關(guān)于SSL VPN技術(shù)原理及其應(yīng)用全面解析

 
　　隨著電子商務(wù)、企業(yè)信息化、教育信息化等信息化進(jìn)程的推進(jìn)，整個(gè)社會(huì)的信息化程度不斷提高。在人們的工作、生活中，信息處理變得越來越重要了。而作為信息處理的一種典型模式，企業(yè)等各類社會(huì)組織的“內(nèi)部資源處理系統(tǒng)”迅速地發(fā)展起來，并逐步成為組織的各種業(yè)務(wù)的基礎(chǔ)設(shè)施。在這些內(nèi)部資源系統(tǒng)的服務(wù)器和主機(jī)上，配置了大量的業(yè)務(wù)處理應(yīng)用軟件，存放了越來越多的數(shù)據(jù)。這些資源（軟件和數(shù)據(jù)）與組織的各種業(yè)務(wù)緊密相關(guān)，已經(jīng)成為組織的重要財(cái)富，在企業(yè)的發(fā)展中起著重要的作用。在全球化的商業(yè)環(huán)境中，一個(gè)大型的跨國(guó)企業(yè)可能在全世界都有其子公司或是分支機(jī)構(gòu)，那么如何安全快速的遠(yuǎn)程訪問企業(yè)內(nèi)部資源呢。目前企業(yè)內(nèi)部資源的遠(yuǎn)程訪問只能達(dá)到對(duì)內(nèi)部文件的共享。多數(shù)的應(yīng)用也不可能作到本地辦公室一樣的方便。

隨著中國(guó)進(jìn)入WTO和經(jīng)濟(jì)全球化的進(jìn)程，企業(yè)為了提高工作效率和競(jìng)爭(zhēng)能力，遠(yuǎn)程訪問、移動(dòng)辦公已經(jīng)成了各種社會(huì)組織的普遍需要。由于Internet的普及和發(fā)展，通過 IPSec VPN技術(shù)實(shí)現(xiàn)大量數(shù)據(jù)的遠(yuǎn)程訪問為人們提供了一種低運(yùn)行成本、高生產(chǎn)效率的遠(yuǎn)程訪問方式。但是，IPSec VPN也有不足，它使用十分復(fù)雜，必須安裝和維護(hù)客戶端軟件。另外，從遠(yuǎn)程通過IPSec通道連接到企業(yè)內(nèi)部網(wǎng)絡(luò)可能會(huì)增加局域網(wǎng)受到攻擊或被病毒感染的可能。SSL VPN(安全套接層虛擬專網(wǎng))技術(shù)的出現(xiàn)剛好解決的這一問題。 SSL VPN技術(shù)幫助用戶通過標(biāo)準(zhǔn)的Web瀏覽器就可以訪問重要的企業(yè)應(yīng)用。這使得部門員工出差時(shí)不必再攜帶自己的筆記本電腦，僅僅通過一臺(tái)接入了Internet的計(jì)算機(jī)就能訪問企業(yè)資源，這為企業(yè)提高了效率也帶來了方便，同時(shí)很好的解決了安全性問題。

SSL VPN原理

如果把SSL 和VPN 兩個(gè)概念分開，大家對(duì)他們的含義應(yīng)該都非常清楚，但是作為一種新技術(shù)，它們之間是如何結(jié)合起來的大家也許還不是很了解。從學(xué)術(shù)和商業(yè)的角度來講，因?yàn)樗麄兇�表的含義有所不同，因而常常會(huì)被曲解。

SSL（安全套接層）協(xié)議是一種在Internet上保證發(fā)送信息安全的通用協(xié)議。它處于應(yīng)用層。SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議（如HTTP、Telnet和FTP等）和 TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶機(jī)認(rèn)證。SSL協(xié)議包括握手協(xié)議、記錄協(xié)議以及警告協(xié)議三部分。握手協(xié)議負(fù)責(zé)確定用于客戶機(jī)和服務(wù)器之間的會(huì)話加密參數(shù)。記錄協(xié)議用于交換應(yīng)用數(shù)據(jù)。 警告協(xié)議用于在發(fā)生錯(cuò)誤時(shí)終止兩個(gè)主機(jī)之間的會(huì)話。

VPN（虛擬專用網(wǎng)）則主要應(yīng)用于虛擬連接網(wǎng)絡(luò)，它可以確保數(shù)據(jù)的機(jī)密性并且具有一定的訪問控制功能。VPN是一項(xiàng)非常實(shí)用的技術(shù)，它可以擴(kuò)展企業(yè)的內(nèi)部網(wǎng)絡(luò)，允許企業(yè)的員工、客戶以及合作伙伴利用Internet訪問企業(yè)網(wǎng)，而成本遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的專線接入。過去，VPN 總是和IPSec 聯(lián)系在一起，因?yàn)樗�是VPN 加密信息實(shí)際用到的協(xié)議。IPSec 運(yùn)行于網(wǎng)絡(luò)層，IPSec VPN 則多用于連接兩個(gè)網(wǎng)絡(luò)或點(diǎn)到點(diǎn)之間的連接。

所謂的SSL VPN，其實(shí)是VPN設(shè)備廠商為了與IPsec VPN區(qū)別所創(chuàng)造出來的名詞，指的是使用者利用瀏覽器內(nèi)建的Secure Socket Layer封包處理功能，用瀏覽器連回公司內(nèi)部SSL VPN服務(wù)器，然后透過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，讓使用者可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序，讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。它采用標(biāo)準(zhǔn)的安全套接層（SSL）對(duì)傳輸中的數(shù)據(jù)包進(jìn)行加密，從而在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。高質(zhì)量的SSL VPN解決方案可保證企業(yè)進(jìn)行安全的全局訪問。在不斷擴(kuò)展的互聯(lián)網(wǎng)Web站點(diǎn)之間、遠(yuǎn)程辦公室、傳統(tǒng)交易大廳和客戶端間，SSL VPN克服了IPSec VPN的不足，用戶可以輕松實(shí)現(xiàn)安全易用、無需客戶端安裝且配置簡(jiǎn)單的遠(yuǎn)程訪問，從而降低用戶的總成本并增加遠(yuǎn)程用戶的工作效率。而同樣在這些地方，設(shè)置傳統(tǒng)的IPSec VPN非常困難，甚至是不可能的，這是由于必須更改網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和防火墻設(shè)置。

通過SSL VPN遠(yuǎn)程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的構(gòu)架

SSL VPN的實(shí)現(xiàn)

簡(jiǎn)單的來講，SSL VPN一般的實(shí)現(xiàn)方式是在企業(yè)的防火墻后面放置一個(gè)SSL代理服務(wù)器。如果用戶希望安全地連接到公司網(wǎng)絡(luò)上，那么當(dāng)用戶在瀏覽器上輸入一個(gè)URL后，連接將被SSL代理服務(wù)器取得，并驗(yàn)證該用戶的身份，然后SSL代理服務(wù)器將提供一個(gè)遠(yuǎn)程用戶與各種不同的應(yīng)用服務(wù)器之間連接。掌握四個(gè)關(guān)鍵術(shù)語的含義有助于理解SSL VPN是如何實(shí)現(xiàn)的。即：代理、應(yīng)用轉(zhuǎn)換、端口轉(zhuǎn)發(fā)和網(wǎng)絡(luò)擴(kuò)展。

SSL VPN網(wǎng)關(guān)至少要實(shí)現(xiàn)一種功能：代理Web頁面。它將來自遠(yuǎn)端瀏覽器的頁面請(qǐng)求（采用HTTPS協(xié)議）轉(zhuǎn)發(fā)給Web服務(wù)器，然后將服務(wù)器的響應(yīng)回傳給終端用戶。

對(duì)于非Web頁面的文件訪問，往往要借助于應(yīng)用轉(zhuǎn)換。SSL VPN網(wǎng)關(guān)與企業(yè)網(wǎng)內(nèi)部的微軟CIFS或FTP服務(wù)器通信，將這些服務(wù)器對(duì)客戶端的響應(yīng)轉(zhuǎn)化為HTTPS協(xié)議和HTML格式發(fā)往客戶端，終端用戶感覺這些服務(wù)器就是一些基于Web的應(yīng)用。

在進(jìn)行代理和應(yīng)用轉(zhuǎn)換時(shí)，測(cè)試者發(fā)現(xiàn)，這些產(chǎn)品之間存在著很大的差別。有的產(chǎn)品所能支持的應(yīng)用轉(zhuǎn)換器和代理的數(shù)量非常少。有的則很好地支持了FTP、網(wǎng)絡(luò)文件系統(tǒng)和微軟文件服務(wù)器的應(yīng)用轉(zhuǎn)換。 用戶在選擇網(wǎng)關(guān)時(shí)，必須對(duì)自己所需要轉(zhuǎn)換的應(yīng)用有一個(gè)很明確的了解，并能夠根據(jù)它們的重要性給它們排個(gè)先后順序。

