雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 5903|回复: 10

[讨论/求助] SSL VPN

[复制链接]
发表于 2013-3-12 16:02:09 | 显示全部楼层 |阅读模式
关于SSL VPN 哪位能够指教指教偶呢?

发表于 2013-3-12 17:12:25 | 显示全部楼层
欢迎高手来解答哦!
发表于 2013-3-12 20:02:22 | 显示全部楼层
什么问题拿出来研究研究啊
发表于 2013-3-12 21:23:01 | 显示全部楼层
SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。
SSL VPN的关键技术包括:Web代理、端口转发、应用转换、网络连接(Network Connection, NC),目前大部分的SSL VPN产品,都是以这几项技术的一项或几项为基础研发实现的。
首先是Web代理技术。由于用户需要访问内网的Web应用,而且希望访问方式尽量简便,而只有具备Web代理技术,SSL VPN产品才能做到100%零客户端,才能为用户提供最简便的接入方式,因此, Web代理技术对国产SSL VPN产品而言是一项必须技术,也是SSL VPN产品是否专业的重要标准之一。
除了Web代理技术,端口转发技术的重要性也不容小觑。除了要访问除Web应用外,用户还需要经常访问组织内部的C/S架构应用,例如邮件、FTP、文件共享、数据库、ERP等,这时,SSL VPN产品采用端口转发技术实现对C/S应用的处理,是再合适不过的了。

至于应用转换技术,目前国内用户需求并不迫切。由于SSL VPN产品需要把FTP、Email,SSH等应用以Web的形式重新实现,实现起来比较复杂,还可能存在提供的功能不够完整,界面不够友好,不太符合用户的操作习惯以及控件引用是不合法等一系列问题。从另一个角度来看,用户在没有使用SSL VPN之前,都已经习惯通过相应的客户端软件对C/S应用进行访问,在使用SSL VPN后,仍然希望通过使用原来的客户端软件访问内部的各种C/S应用。由此看来,应用转换技术并不十分适应于国内的用户,也并非是国产SSL VPN产品的必须功能。

最后再看NC技术,由于NC技术可以实现SSL VPN与应用无关的特性,因此客户端通过SSL VPN访问内部整个子网的需求仍然存在。然而,在使用该功能时,需要给客户端配置虚拟IP地址,这样一来,就会遇到地址规划上的一些问题,在配置和使用上也比较复杂。目前,国内已经有SSL VPN厂商注意到这个问题,为了更好地满足用户对易用性的要求,采用了一种“网络层代理”技术,客户端通过SSL VPN产品访问内部整个子网时,不需要借助虚拟IP地址,也不需要改变内网服务器网关指向,有效地解决了NC功能配置和使用复杂的难题。但目前,“网络层代理”技术还存在一个问题,即无法处理TCP连接由内向外发起的应用,无法做到“与应用无关”。如果有SSL VPN产品能够同时具备NC和**功能,将会受到更多国内用户的青睐。

丰富的认证方式:国内用户类型众多,对认证方式和安全性要求也不尽相同。除了基本的本地口令外,动态口令、短信口令、口令+动态附加密、证书+USBKEY、口令+证书+USBKEY等多因素认证方式也越来越常见,成为对SSL VPN产品的基本要求。此外,随着CA体系在中国不断健全,越来越多的用户从专业的CA企业购买服务,因此国产SSL VPN产品能否很好地与标准第三方CA系统兼容,能否提供标准OSCP、CRL等证书校验接口,在一定程度上决定了该产品能否应用到用户现有环境中。

线路优化:国内用户常常向不同的ISP申请了多个公网IP提供服务。如果SSL VPN产品能够利用多个网口通过多个公网IP对外提供接入访问,并可以根据接入客户端的ISP来源选择最佳路径,那么将可以大大提高访问效率,更好地适应国内的网络环境。

单点登录:在用户的内网中,OA系统通常都带认证功能,使用者需要提交用户名及口令才可登录。加上SSL VPN后,用户就首先要登录SSL VPN,然后再次提交认证信息登录OA,导致重复认证过程。为了简化登陆程序,SSL VPN产品应该能记录用户登录SSL VPN时的认证信息,在用户访问OA时,代替用户提交认证,用户不需要再次输入用户名和口令就可打开登录成功后的页面。

