首页>解决方案>SSL VPN 设备选购五大注意事项

SSL VPN 技术专题

虚拟专用网 (VPN) 是通过一个互联网建立一个临时的、安全的连接,是一条穿过公用网络到企业内部网的安全、稳定的通信隧道。虚拟专用网是对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。

SSL VPN 指采用 SSL 协议来加密 IP 数据链路实现 远程接入 的一种新型 VPN 技术。由于 SSL 协议广泛内置于 IE 等各种浏览器中,使用 SSL 协议进行认证和数据加密的 SSL VPN 与传统的 IPSec VPN 相比, SSL VPN 具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的 VPN 之间的差别就类似客户端 / 服务器端 (C/S) 应用构架和浏览器 / 服务器端 (B/S) 应用构架的区别。

由于企业普遍采用 B/S 架构来建立内部管理系统,而且必须满足远程用户安全接入的要求,所以, SSL VPN 产品已经在各行各业中得到了越来越多的应用部署,如企业内部网、校园网、政府内部网等等。但是,目前的 SSL VPN 部署中仍然有不小安全隐患,也就是说:这条通往企业内部的安全隧道并不是十分安全,这对于依赖各种内部管理系统 ( 如: OA 、 CRM 、 ERP 、 SCM) 的企事业单位来讲,是非常危险的事。这些安全隐患如果不能得到及时解决,则极有可能使得企业机密数据从这个秘密隧道泄露出来,会给企业带来不可弥补的经济损失和其他损失。本专题意在指出各种 SSL VPN 部署中可能存在的安全隐患,并提出其解决方案。

四、 SSL VPN 设备选购五大注意事项

一、 什么是 VPN ?什么是 SSL VPN

二、 SSL VPN 部署中存在的主要问题

三、 SSL VPN 部署中存在的主要问题解决方案

SSL VPN 由于其强大的功能和实施的方便性应用越来越广泛,市场上的 SSL VPN 品牌也越来越多,如何选择适合自己的产品是需要用户仔细考虑的一个问题,本文从下面五个方面的需求来说明如何选择 SSL VPN 产品:

一、应用需求

选择 VPN 是为了支持远程访问内部网络的应用,因此这一点也是最先需要考虑的一点,目前,大多数 SSL VPN 支持我们日常经常会用到的邮件系统、 OA 系统、 CRM/ERP 等等,但并不是所有的应用 SSL VPN 都能够提供支持。因此,在决定使用一款 SSL VPN 前一定要先确定是否能支持你的应用。

二、安全需求

要构建一个安全的 VPN 系统,不仅仅需要传输过程安全,还要提高系统安全性,以下几个方面是缺一不可的:

(1) 传输过程安全

传输的过程加密强度是确保内部数据不在传输过程中被黑客盗取的关键因素。传输过程加密强度越高,传输安全性就越有保障。如上所述, 40 位和 56 位加密已经不安全,必须选择支持 128 位加密的 SSL VPN 产品,选择时需要特别注意此点。

(2) 用户身份验证

用户名加密码的验证方式已经非常不安全了,除了用户名和密码外,能提供其他的双因素验证方式的产品更加具有优势,如:客户端证书认证或 OTP 动态密码认证等。

(3) 客户端电脑的安全性:

客户端电脑是否安装了防火墙、防病毒软件等。如果客户端电脑不够安全,比如有木马程序,那么系统依然存在安全隐患。目前部分 SSL VPN 能够提供客户端环境检测,比如检测客户端是否安装了防火墙和防病毒软件。当客户端不符合某个条件时,系统将禁止用户登陆。

(4) 完成访问后,客户端需要清除客户端电脑的缓存

在移动用户完成远程访问后,系统应该提醒用户清除客户端电脑中的各种缓存,否则,如果是共用电脑的话,不法分子可以通过拷贝、复制驻留在客户端电脑中的缓冲区内数据盗取企业机密信息。当然,如果系统支持用户离线后可自动清除用户缓冲区的内容就更好了。

(5) 服务端管理和日志跟踪

SSL VPN 服务器应该提供访问统计和跟踪功能,这样管理员能够根据日志随时掌握系统访问情况。并且能有实时监控功能,对于发现不安全连接应该有能断开其连接的功能。

三、管理需求

SSL VPN 的突出优势之一就在于移动性强、易用性强。但这些特性往往会增加管理难度。因此用户在选购 SSL VPN 时要重点考虑产品的管理性能。产品要做到界面简单,使用方便,灵活、细致地设置访问权限 , 采用基于用户 / 组 / 角色的认证机制,每个文件、网址或应用都可进行单独设置,使访问控制更易于管理。

四、性能需求

由于是集中系统, SSL 加速决定整个网络的吞吐量。如果 SSL 加速跟不上,远程接入就会比实际的 Internet 接入带宽低很多。有的 SSL VPN 产品采用专门的 SSL 加速硬件,从而提高了 VPN 的响应速度。另外,通过数据压缩技术,还对所有的传输数据进行压缩后再进行传输,这样就提高了整个网络的运行效率和实用性。

五、服务需求

除了上面提到的几点外,具有良好的售前和售后服务也至关重要。 SSL VPN 还是一个在不断发展的技术,更新的可能会比较快,提供 SSL VPN 的厂家是否具有良好的产品服务质量、渠道响应速度和本地支持能力也非常重要。比如承诺免费或低费用升级等等。

总结

SSL VPN 的发展迎合了用户对低成本、高性价比远程访问的需求。现在,它已经广泛应用于各行各业。选购 SSL VPN 时,用户还要根据自身特点和不同的业务模式,选择适合自己的 SSL VPN 产品,因此用户在选购时可以少考虑一些扩展性,多注重产品的实用性。

最后需要强调是:即使 SSL VPN 厂商告诉您不需要购买支持浏览器的 SSL 证书,我们也建议您花点钱购买一个商业证书颁发机构颁发的 SSL 证书,因为,经我们的检测, SSL VPN 设备中自带的自签 SSL 证书没有一家是没有问题的 ( 除了不支持浏览器之外 ) ,绝对不能为了省一个 SSL 证书钱而为企业的内部网带来安全隐患。