近年來(lái)����,隨著國(guó)內(nèi)信息化建設(shè)的深入�,網(wǎng)銀系統(tǒng)����、企業(yè)移動(dòng)辦公、電子政務(wù)����、數(shù)字圖書(shū)館等的大規(guī)模建設(shè),國(guó)內(nèi)用戶(hù)對(duì)SSL VPN的需求不斷增加��,豐富的需求催生了國(guó)產(chǎn)品牌SSL VPN產(chǎn)品的迅速崛起�����,那么,SSL VPN都有哪些關(guān)鍵技術(shù)呢����?
Web代理
該技術(shù)的實(shí)現(xiàn)原理是:客戶(hù)端通過(guò)瀏覽器向SSL VPN網(wǎng)關(guān)發(fā)送頁(yè)面訪(fǎng)問(wèn)請(qǐng)求,由SSL VPN網(wǎng)關(guān)代為向Web服務(wù)器發(fā)送請(qǐng)求�,然后將Web服務(wù)器回應(yīng)的HTTP頁(yè)面經(jīng)過(guò)復(fù)雜的處理和轉(zhuǎn)換后封裝成HTTPS頁(yè)面轉(zhuǎn)發(fā)給客戶(hù)端的瀏覽器。由于目前大部分瀏覽器已經(jīng)集成了SSL(HTTPS)協(xié)議處理功能��,因此客戶(hù)端在通過(guò)SSL VPN訪(fǎng)問(wèn)Web應(yīng)用時(shí)�����,直接用瀏覽器加解密信息即可���,無(wú)需額外的客戶(hù)端程序和控件�����,做到了真正100%零客戶(hù)端�。
端口轉(zhuǎn)發(fā)
該技術(shù)主要用于實(shí)現(xiàn)客戶(hù)端對(duì)C/S架構(gòu)應(yīng)用的訪(fǎng)問(wèn)��。由于Outlook�、FTP等各種C/S應(yīng)用的客戶(hù)端軟件并不具備SSL協(xié)議處理功能,因此需要借助控件程序來(lái)完成不同應(yīng)用端口服務(wù)的轉(zhuǎn)發(fā)功能�����。客戶(hù)端在建立SSL VPN隧道后�����,會(huì)下載并運(yùn)行一個(gè)控件程序��,該程序?qū)utlook等應(yīng)用軟件發(fā)出的相應(yīng)端口數(shù)據(jù)包截獲����,加密封裝成SSL協(xié)議端口數(shù)據(jù)包發(fā)給SSL VPN網(wǎng)關(guān),網(wǎng)關(guān)經(jīng)過(guò)解密�����、還原相應(yīng)的應(yīng)用端口后再代替客戶(hù)端與內(nèi)部服務(wù)器進(jìn)行通訊��。
應(yīng)用轉(zhuǎn)換
利用該技術(shù)�����,客戶(hù)端通過(guò)SSL VPN訪(fǎng)問(wèn)內(nèi)部的FTP���、文件共享、郵件、SSH���、Telnet���、RDP等服務(wù)時(shí)都可以Web的形式進(jìn)行。而SSL VPN產(chǎn)品則需要將這些應(yīng)用的操作界面和各種功能基于Web形式重新實(shí)現(xiàn)�����。
網(wǎng)絡(luò)連接
網(wǎng)絡(luò)連接即通常所說(shuō)的NC(Network Connection)功能���,該技術(shù)可以讓客戶(hù)端通過(guò)SSL VPN擁有對(duì)內(nèi)部整個(gè)子網(wǎng)的訪(fǎng)問(wèn)權(quán)限����,也是目前應(yīng)用比較廣泛的一項(xiàng)技術(shù)����。在SSL VPN產(chǎn)品上集成該技術(shù)后,即有IPsec VPN與應(yīng)用無(wú)關(guān)的優(yōu)勢(shì)�����,又保持了SSL VPN的高安全性���?�?蛻?hù)端通過(guò)NC連接SSL VPN時(shí)�����,會(huì)獲得一個(gè)虛擬IP地址����,然后通過(guò)這個(gè)虛擬IP地址與內(nèi)網(wǎng)通訊。
以上便是實(shí)現(xiàn)SSL VPN的幾項(xiàng)核心技術(shù)����,目前大部分的SSL VPN產(chǎn)品,都是以這幾項(xiàng)技術(shù)的一項(xiàng)或幾項(xiàng)為基礎(chǔ)研發(fā)實(shí)現(xiàn)的�。那么,對(duì)國(guó)產(chǎn)SSL VPN產(chǎn)品而言���,哪些技術(shù)尤其重要呢?
首先是Web代理技術(shù)���。由于用戶(hù)需要訪(fǎng)問(wèn)內(nèi)網(wǎng)的Web應(yīng)用���,而且希望訪(fǎng)問(wèn)方式盡量簡(jiǎn)便���,而只有具備Web代理技術(shù),SSL VPN產(chǎn)品才能做到100%零客戶(hù)端����,才能為用戶(hù)提供最簡(jiǎn)便的接入方式,因此���, Web代理技術(shù)對(duì)國(guó)產(chǎn)SSL VPN產(chǎn)品而言是一項(xiàng)必需技術(shù)�,也是SSL VPN產(chǎn)品是否專(zhuān)業(yè)的重要標(biāo)準(zhǔn)之一����。
除了Web代理技術(shù),端口轉(zhuǎn)發(fā)技術(shù)的重要性也不容小覷���。除了要訪(fǎng)問(wèn)除Web應(yīng)用外����,用戶(hù)還需要經(jīng)常訪(fǎng)問(wèn)組織內(nèi)部的C/S架構(gòu)應(yīng)用�,例如郵件、FTP���、文件共享��、數(shù)據(jù)庫(kù)����、ERP等,這時(shí)�����,SSL VPN產(chǎn)品采用端口轉(zhuǎn)發(fā)技術(shù)實(shí)現(xiàn)對(duì)C/S應(yīng)用的處理��,是再合適不過(guò)的了�。
至于應(yīng)用轉(zhuǎn)換技術(shù),目前國(guó)內(nèi)用戶(hù)需求并不迫切�����。由于SSL VPN產(chǎn)品需要把FTP�、Email,SSH等應(yīng)用以Web的形式重新實(shí)現(xiàn)��,實(shí)現(xiàn)起來(lái)比較復(fù)雜�����,還可能存在提供的功能不夠完整���,界面不夠友好����,不太符合用戶(hù)的操作習(xí)慣以及控件引用是不合法等一系列問(wèn)題�����。從另一個(gè)角度來(lái)看�,用戶(hù)在沒(méi)有使用SSL VPN之前,都已經(jīng)習(xí)慣通過(guò)相應(yīng)的客戶(hù)端軟件對(duì)C/S應(yīng)用進(jìn)行訪(fǎng)問(wèn)�����,在使用SSL VPN后�,仍然希望通過(guò)使用原來(lái)的客戶(hù)端軟件訪(fǎng)問(wèn)內(nèi)部的各種C/S應(yīng)用。由此看來(lái)�����,應(yīng)用轉(zhuǎn)換技術(shù)并不十分適應(yīng)于國(guó)內(nèi)的用戶(hù)���,也并非是國(guó)產(chǎn)SSL VPN產(chǎn)品的必須功能��。
最后再看NC技術(shù)����,由于NC技術(shù)可以實(shí)現(xiàn)SSL VPN與應(yīng)用無(wú)關(guān)的特性,因此客戶(hù)端通過(guò)SSL VPN訪(fǎng)問(wèn)內(nèi)部整個(gè)子網(wǎng)的需求仍然存在����。然而,在使用該功能時(shí)��,需要給客戶(hù)端配置虛擬IP地址����,這樣一來(lái),就會(huì)遇到地址規(guī)劃上的一些問(wèn)題�����,在配置和使用上也比較復(fù)雜��。目前�,國(guó)內(nèi)已經(jīng)有SSL VPN廠(chǎng)商注意到這個(gè)問(wèn)題,為了更好地滿(mǎn)足用戶(hù)對(duì)易用性的要求�����,采用了一種"網(wǎng)絡(luò)層代理"技術(shù),客戶(hù)端通過(guò)SSL VPN產(chǎn)品訪(fǎng)問(wèn)內(nèi)部整個(gè)子網(wǎng)時(shí)�����,不需要借助虛擬IP地址���,也不需要改變內(nèi)網(wǎng)服務(wù)器網(wǎng)關(guān)指向,有效地解決了NC功能配置和使用復(fù)雜的難題�。但目前,"網(wǎng)絡(luò)層代理"技術(shù)還存在一個(gè)問(wèn)題�,即無(wú)法處理TCP連接由內(nèi)向外發(fā)起的應(yīng)用,無(wú)法做到"與應(yīng)用無(wú)關(guān)"�。如果有SSL VPN產(chǎn)品能夠同時(shí)具備N(xiāo)C和網(wǎng)絡(luò)代理功能,將會(huì)受到更多國(guó)內(nèi)用戶(hù)的青睞����。
當(dāng)然,以上列舉的只是SSL VPN產(chǎn)品的幾項(xiàng)主要技術(shù)�����,為了更好地滿(mǎn)足國(guó)內(nèi)用戶(hù)的需求�,SSL VPN產(chǎn)品還必須在功能上進(jìn)一步貼近需求,不斷豐富��。那么,國(guó)產(chǎn)SSL VPN產(chǎn)品在功能上應(yīng)該如何"修煉內(nèi)功"呢���?
豐富的認(rèn)證方式
國(guó)內(nèi)用戶(hù)類(lèi)型眾多���,對(duì)認(rèn)證方式和安全性要求也不盡相同。除了基本的本地口令外�,動(dòng)態(tài)口令、短信口令�����、口令+動(dòng)態(tài)附加密�����、證書(shū)+USBKEY��、口令+證書(shū)+USBKEY等多因素認(rèn)證方式也越來(lái)越常見(jiàn)�����,成為對(duì)SSL VPN產(chǎn)品的基本要求��。此外����,隨著CA體系在中國(guó)不斷健全��,越來(lái)越多的用戶(hù)從專(zhuān)業(yè)的CA企業(yè)購(gòu)買(mǎi)服務(wù)����,因此國(guó)產(chǎn)SSL VPN產(chǎn)品能否很好地與標(biāo)準(zhǔn)第三方CA系統(tǒng)兼容�,能否提供標(biāo)準(zhǔn)OSCP�����、CRL等證書(shū)校驗(yàn)接口�����,在一定程度上決定了該產(chǎn)品能否應(yīng)用到用戶(hù)現(xiàn)有環(huán)境中�����。
線(xiàn)路優(yōu)化
中國(guó)向來(lái)有北網(wǎng)通�、南電信的說(shuō)法,不同ISP下的主機(jī)彼此訪(fǎng)問(wèn)時(shí)延遲非常大�����。國(guó)內(nèi)用戶(hù)考慮到這個(gè)因素,常常向不同的ISP申請(qǐng)了多個(gè)公網(wǎng)IP提供服務(wù)��。如果SSL VPN產(chǎn)品能夠利用多個(gè)網(wǎng)口通過(guò)多個(gè)公網(wǎng)IP對(duì)外提供接入訪(fǎng)問(wèn)���,并可以根據(jù)接入客戶(hù)端的ISP來(lái)源選擇最佳路徑����,那么將可以大大提高訪(fǎng)問(wèn)效率�����,更好地適應(yīng)國(guó)內(nèi)的網(wǎng)絡(luò)環(huán)境��。
單點(diǎn)登錄
在用戶(hù)的內(nèi)網(wǎng)中�����,OA系統(tǒng)通常都帶認(rèn)證功能�,使用者需要提交用戶(hù)名及口令才可登錄。加上SSL VPN后�����,用戶(hù)就首先要登錄SSL VPN����,然后再次提交認(rèn)證信息登錄OA���,導(dǎo)致重復(fù)認(rèn)證過(guò)程。為了簡(jiǎn)化登陸程序���,SSL VPN產(chǎn)品應(yīng)該能記錄用戶(hù)登錄SSL VPN時(shí)的認(rèn)證信息�����,在用戶(hù)訪(fǎng)問(wèn)OA時(shí),代替用戶(hù)提交認(rèn)證���,用戶(hù)不需要再次輸入用戶(hù)名和口令就可打開(kāi)登錄成功后的頁(yè)面��。
端點(diǎn)安全
安裝SSL VPN產(chǎn)品后����,端點(diǎn)的安全也是不得不考慮的重要方面����。是否允許所有PC都接入SSL VPN,在連接SSL VPN隧道后是否允許訪(fǎng)問(wèn)互聯(lián)網(wǎng)��,在SSL VPN客戶(hù)端注銷(xiāo)后,訪(fǎng)問(wèn)痕跡是否應(yīng)該清理��,都是SSL VPN需要重點(diǎn)考慮的幾個(gè)安全問(wèn)題���。目前����,國(guó)內(nèi)很多SSL VPN產(chǎn)品也都有應(yīng)對(duì)措施����。在客戶(hù)端主機(jī)接入之前,先檢測(cè)終端主機(jī)上是否具備管理員要求的某些特征�,如操作系統(tǒng)版本、IE瀏覽器版本���、是否運(yùn)行了殺毒軟件等等�,如果不滿(mǎn)足安全策略����,則拒絕連接。在建立隧道后���,SSL VPN產(chǎn)品還可以禁止客戶(hù)端主機(jī)訪(fǎng)問(wèn)隧道以外的網(wǎng)絡(luò)以確保隧道安全����;在終端用戶(hù)注銷(xiāo)后,還會(huì)自動(dòng)清除此次的訪(fǎng)問(wèn)痕跡�,確保信息不被泄漏。此外��,如果產(chǎn)品能實(shí)現(xiàn)帳號(hào)和客戶(hù)端主機(jī)特征綁定以及防偽造功能等���,將可以進(jìn)一步提高客戶(hù)端的端點(diǎn)安全性����。
應(yīng)用層防御
SSL VPN產(chǎn)品是以應(yīng)用為核心的安全接入產(chǎn)品����,因此應(yīng)用層的安全防御必不可少�����。目前�����,防SQL注入�,防跨站腳本和防非法URL訪(fǎng)問(wèn)等功能已經(jīng)出現(xiàn)在一些國(guó)內(nèi)品牌SSL VPN產(chǎn)品上���。甚至有廠(chǎng)商還提供了基于帳號(hào)的最大并發(fā)上限控制功能,有效防止了一個(gè)帳號(hào)惡意產(chǎn)生大量連接的DOS攻擊行為����,有效保障了應(yīng)用服務(wù)系統(tǒng)。
安全審計(jì)
SSL VPN產(chǎn)品相對(duì)傳統(tǒng)VPN的優(yōu)勢(shì)之一就是審計(jì)更加詳細(xì)�����。相比而言��,SSL VPN產(chǎn)品更關(guān)注帳號(hào)而不僅僅只是IP地址����。在日志中應(yīng)該可以記錄哪個(gè)用戶(hù)、在什么時(shí)間����,在什么地理位置通過(guò)哪個(gè)ISP登錄了SSL VPN,訪(fǎng)問(wèn)了什么服務(wù)�,訪(fǎng)問(wèn)了哪些Web頁(yè)面等等。另外�,SSL VPN產(chǎn)品還應(yīng)該提供基于各種條件(如時(shí)間范圍、關(guān)鍵字等)的查詢(xún)功能,甚至可以根據(jù)時(shí)間范圍生成報(bào)表提供瀏覽和下載��。
綜合以上所有因素來(lái)看�����,SSL VPN產(chǎn)品與其說(shuō)是一項(xiàng)技術(shù)�����,不如視之為服務(wù)��。誰(shuí)的SSL VPN產(chǎn)品能在上面所述各項(xiàng)技術(shù)和功能中做得更精細(xì)�����,更人性化����,更貼近用戶(hù)需要���,誰(shuí)的產(chǎn)品就會(huì)在激烈的市場(chǎng)競(jìng)爭(zhēng)中取得勝利�。
