4006-967-446
沃通数字证书商店SSL VPN 技术专题
虚拟专用网 (VPN) 是通过一个互联网建立一个临时的、安全的连接,是一条穿过公用网络到企业内部网的安全、稳定的通信隧道。虚拟专用网是对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。 
SSL VPN 指采用 SSL 协议来加密 IP 数据链路实现 远程接入 的一种新型 VPN 技术。由于 SSL 协议广泛内置于 IE 等各种浏览器中,使用 SSL 协议进行认证和数据加密的 SSL VPN 与传统的 IPSec VPN 相比, SSL VPN 具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的 VPN 之间的差别就类似客户端 / 服务器端 (C/S) 应用构架和浏览器 / 服务器端 (B/S) 应用构架的区别。
由于企业普遍采用 B/S 架构来建立内部管理系统,而且必须满足远程用户安全接入的要求,所以, SSL VPN 产品已经在各行各业中得到了越来越多的应用部署,如企业内部网、校园网、政府内部网等等。但是,目前的 SSL VPN 部署中仍然有不小安全隐患,也就是说:这条通往企业内部的安全隧道并不是十分安全,这对于依赖各种内部管理系统 ( 如: OA 、 CRM 、 ERP 、 SCM) 的企事业单位来讲,是非常危险的事。这些安全隐患如果不能得到及时解决,则极有可能使得企业机密数据从这个秘密隧道泄露出来,会给企业带来不可弥补的经济损失和其他损失。本专题意在指出各种 SSL VPN 部署中可能存在的安全隐患,并提出其解决方案。
一、 什么是 VPN ?什么是 SSL VPN
美国国家标准技术研究院(NIST) 对于 VPN 的定义是: Virtual Private Network: A virtual network built on top of existing networks that can provide a secure communications mechanism for data and IP information transmitted between networks (VPN 是一个建立在公网上的虚拟网络,它能为内部网的数据和 IP 信息传输提供一个安全的通信通道 )
而按照 Wikipedia 上的解释是: 虚拟专用网 (VPN, Virtual Private Network) 是一个使用互联网等公共电信基础设施的而建立的专用网络,为分支办公室或个人用户提供安全的访问他们单位的内部网络。 它的目的是避免自建或租用一个仅供一个单位使用的昂贵的专线网络。虚拟专用网的目标是提供具有相同的安全能力的,但成本低得多的内部网络。
虚拟专用网 (VPN) 是通过一个互联网建立一个临时的、安全的连接,是一条穿过公用网络到企业内部网的安全、稳定的通信隧道。虚拟专用网是对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
目前 VPN 产品中主要分 IPSec VPN 和 SSL VPN 两大类, IPSec VPN 是指采用 IPSec 安全技术标准的 VPN 设备,而 SSL VPN 指采用 SSL 协议来加密 IP 数据链路实现 远程接入 的一种新型 VPN 技术。 由于 SSL 协议广泛内置于 IE 等各种浏览器中,使用 SSL 协议进行认证和数据加密的 SSL VPN 与传统的 IPSec VPN 相比, SSL VPN 具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的 VPN 之间的差别就类似客户端 / 服务器端 (C/S) 应用构架和浏览器 / 服务器端 (B/S) 应用构架的区别。
具体来讲, SSL VPN 与 IPSec VPN 相比有如下 4 大明显的技术优势:
(1) SSL VPN 比 IPSec VPN 部署和管理成本更低: IPSec VPN 最大的难点在于客户端需要安装复杂的软件,而且当用户的 VPN 策略稍微有所改变时, VPN 的管理难度将呈几何级数增长。 SSL VPN 则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的 SSL 安全加密协议,安全地访问网络中的信息。
(2) SSL VPN 比 IPSec VPN 更安全 : SSL VPN 只需要开放 443 端口,而 IP Sec VPN 需要根据不同的应用开放不同的端口,而且是等于直接物理访问内部网络,会因为外部接入点的不安全而影响到内网的安全。
(3) SSL VPN 比 IPSec VPN 有更好可扩展性 : IPSec VPN 在部署时一般放置在网络网关处, SSL VPN 一般部署在内网中任一节点处, IPSec VPN 的可扩展性比较差。
(4) SSL VPN 在访问控制方面比 IPSec VPN 有更细粒度 : IPSec VPN 部署在网络层,可以访问整个内部网;而 SSL VPN 则在应用层,可以控制用户访问不同的应用系统和不同的数据,具有更细的控制度。
一般而言, SSL VPN 必须满足最基本的两个要求:
(1) 必须使用 SSL 协议进行认证和加密;没有采用 SSL 协议的 VPN 产品自然不能称为 SSL VPN 。而且必须采用 128 位或以上密钥长度加密,否则会由于加密强度不够而形同虚设;
(2) 一般来讲,访问 SSL VPN 直接使用浏览器就能登录到内部网管理系统,无需安装独立的客户端。如果采用专用 VPN 客户端软件,则一定要确保使用了 https 方式实现 VPN 访问。
SSL VPN的4种常见部署方式如下图所示:
