近年來�,隨著國內信息化建設的深入,網銀系統�����、企業(yè)移動辦公�、電子政務、數字圖書館等的大規(guī)模建設�����,國內用戶對SSL VPN的需求不斷增加���,豐富的需求催生了國產品牌SSL VPN產品的迅速崛起���,那么,SSL VPN都有哪些關鍵技術呢�����?
Web代理
該技術的實現原理是:客戶端通過瀏覽器向SSL VPN網關發(fā)送頁面訪問請求,由SSL VPN網關代為向Web服務器發(fā)送請求���,然后將Web服務器回應的HTTP頁面經過復雜的處理和轉換后封裝成HTTPS頁面轉發(fā)給客戶端的瀏覽器����。由于目前大部分瀏覽器已經集成了SSL(HTTPS)協議處理功能�����,因此客戶端在通過SSL VPN訪問Web應用時���,直接用瀏覽器加解密信息即可��,無需額外的客戶端程序和控件�����,做到了真正100%零客戶端���。
端口轉發(fā)
該技術主要用于實現客戶端對C/S架構應用的訪問。由于Outlook�、FTP等各種C/S應用的客戶端軟件并不具備SSL協議處理功能�,因此需要借助控件程序來完成不同應用端口服務的轉發(fā)功能��?���?蛻舳嗽诮SL VPN隧道后,會下載并運行一個控件程序��,該程序將Outlook等應用軟件發(fā)出的相應端口數據包截獲�,加密封裝成SSL協議端口數據包發(fā)給SSL VPN網關����,網關經過解密、還原相應的應用端口后再代替客戶端與內部服務器進行通訊��。
應用轉換
利用該技術�,客戶端通過SSL VPN訪問內部的FTP、文件共享����、郵件、SSH�、Telnet、RDP等服務時都可以Web的形式進行��。而SSL VPN產品則需要將這些應用的操作界面和各種功能基于Web形式重新實現。
網絡連接
網絡連接即通常所說的NC(Network Connection)功能��,該技術可以讓客戶端通過SSL VPN擁有對內部整個子網的訪問權限���,也是目前應用比較廣泛的一項技術�。在SSL VPN產品上集成該技術后���,即有IPsec VPN與應用無關的優(yōu)勢����,又保持了SSL VPN的高安全性�。客戶端通過NC連接SSL VPN時���,會獲得一個虛擬IP地址��,然后通過這個虛擬IP地址與內網通訊����。
以上便是實現SSL VPN的幾項核心技術��,目前大部分的SSL VPN產品,都是以這幾項技術的一項或幾項為基礎研發(fā)實現的���。那么��,對國產SSL VPN產品而言�,哪些技術尤其重要呢�����?
首先是Web代理技術����。由于用戶需要訪問內網的Web應用�����,而且希望訪問方式盡量簡便�,而只有具備Web代理技術,SSL VPN產品才能做到100%零客戶端��,才能為用戶提供最簡便的接入方式�,因此, Web代理技術對國產SSL VPN產品而言是一項必需技術���,也是SSL VPN產品是否專業(yè)的重要標準之一���。
除了Web代理技術����,端口轉發(fā)技術的重要性也不容小覷����。除了要訪問除Web應用外,用戶還需要經常訪問組織內部的C/S架構應用��,例如郵件��、FTP��、文件共享��、數據庫�、ERP等,這時��,SSL VPN產品采用端口轉發(fā)技術實現對C/S應用的處理�,是再合適不過的了。
至于應用轉換技術�,目前國內用戶需求并不迫切。由于SSL VPN產品需要把FTP、Email��,SSH等應用以Web的形式重新實現�����,實現起來比較復雜�����,還可能存在提供的功能不夠完整��,界面不夠友好���,不太符合用戶的操作習慣以及控件引用是不合法等一系列問題�。從另一個角度來看��,用戶在沒有使用SSL VPN之前�����,都已經習慣通過相應的客戶端軟件對C/S應用進行訪問�,在使用SSL VPN后����,仍然希望通過使用原來的客戶端軟件訪問內部的各種C/S應用�。由此看來�����,應用轉換技術并不十分適應于國內的用戶�,也并非是國產SSL VPN產品的必須功能。
最后再看NC技術���,由于NC技術可以實現SSL VPN與應用無關的特性�,因此客戶端通過SSL VPN訪問內部整個子網的需求仍然存在��。然而�����,在使用該功能時��,需要給客戶端配置虛擬IP地址�,這樣一來,就會遇到地址規(guī)劃上的一些問題���,在配置和使用上也比較復雜�。目前,國內已經有SSL VPN廠商注意到這個問題��,為了更好地滿足用戶對易用性的要求�����,采用了一種"網絡層代理"技術���,客戶端通過SSL VPN產品訪問內部整個子網時����,不需要借助虛擬IP地址����,也不需要改變內網服務器網關指向,有效地解決了NC功能配置和使用復雜的難題���。但目前��,"網絡層代理"技術還存在一個問題,即無法處理TCP連接由內向外發(fā)起的應用��,無法做到"與應用無關"��。如果有SSL VPN產品能夠同時具備NC和網絡代理功能,將會受到更多國內用戶的青睞�����。
當然��,以上列舉的只是SSL VPN產品的幾項主要技術�,為了更好地滿足國內用戶的需求,SSL VPN產品還必須在功能上進一步貼近需求�����,不斷豐富����。那么,國產SSL VPN產品在功能上應該如何"修煉內功"呢�?
