)的用戶��,也并非是國產(chǎn)SSL VPN產(chǎn)品的必須功能���。
最后再看NC技術(shù)���,由于NC技術(shù)可以實現(xiàn)SSL VPN與應(yīng)用無關(guān)的特性,因此客戶端通過SSL VPN訪問內(nèi)部整個子網(wǎng)的需求仍然存在��。然而��,在使用該功能時���,需要給客戶端配置虛擬IP地址��,這樣一來�����,就會遇到地址規(guī)劃上的一些問題�����,在配置和使用上也比較復雜���。目前�����,國內(nèi)已經(jīng)有SSL VPN廠商注意到這個問題,為了更好地滿足用戶對易用性的要求��,采用了一種"網(wǎng)絡(luò)層代理"技術(shù)���,客戶端通過SSL VPN產(chǎn)品訪問內(nèi)部整個子網(wǎng)時���,不需要借助虛擬IP地址,也不需要改變內(nèi)網(wǎng)服務(wù)器網(wǎng)關(guān)指向��,有效地解決了NC功能配置和使用復雜的難題�����。但目前����,"網(wǎng)絡(luò)層代理"技術(shù)還存在一個問題,即無法處理TCP連接由內(nèi)向外發(fā)起的應(yīng)用�����,無法做到"與應(yīng)用無關(guān)"。如果有SSL VPN產(chǎn)品能夠同時具備NC和網(wǎng)絡(luò)代理功能����,將會受到更多國內(nèi)用戶的青睞。
當然����,以上列舉的只是SSL VPN產(chǎn)品的幾項主要技術(shù),為了更好地滿足國內(nèi)用戶的需求�,SSL VPN產(chǎn)品還必須在功能上進一步貼近需求,不斷豐富����。那么,國產(chǎn)SSL VPN產(chǎn)品在功能上應(yīng)該如何"修煉內(nèi)功"呢�?
豐富的認證方式
國內(nèi)用戶類型眾多,對認證方式和安全性要求也不盡相同����。除了基本的本地口令外,動態(tài)口令��、短信口令�、口令+動態(tài)附加密�����、證書+USBKEY�����、口令+證書+USBKEY等多因素認證方式也越來越常見���,成為對SSL VPN產(chǎn)品的基本要求�。此外,隨著CA體系在中國不斷健全��,越來越多的用戶從專業(yè)的CA企業(yè)購買服務(wù)�,因此國產(chǎn)SSL VPN產(chǎn)品能否很好地與標準第三方CA系統(tǒng)兼容,能否提供標準OSCP���、CRL等證書校驗接口���,在一定程度上決定了該產(chǎn)品能否應(yīng)用到用戶現(xiàn)有環(huán)境中。
線路優(yōu)化
中國向來有北網(wǎng)通��、南電信的說法�,不同ISP下的主機彼此訪問時延遲非常大��。國內(nèi)用戶考慮到這個因素���,常常向不同的ISP申請了多個公網(wǎng)IP提供服務(wù)。如果SSL VPN產(chǎn)品能夠利用多個網(wǎng)口通過多個公網(wǎng)IP對外提供接入訪問�,并可以根據(jù)接入客戶端的ISP來源選擇最佳路徑,那么將可以大大提高訪問效率���,更好地適應(yīng)國內(nèi)的網(wǎng)絡(luò)環(huán)境���。
單點登錄
在用戶的內(nèi)網(wǎng)中,OA系統(tǒng)通常都帶認證功能�,使用者需要提交用戶名及口令才可登錄。加上SSL VPN后���,用戶就首先要登錄SSL VPN����,然后再次提交認證信息登錄OA�,導致重復認證過程。為了簡化登陸程序�,SSL VPN產(chǎn)品應(yīng)該能記錄用戶登錄SSL VPN時的認證信息,在用戶訪問OA時,代替用戶提交認證�,用戶不需要再次輸入用戶名和口令就可打開登錄成功后的頁面。
端點安全
安裝SSL VPN產(chǎn)品后�,端點的安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL VPN��,在連接SSL VPN隧道后是否允許訪問互聯(lián)網(wǎng)���,在SSL VPN客戶端注銷后�����,訪問痕跡是否應(yīng)該清理�����,都是SSL VPN需要重點考慮的幾個安全問題。目前�,國內(nèi)很多SSL VPN產(chǎn)品也都有應(yīng)對措施。在客戶端主機接入之前��,先檢測終端主機上是否具備管理員要求的某些特征����,如操作系統(tǒng)版本、IE瀏覽器版本、是否運行了殺毒軟件等等���,如果不滿足安全策略��,則拒絕連接����。在建立隧道后���,SSL VPN產(chǎn)品還可以禁止客戶端主機訪問隧道以外的網(wǎng)絡(luò)以確保隧道安全���;在終端用戶注銷后,還會自動清除此次的訪問痕跡��,確保信息不被泄漏�。此外,如果產(chǎn)品能實現(xiàn)帳號和客戶端主機特征綁定以及防偽造功能等�,將可以進一步提高客戶端的端點安全性。
應(yīng)用層防御
SSL VPN產(chǎn)品是以應(yīng)用為核心的安全接入產(chǎn)品�����,因此應(yīng)用層的安全防御必不可少�����。目前,防SQL注入����,防跨站腳本和防非法URL訪問等功能已經(jīng)出現(xiàn)在一些國內(nèi)品牌SSL VPN產(chǎn)品上。甚至有廠商還提供了基于帳號的最大并發(fā)上限控制功能�,有效防止了一個帳號惡意產(chǎn)生大量連接的DOS攻擊行為,有效保障了應(yīng)用服務(wù)系統(tǒng)�。
安全審計
SSL VPN產(chǎn)品相對傳統(tǒng)VPN的優(yōu)勢之一就是審計更加詳細。相比而言��,SSL VPN產(chǎn)品更關(guān)注帳號而不僅僅只是IP地址���。在日志中應(yīng)該可以記錄哪個用戶��、在什么時間�����,在什么地理位置通過哪個ISP登錄了SSL VPN,訪問了什么服務(wù)�����,訪問了哪些Web頁面等等。另外���,SSL VPN產(chǎn)品還應(yīng)該提供基于各種條件(如時間范圍����、關(guān)鍵字等)的查詢功能����,甚至可以根據(jù)時間范圍生成報表提供瀏覽和下載。
綜合以上所有因素來看�,SSL VPN產(chǎn)品與其說是一項技術(shù),不如視之為服務(wù)�。誰的SSL VPN產(chǎn)品能在上面所述各項技術(shù)和功能中做得更精細,更人性化����,更貼近用戶需要,誰的產(chǎn)品就會在激烈的市場競爭中取得勝利����。
