信息化和商业化社会的发展,使分布在世界各地的企业各分支机构员工、合作伙伴和客户之间的联系更加紧密。如何安全、快速、方便地远程访问企业内部资源,已经成为管理者首先要解决的问题。这其中,通过租用专线的方式实现点到点之间的远程连接无疑是一种迅速、安全且可靠的通信手段,但其成本过高,并不适合大多数企业应用。对于那些需要快速连接分支机构,而又要考虑成本的企业而言,VPN就成为了一种不错的选择。
IPSec VPN和SSL VPN这两种VPN架构,从整体的安全等级来看,两种都能够提供安全的远程登入存取联机。但SSL VPN在易于使用性及安全层级方面,比IPSec VPN更好。我们都知道,由于Internet的迅速扩展,企业远程安全登入的需求也日益提升。对于使用者而言,方便安全的解决方案,才能真正符合需求。
IPSec VPN存危险通道
与电子商务和网上银行服务一样,SSL VPN采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅、酒店、无线热点和客户端间,SSL VPN克服了IPSec VPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方,设置传统的IPSec VPN非常困难,甚至是不可能的,这是由于IPSec VPN必须更改网络地址转换(NAT)和防火墙设置。
而IPSec VPN使用十分复杂,必须安装和维护客户端软件。另外,从远程通过IPSec通道连接到企业内部网络可能会增加局域网受到攻击或被病毒感染的可能。这条安全通道的建立,使得分支机构或者在外移动办公员工的PC和被访问资源之间形成了一条潜在的“危险通路”,危险容易从分支渗透到VPN另外一端的企业总部。
原因很简单,IPSec VPN基于网络第二层,它只是打开了从分支到总部的通路,对于里面数据的安全性能没有有效的办法保证。IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。
SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。目前,企业中越来越多的ERP、CRM等应用开始采用Web方式实现,如何保证远端建立的连接是安全的,正在访问企业ERP、CRM等敏感资源的“会话”是安全的?IPSec VPN对于这方面无能为力:因为对于这种访问请求身份的判断验证已经超越了网络第二层的范畴,它是网络第七层,也就是应用层才关注的内容。
SSL VPN是基于应用层的VPN,这就意味着在安全性上已经不仅局限在可以让数据安全传输过来,而且还关注传输过来的数据究竟是什么内容。对于企业而言,采用SSL VPN,不仅可以让外地员工对Web化的ERP应用进行访问,而且可以知道访问ERP应用的数据连接究竟是由哪个员工发起、他或者她究竟有哪些权限来进行操作。
从简单实现性能来说,SSL VPN最大的优势在于客户端只需要具有浏览器即可。目前SSL功能已经内嵌到浏览器里面去;而IPSec VPN则需要在客户端安装相关软件。此外,兼容性上,许多IPSec VPN客户端对于操作系统有要求,SSL VPN则不那么复杂。
Web指引SSL VPN前行
SSL VPN的最大优势在于Web。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN公认的三大好处,首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要繁琐的安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。
虽然SSL VPN有诸般好处,但SSL VPN并不能取代IPSec VPN。因为,这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSec VPN是在两个网站之间通过专线或互联网安全连接以及两台服务器之间的安全连接,保护的是点对点之间的通信,并且,它不局限于Web应用。而且IPSec VPN的厂商也开始研究怎样让IPSec VPN兼容SSL VPN,增强易用性。如果真能做到这点,IPSec VPN的扩展性将大大加强,市场生命力也将更长久。
准备拥抱SSL VPN
长久以来,企业一般都是通过部署IPSec VPN来为移动用户和商业合作伙伴提供访问其后台服务和资源的远程接入通道。现在对于站点到站点(Site-to-Site)的通迅,IPSec VPN恐怕仍是惟一的解决方案,但在客户到企业(Client-to-Enterprise)的连接这方面,IPSec VPN却面临着迅速失宠的尴尬局面,原因之一就在于随着客户端用户人数的增长,为他们安装IPSec VPN客户端和提供技术支持的工作已经让众多网络管理员不堪重负。另外,IPSec隧道也为攻击者留下了打通企业防火墙并直接威胁中心网络所可以利用的通道。
考虑到IPSec VPN存在这些基本的问题,也就不难解释为什么现在SSL VPN越来越受到IT管理员们的关注。SSL VPN不需要安装其他的客户端软件,只要有支持SSL的浏览器就行,自然也就不需要对客户端进行维护和支持了,这不但节省了IT人员大量的时间和精力,同时也意味着远程用户在进行远程访问时不会再受到地域的限制,不论是在公共网吧或是在商业合作伙伴那里,甚至是随手借一台笔记本,只要有网络,远程访问就没问题。
更重要的是,SSL VPN的实现不需要任何连入企业的开放的隧道,SSL VPN会对每个连接执行相应的安全策略,并能依据不同的用户身份、地域和设备为其分配访问相应资源的权限,如果再配上良好的安全控制策略,那么在管理员没有明确许可的情况下所有资源都将受到保护并被禁止访问。