端点安全:安装SSL VPN产品后,端点安全也是不得不考虑的重要方面。是否允许所有PC都接入SSL VPN,在连接SSL VPN隧道后是否允许访问互联网,在SSL VPN客户端注销后,访问痕迹是否应该清理,都是SSL VPN需要重点考虑的几个安全问题。目前,国内很多SSL VPN产品也都有应对措施。在客户端主机接入之前,先检测终端主机上是否具备管理员要求的某些特征,如操作系统版本、IE浏览器版本、是否运行了杀毒软件等等,如果不满足安全策略,则拒绝连接。在建立隧道后,SSL VPN产品还可以禁止客户端主机访问隧道以外的网络以确保隧道安全;在终端用户注销后,还会自动清除此次的访问痕迹,确保信息不被泄漏。此外,如果产品能实现帐号和客户端主机特征绑定以及防伪造功能等,将可以进一步提高客户端的端点安全性。

应用层防御:SSL VPN产品是以应用为核心的安全接入产品,因此应用层的安全防御必不可少。目前,防SQL注入,防跨站脚本和防非法URL访问等功能已经出现在一些国内品牌SSL VPN产品上。甚至有厂商还提供了基于账号的最大并发上限控制功能,有效防止了一个账号恶意产生大量连接的DoS攻击行为,有效保障了应用服务系统。

安全审计:SSL VPN产品相对传统VPN的优势之一就是审计更加详细。相比而言,SSL VPN产品更关注账号而不仅仅只是IP地址。在日志中应该可以记录哪个用户、在什么时间,在什么地理位置通过哪个ISP登录了SSL VPN,访问了什么服务,访问了哪些Web页面等等。另外,SSL VPN产品还应该提供基于各种条件(如时间范围、关键字等)的查询功能,甚至可以根据时间范围生成报表提供浏览和下载。
发表于 2013-3-12 21:24:07 | 显示全部楼层
   是这样的么 copy 万岁!
发表于 2013-3-12 22:34:26 | 显示全部楼层
烤屁党面壁去……
 楼主| 发表于 2013-3-13 09:15:26 | 显示全部楼层
tea 发表于 2013-3-12 20:02
什么问题拿出来研究研究啊

没有什么问题,就是想了解下SSL VPN。

 楼主| 发表于 2013-3-13 09:22:49 | 显示全部楼层
tea 发表于 2013-3-12 20:02
什么问题拿出来研究研究啊

叔,听说你是VPN大神啊! 指教指教偶啊!还有它和IPSec VPN 有啥区别呢?

发表于 2013-3-13 09:59:35 | 显示全部楼层
1、最直接的区别,两者的工作层面不同,你可以理解为,IPsec着眼的是网络层,SSL着眼的是传输层以上,有时我们也成为神马会话层加密
2、另一个直观的区别是,也是说的最多的区别是,IPsec VPN在部署remote VPN时,依赖于客户端软件,而SSL VPN是clientless的,直接用web浏览器就可以实现认证、资源访问和加密,也就是https,所以你可以在任何地方,都可以登录上来
3、协议框架不同,IPsec你懂的,神马ISAKMP神马的,而SSL三大协议
4、SSLVPN在Site2site VPN模型就无能为力了,而IPsec VPN具有天然的优势,在这方面IPsec VPN完胜;然而在remote VPN模型下,SSLVPN杠杠的;另外SSL VPN在remoe VPN环境下扩展性能非常强,软件升级直接在终端- web完成,跟手机应用程序升级差不多,而且SSL VPN可以自定义web端的界面呈现,比较人性化,IPsec VPN……嗯……
5、个人感觉,SSL VPN目前的解决方案个人感觉不是特别的稳定,IPsecVPN相当成熟,也非常稳定,这尼玛好像跟没说似地

 楼主| 发表于 2013-3-13 12:52:18 | 显示全部楼层
tea 发表于 2013-3-13 09:59
1、最直接的区别,两者的工作层面不同,你可以理解为,IPsec着眼的是网络层,SSL着眼的是传输层以上,有时我 ...

那SSLVPN中TCP和IP接入方式呢?好像也要下载个神马客户端安装的?
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-12-23 08:56 , Processed in 0.099501 second(s), 18 queries , Gzip On.

快速回复 返回顶部 返回列表