不支持Flash

让远程访问更加简单 浅谈SSLVPN技术

http://www.sina.com.cn 2007年03月02日 08:43 中关村在线
作者:中关村在线 张伟

    安全是互联网的一个永恒话题。为了保证网络的正常运行,我们不仅要做到“点”的安全,整个信息网络的安全则更为重要,为了达到这一目的,VPN技术(虚拟专用网)孕育而生,并且在日益频繁的商务活动推动下得到了广泛应用。不过,随着用户对网络安全性和其它使用需求的提升,传统的VPN技术已经不能满足,这时基于VPN的另外一种技术SSLVPN及时出现了,并且一跃成为目前网络安全领域中的“关键词”,那么和传统的VPN技术相比它的优势在哪里?更适用什么用户呢?下文中,我们将对此进行一些简单的分析。

    首先,我们不妨从概念上了解下SSLVPN。简单的说,SSL VPN 是对现有SSL 应用是一个补充,它增加了公司执行访问控制和安全的级别和能力。当然,如果我们用SSL+VPN=SSLVPN的公式看待这项新技术的话可能易懂些:SSL是通过加密方式保护在互联网上传输的数据安全性,它可以自动应用在每一个浏览器上;VPN 则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。


让远程访问更加简单浅谈SSLVPN技术
SSLVPN示意图

    从对SSL和VPN的解释中我们基本上已经可以猜到SSLVPN最大的用途就是在于解决远程访问问题。

    那么SSLVPN是如何解决远程访问问题,传统的VPN技术为何不能满足用户这一需求呢?这里我们还得要从SSLVPN与传统VPN的区别说起。

    像上文中说道的一样,VPN开发者(网景公司)的最初目是解决外部网络访问本地网络的安全性,或者是解决那些企业分支多,而且相互间的网络基础设施互不兼容的情况。但是对于那些需要远程访问连接的用户来说,他们则必须在家里或者是其他地方的计算机上安装VPN 客户端,并且需要进行相当复杂的配置,这样无疑是件相当麻烦的事情。

    相反,和IPSec VPN相比SSL VPN解决远程用户访问更简单的技术。之所以这样说是因为,任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。在SSL代理中的一个关键优势就是不需要在客户端安装另外的软件,而只需要在服务器端安装相应的软件和硬件,然后通过服务器向客户端发布。这一点对于拥有大量机器(包括家用机,工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。

让远程访问更加简单浅谈SSLVPN技术
VPN示意图

    从以上的对比中我们可以得出这样的结论:远程访问相对困难、安装和维护较难和需要大量客户端软件都是传统的IPSec VPN的“弱点”。另外,虽然已有许多开发的操作系统提出对IPSec协议的支持,但是IPSec安全协议客户的计算机通常只运行基于Windows系统,很少有运行其它PC系统平台的,如Mac、Linux、Solaris 等。

    当然,SSLVPN也并不是全面优于传统的VPN技术。

    由于传统VPN的过多要求,如:需要软件客户端支撑,不支持公共Internet站点接入,这限制了远程用户的访问。但也正因为如此,其安全性得到了进一步的保证。由于IPSec工作于网络层,所以不管是哪类网络应用,其都可以对终端站点间所有传输数据进行保护;而且IPSec VPN要求在远程接入的客户端必须安装和配置IPSec客户端软件和接入设备才能访问,在基于特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制下,达到提升网络安全性的效果。

    而SSLVPN,虽然免去了远程客户端安装程序和配置的麻烦,实现了“零客户端”架构,让其可以通过任何Web浏览器访问内部网络;但由于其可运用公众Internet站点接入,使得安全隐患相对增加。


    鉴于传统VPN和SSLVPN技术特点的不同,他们也分别适用于不同类型的的用户。

     由于SSL VPN“零客户端”架构,其他任何点无需安装任何软件或硬件,而VPN必需在每一个点安装软件客户端或硬件设备。所以,在大规模组建VPN隧道时SSLVPN是最佳选择,它能为用户提供方便远程连接服务;在用户需要建立小规模VPN隧道时传统VPN则更为合适。

    另外在售价方面,SSLVPN设备要远高于VPN设备,两者之间的差价大概在4倍左右。但考虑到SSLVPN优秀的远程访问性能,它还是具有相当的“诱惑力”的。SSLVPN在简化商务网络沟通的同时,也为企业员工提供了便捷的远程工作服务,这将为企业带来高额的投资回报率。

    综上所述:考虑到使用需求、成本投入和商务应用需求,企业用户应该针对应用方案本身、网络安全性,来决定选择哪些VPN策略。

爱问(iAsk.com)
不支持Flash
 
不支持Flash
不支持Flash