公平地讲,企业没有必要现在就立即抛弃所有IPSec VPN设备而以SSL VPN替换,不过现在开始部署SSL VPN并朝这方面迁移还是很有意义的。IPSec VPN和SSL VPN完全可以共存并在功能上互补,这样从一个平台迁移到另一个平台的过程就可以更平稳一些。就算对那些已经在IPSec VPN上投入大量资金的企业来说,往SSL VPN上迁移也是有充分理由的,因为对于IPSec VPN来说,在每个客户身上所花的技术支持费用要远远超过SSL VPN,而在这方面节省的资金就足够抵消用于购买新设备的开支了。由于SSL VPN所有的东西都集中在一起,长远来看管理起来更加容易。而且SSL VPN基于客户的浏览器,一旦有策略方面的变动时,客户的下一次连接就能自动适应相应的变动。
另外,在安全性上SSL VPN要胜过IPSec。所有SSL VPN的连接,甚至包括类似IPSec风格的第三层隧道,都要受到相应的访问控制策略的限制,这样管理员就可以限制对某些特定资源的访问,而不像IPSec那样,一旦用户连入后整个网络都暴露在他面前。Gartner的报告称:那些希望使用更加简单更加灵活的方式部署他们的安全远程访问系统的企业应该考虑使用SSL VPN。这项基于SSL的技术,简单、易用而且不需要高额费用,IPSec VPN相比,建立在SSL上的VPN更容易部署和支持。
F5公司则表示:企业拥有在外办公的员工越多,就越可能率先采用SSL VPN。比如一些大型企业‘精简机构’,希望那些旅行的员工可以异地安全访问企业网络资源或者应用,SSL VPN就会比IPSec VPN有更好的表现。SsfeNet公司认为:与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。
任何安装浏览器的机器都可以使用SSL VPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机,工作机和客户机等等),需要与公司机密信息相连接的用户至关重要。
SSL VPN有局限性
随着市场的逐步成熟,我们有越来越多的理由期待SSL VPN成为企业的首选VPN设备。然而SSL VPN相对IPSec VPN的种种优点,对于应用VPN的大、中型企业来说,却显得微不足道。一个企业往往运行了很多种应用(OA、财务、销售管理、ERP),很多应用并不基于Web,单纯只有Web应用的企业极少。一般企业希望VPN能达到局域网的效果,比如网上邻居,而SSL VPN只能保护应用层协议,如WEB、FTP等,要保护更多的应用,SSL VPN根本做不到。所以目前的SSL VPN还仅适用于基于Web的应用,范围相当有限。只能说未来基于Web的便捷性会吸引很多用户转向SSL VPN。
SSL VPN的代表产品
ArrayNetworks公司的面向大型企业网络核心应用的产品Array SPX 5000
Array SPX 5000是面向大型企业和电信运营商核心业务/应用的SSL VPN产品。它能保证企业客户在任何时间,任何地方,以任何接入设备,都可以通过Internet安全地访问企业的核心应用。因其并发用户数达到64000个,更得到电信级客户的青睐。值得一提的是ArraySPX5000的反应速度要比以往的SSL VPN快近2倍,并且能够保持近千兆的线路速率进行SSL通讯传输。达到如此高的传输指标,对于SSL VPN产品来说尚属首次,这意味着取代大型企业中以往所应用的IPSec VPN网关将不再是遥不可及的奢望。
SafeNet公司的新一代远程访问系统iGate SSL VPN
iGateSSL VPN采用对称和非对称两种方式执行加密操作。客户端到iGateSSL VPN之间通过采用SSL协议加密建立安全的专用加密通道,而iGate与后端服务器之间则使用标准的http通讯协议或相应TCP端口,不会因为SSL加解密工作给服务器带来任何负担。对服务器端的身份认证使用标准SSL验证。使用iGateSSL VPN,病毒从远程客户端入侵的可能性也会大大降低。因为感染病毒的机器只会局限在某一台进行远程接入的主机,不会蔓延到整个网络,而且这个病毒必须针对远程接入应用程序,不同类型的病毒也不会感染主机。
Nokia公司的安全访问系统(Secure AccessS ystem)3.0版
Nokia的安全访问系统(NSAS)支持Web门户、文件共享、TCP应用和第三层隧道。NSAS支持多种认证方式,包括LDAP、活动目录、NT局域网管理器NTLM、RADIUS、PKI证书和本地数据库,它的认证方式是全局性的,不同的虚拟站点不能有各自不同的认证方式。在服务可靠性方面,NSAS在没有额外硬件的情况下能支持两个节点的集群。NSAS内建的用于取代IPSec的技术被称为安全连接器(SecureConnector),它支持全隧道模式和半隧道模式。安全连接器允许管理员为远程用户创建一个内部IP地址池,而隧道的访问控制的定义则采用类似防火墙风格的允许/拒绝规则集。
F5Networks公司的FirePass 4100
FirePass 4100也有一些其他同类产品比较少见的功能,比如内容过滤和防病毒扫描(两者均使用开源软件实现),而且甚至能支持站到站的IPSec隧道终结。FirePass4100的集群功能尤其强大,不但同时支持主集群和主备集群两种方式,而且10个节点的集群就能支持多达1万个并发用户。通过仅面向TCP的AppTunnels和名为NetworkAccess的第三层连接器,FirePass4100能提供标准的对基于门户的(portal-based)Web应用的访问。它也能让瘦客户端访问那些运行于服务器端的应用,如CitrixMetaFrame虚拟工作平台、微软的终端服务和XWindows等。
JuniperNetworks公司的NetScreen-SA 5000
NetScreen-SA 5000的前身是Neoteris公司的Access系列SSL设备,在Juniper收购了NetScreen之后,NetScreen-SA5000作为后续产品,其安全引擎更强大,硬件也得到了升级。目前该产品的软件版本为4.2,虽然人机界面还需要组织地更好一些,但总体来看,该产品已经被证明是足够灵活和安全的。NetScreen-SA5000支持所有标准的远程访问方式,包括Web应用、基于TCP的应用、第三层隧道。对于Web应用,管理员所能定义的访问策略其粒度之细令人咂舌,各种细节都有相应的设置,从缓存策略到HTML重写到压缩等等。
6/8/2005
|