而有一些應(yīng)用，如微軟Outlook或MSN，它們的外觀會(huì)在轉(zhuǎn)化為基于Web界面的過程中丟失。此時(shí)要用到端口轉(zhuǎn)發(fā)技術(shù)。端口轉(zhuǎn)發(fā)用于端口定義明確的應(yīng)用。它需要在終端系統(tǒng)上運(yùn)行一個(gè)非常小的Java或ActiveX程序作為端口轉(zhuǎn)發(fā)器，監(jiān)聽某個(gè)端口上的連接。當(dāng)數(shù)據(jù)包進(jìn)入這個(gè)端口時(shí)，它們通過SSL連接中的隧道被傳送到SSL VPN網(wǎng)關(guān)，SSL VPN網(wǎng)關(guān)解開封裝的數(shù)據(jù)包，將它們轉(zhuǎn)發(fā)給目的應(yīng)用服務(wù)器。使用端口轉(zhuǎn)發(fā)器，需要終端用戶指向他希望運(yùn)行的本地應(yīng)用程序，而不必指向真正的應(yīng)用服務(wù)器。

一些SSL VPN網(wǎng)關(guān)還可以幫助企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)擴(kuò)展。它將終端用戶系統(tǒng)連接到企業(yè)網(wǎng)上，并根據(jù)網(wǎng)絡(luò)層信息（如目的IP地址和端口號(hào)）進(jìn)行接入控制。雖然犧牲了高級(jí)別的安全性，卻也換來了復(fù)雜拓?fù)浣Y(jié)構(gòu)下網(wǎng)絡(luò)管理簡(jiǎn)單的好處。

SSL VPN的優(yōu)勢(shì)

在最重要的安全性方面，由于SSL協(xié)議本身就是一種安全技術(shù)，因此SSL VPN就具有防止信息泄漏、拒絕非法訪問、保護(hù)信息的完整性、防止用戶假冒、保證系統(tǒng)的可用性的特點(diǎn)，能夠進(jìn)一步保障訪問安全，從而擴(kuò)充了安全功能設(shè)施。首先SSL VPN可以實(shí)現(xiàn)128位數(shù)據(jù)加密，保證數(shù)據(jù)在傳輸過程中不被竊取，確保ERP數(shù)據(jù)傳輸?shù)陌踩�性。其次，多種認(rèn)證和授權(quán)方式的使用能夠只讓“正確”的用戶訪問內(nèi)部網(wǎng)絡(luò)，從而保護(hù)了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。

在應(yīng)用性方面，SSL VPN不需要安裝客戶端軟件。遠(yuǎn)程用戶只需借助標(biāo)準(zhǔn)的瀏覽器連接Internet，即可訪問企業(yè)的網(wǎng)絡(luò)資源。這樣盡管購(gòu)買軟件和硬件的費(fèi)用不一定低，但是 SSL VPN的部署成本卻很低。只要安裝了SSL VPN，基本上就不需要IT部門的支持了，所以維護(hù)成本可以忽略不計(jì)。對(duì)于那些只需進(jìn)入企業(yè)內(nèi)部網(wǎng)站或者進(jìn)行E-mail通信的遠(yuǎn)程用戶來說，SSL VPN顯然是一個(gè)價(jià)廉物美的選擇。此外，SSL VPN連接要比IPSec VPN更穩(wěn)定，這是因?yàn)镮PSec VPN是網(wǎng)絡(luò)層連接，故容易中斷。除此之外，在管理維護(hù)和操作性方面，SSL VPN方案可以做到基于應(yīng)用的精細(xì)控制，基于用戶和組賦予不同的應(yīng)用訪問權(quán)限，并對(duì)相關(guān)訪問操作進(jìn)行審計(jì)。此外，SSL VPN還提高了平臺(tái)的靈活性，方便擴(kuò)展應(yīng)用和增強(qiáng)性能，尤其是在降低使用成本、最有效地保護(hù)用戶投資這一敏感話題上，SSL VPN贏得了用戶最終的好感。

更值得一提的是，當(dāng)今Web成為標(biāo)準(zhǔn)平臺(tái)已勢(shì)不可擋，越來越多的企業(yè)開始將系統(tǒng)移植到Web上。而SSL VPN通過特殊的加密通訊協(xié)議，被認(rèn)為是實(shí)現(xiàn)遠(yuǎn)程安全訪問Web應(yīng)用的最佳手段，能夠讓用戶隨時(shí)隨地甚至在移動(dòng)中連入企業(yè)內(nèi)網(wǎng)，將給企業(yè)帶來很高的利益和方便。

無疑，伴隨企業(yè)信息化程度的加深，遠(yuǎn)程安全訪問、協(xié)同工作的需求會(huì)日益明顯，SSL VPN技術(shù)由于擁有全方位的優(yōu)勢(shì)，取代傳統(tǒng)的組網(wǎng)技術(shù)成為主流已為時(shí)不遠(yuǎn)。