豐富的認證方式
國內用戶類型眾多,對認證方式和安全性要求也不盡相同�����。除了基本的本地口令外�,動態(tài)口令、短信口令��、口令+動態(tài)附加密、證書+USBKEY�、口令+證書+USBKEY等多因素認證方式也越來越常見,成為對SSL VPN產品的基本要求����。此外,隨著CA體系在中國不斷健全����,越來越多的用戶從專業(yè)的CA企業(yè)購買服務,因此國產SSL VPN產品能否很好地與標準第三方CA系統兼容�,能否提供標準OSCP、CRL等證書校驗接口����,在一定程度上決定了該產品能否應用到用戶現有環(huán)境中。
線路優(yōu)化
中國向來有北網通����、南電信的說法,不同ISP下的主機彼此訪問時延遲非常大�����。國內用戶考慮到這個因素�,常常向不同的ISP申請了多個公網IP提供服務。如果SSL VPN產品能夠利用多個網口通過多個公網IP對外提供接入訪問�,并可以根據接入客戶端的ISP來源選擇最佳路徑,那么將可以大大提高訪問效率��,更好地適應國內的網絡環(huán)境���。
單點登錄
在用戶的內網中��,OA系統通常都帶認證功能�,使用者需要提交用戶名及口令才可登錄�����。加上SSL VPN后�����,用戶就首先要登錄SSL VPN����,然后再次提交認證信息登錄OA,導致重復認證過程����。為了簡化登陸程序�,SSL VPN產品應該能記錄用戶登錄SSL VPN時的認證信息��,在用戶訪問OA時���,代替用戶提交認證�����,用戶不需要再次輸入用戶名和口令就可打開登錄成功后的頁面�。
端點安全
安裝SSL VPN產品后�,端點的安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL VPN��,在連接SSL VPN隧道后是否允許訪問互聯網���,在SSL VPN客戶端注銷后�����,訪問痕跡是否應該清理�����,都是SSL VPN需要重點考慮的幾個安全問題�。目前,國內很多SSL VPN產品也都有應對措施����。在客戶端主機接入之前��,先檢測終端主機上是否具備管理員要求的某些特征����,如操作系統版本、IE瀏覽器版本���、是否運行了殺毒軟件等等,如果不滿足安全策略���,則拒絕連接。在建立隧道后����,SSL VPN產品還可以禁止客戶端主機訪問隧道以外的網絡以確保隧道安全��;在終端用戶注銷后,還會自動清除此次的訪問痕跡�����,確保信息不被泄漏�����。此外,如果產品能實現帳號和客戶端主機特征綁定以及防偽造功能等��,將可以進一步提高客戶端的端點安全性��。
應用層防御
SSL VPN產品是以應用為核心的安全接入產品,因此應用層的安全防御必不可少���。目前���,防SQL注入���,防跨站腳本和防非法URL訪問等功能已經出現在一些國內品牌SSL VPN產品上。甚至有廠商還提供了基于帳號的最大并發(fā)上限控制功能���,有效防止了一個帳號惡意產生大量連接的DOS攻擊行為����,有效保障了應用服務系統��。
安全審計
SSL VPN產品相對傳統VPN的優(yōu)勢之一就是審計更加詳細���。相比而言,SSL VPN產品更關注帳號而不僅僅只是IP地址��。在日志中應該可以記錄哪個用戶���、在什么時間�,在什么地理位置通過哪個ISP登錄了SSL VPN,訪問了什么服務�,訪問了哪些Web頁面等等。另外��,SSL VPN產品還應該提供基于各種條件(如時間范圍、關鍵字等)的查詢功能����,甚至可以根據時間范圍生成報表提供瀏覽和下載�����。
綜合以上所有因素來看���,SSL VPN產品與其說是一項技術�,不如視之為服務���。誰的SSL VPN產品能在上面所述各項技術和功能中做得更精細,更人性化����,更貼近用戶需要,誰的產品就會在激烈的市場競爭中取得勝利����。