SSL VPN的應(yīng)用

SSL VPN可以為企業(yè)提供多種遠(yuǎn)程訪問的服務(wù)。就下面常用服務(wù)進(jìn)行介紹：

E-mail：對(duì)于企業(yè)來說，電子郵件通信是一個(gè)很基本的功能。IPSec VPN可以保護(hù)郵件系統(tǒng)的安全性，但是IPSec VPN需要安裝客戶端軟件并且連接企業(yè)網(wǎng)絡(luò)，然后才能使用內(nèi)部的郵件系統(tǒng)。如果員工使用他人的電腦設(shè)備或者在其他的的網(wǎng)絡(luò)中時(shí)，就會(huì)面臨對(duì)方防火墻的地址轉(zhuǎn)換和安全策略帶來的障礙，無法連接企業(yè)網(wǎng)絡(luò)，從而無法使用內(nèi)部郵件系統(tǒng)。外出的工作人員在酒電里由于這些問題無法連接到企業(yè)內(nèi)部網(wǎng)絡(luò)是非常另人頭疼的問題。SSL VPN提供了一個(gè)比較好的方案，員工使用任何一個(gè)帶有瀏覽器的電腦就可以訪問基于Web的電子郵件系統(tǒng)，通過SSL VPN建立的安全通道收發(fā)郵件。SSL VPN還會(huì)把企業(yè)內(nèi)部所有的域名和服務(wù)器地址隱藏起來，以提高企業(yè)網(wǎng)絡(luò)的安全性。

內(nèi)部網(wǎng)訪問：即使不在辦公室，企業(yè)員工也需要使用內(nèi)部網(wǎng)中的一些文件資源，但是一般情況下企業(yè)不會(huì)開放整個(gè)內(nèi)部網(wǎng)絡(luò)以實(shí)現(xiàn)文件訪問。SSL VPN可以讓企業(yè)員工在任何地方，使用任何一個(gè)包含瀏覽器、連接到Internet的接入設(shè)備，實(shí)現(xiàn)對(duì)內(nèi)部特定資源的訪問。

面向合作伙伴的網(wǎng)絡(luò)資源：為了提高工作效率和加強(qiáng)合作關(guān)系，企業(yè)通常會(huì)對(duì)合作伙伴開放內(nèi)部站點(diǎn)和網(wǎng)絡(luò)資源。考慮到企業(yè)信息的保密性，如何能保證只有指定的合作伙伴才能訪問相應(yīng)的資源，以及保證信息在網(wǎng)絡(luò)上傳遞時(shí)不被截獲，就成為企業(yè)必須解決的問題。IPSec VPN在部署時(shí)無法保證對(duì)最終用戶的訪問限制，即只允許合作伙伴訪問內(nèi)部網(wǎng)絡(luò)中的指定資源，而且部署IPSec VPN會(huì)要求更改合作伙伴防火墻的安全策略，這是很難實(shí)現(xiàn)的。SSL VPN則完全不存在上述問題，企業(yè)甚至可以限制某一個(gè)合作伙伴只能訪問一個(gè)站點(diǎn)中的某些頁面和文件夾，并且不需要修改合作伙伴的安全策略，只要合作伙伴能夠訪問Internet即可。

目前形式

隨著Web應(yīng)用的增多以及遠(yuǎn)程接入需求的增長(zhǎng)，SSL VPN正在成為一個(gè)熱門市場(chǎng)。雖然目前大部分的遠(yuǎn)程接入服務(wù)都是由IPSec VPN來實(shí)現(xiàn)的，不過業(yè)內(nèi)人士指出，大約90%的企業(yè)利用IPSec VPN只是用來進(jìn)行電子郵件通信以及訪問Web應(yīng)用，只有10%的用戶利用IPSec VPN訪問非Web應(yīng)用。也就是說目前90%的IPSec VPN應(yīng)用都可以被SSL VPN來實(shí)現(xiàn)，而SSL VPN更加容易配置和管理，實(shí)現(xiàn)成本要比IPSec VPN低很多。 經(jīng)過幾年的發(fā)展，如今許多的大型公司對(duì)SSL VPN技術(shù)趨之若鶩，吸引著包括思科、諾基亞、Array Networks等在內(nèi)的國(guó)際知名廠商。目前，幾乎所有的主流商業(yè)瀏覽器都集成了SSL，實(shí)施SSL VPN不需要再安裝額外的軟件。Infonetics預(yù)測(cè)，在未來幾年，SSL VPN設(shè)備的全球銷售將會(huì)出現(xiàn)持續(xù)增長(zhǎng)。SSL VPN為運(yùn)營(yíng)商提供了新創(chuàng)收機(jī)遇，它為運(yùn)營(yíng)商及最終用戶創(chuàng)造的優(yōu)勢(shì)是以往任何技術(shù)都無法比擬的。現(xiàn)在，SSL VPN在一些1級(jí)運(yùn)營(yíng)商中的部署獲得成功，SSL VPN高速發(fā)展的時(shí)機(jī)已經(jīng)到來。