SSL VPN产品及技术分析.doc

S S S SS S S SL L L L V V V VP P P PN N N N 产产产产品品品品及及及及技技技技术术术术分分分分析析析析 广广 东东 卓卓 维维 网网 络络 有有 限限 公公 司司 Guangdong Topway Network Co.,LtdGuangdong Topway Network Co.,Ltd 二二 0000 七七年年四四月月 文文 件件 信信 息息 广州卓维网络有限公司 技术支持手册技术支持手册 文件编号 版 本 10 SSL VPNSSL VPN 文件页数 共 子 页 版版 本本 信信 息息 版版 本本 发布时间发布时间 作作 者者 版本修改信息版本修改信息 V 1.0 2007-4-2 蔡文源 目目 录录 一、一、SSL VPNSSL VPN 技术介绍技术介绍.5 二、二、SSL VPNSSL VPN 给用户带来的价值给用户带来的价值.7 三、三、SSL VPNSSL VPN 功能实现功能实现.8 3.13.1 无客户端软件无客户端软件.8 3.23.2 保持用户使用习惯保持用户使用习惯.8 3.33.3 客户端应用绑定客户端应用绑定.9 3.43.4 支持多种支持多种 TCP/UDPTCP/UDP 应用系统应用系统.9 3.53.5 第三方第三方 Radius/Windows/AD/LDAPRadius/Windows/AD/LDAP 认证系统认证系统.9 3.6 Windows3.6 Windows AD/LDAPAD/LDAP 用户数据库同步用户数据库同步.9 3.73.7 基于信任链表的基于信任链表的 PKIPKI 证书应用证书应用.10 3.83.8 客户端安全措施客户端安全措施.10 3.93.9 基于角色的细粒访问控制基于角色的细粒访问控制.10 3.103.10 信息与状态监控信息与状态监控.10 四、四、SSL VPNSSL VPN 技术优势技术优势.11 4.14.1 客户端支撑维护简单客户端支撑维护简单.12 4.4.2 2 提供增强的远程安全接入功能提供增强的远程安全接入功能.12 4.34.3 提供更细粒度的访问控制提供更细粒度的访问控制.12 4.44.4 能够穿越能够穿越 NATNAT 和防火墙设备和防火墙设备.12 4.54.5 能够较好地能够较好地抵御外部系统和病毒攻击抵御外部系统和病毒攻击.13 4.64.6 网络部署灵活方便网络部署灵活方便.13 五、五、SSL VPNSSL VPN 的市场和应用前景的市场和应用前景.14 5.1 5.1 市场的特点与趋势市场的特点与趋势.14 5.25.2 SSL VPNSSL VPN 难以普及难以普及主要因素主要因素.15 5.35.3 SSL VPNSSL VPN 应用前景应用前景-SSLSSL 无处不在无处不在.15 六、企业决策：六、企业决策：如何选择如何选择 SSL VPNSSL VPN-三步走三步走.17 七、七、SSL VPNSSL VPN 产品如何选购产品如何选购.20 八、国内外主流厂商产品一览表及推荐使用品牌八、国内外主流厂商产品一览表及推荐使用品牌.错误错误!未定义书签。未定义书签。九、国内外主流厂商产品系列九、国内外主流厂商产品系列.22 9.1 Juniper 9.1 Juniper 网络网络.22 9.29.2 Arry NetworksArry Networks.27 9.39.3 NorNorteltel（北电）网络（北电）网络.30 9.4 F5 Networks9.4 F5 Networks.33 9.59.5 O2MicroO2Micro NetworksNetworks.38 9.69.6 北京安软天北京安软天地科技地科技.39 9.7 9.7 深圳赛蓝深圳赛蓝 CYLANCYLAN.42 9.89.8 深圳深信服深圳深信服.46 一、一、SSL VPN 技术介绍技术介绍 SSL VPN 即指采用即指采用 SSL（Security Socket Layer）协）协议来实现远程接入的一种新型议来实现远程接入的一种新型 VPN技术。技术。SSL 协议是网景公司提出的基于 WEB 应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL 链路上的数据完整性和 SSL 链路上的数据保密性。对于内、外部应用来说，使用 SSL 可保证信息的真实性、完整性和保密性。目前 SSL 协议被广泛应用于各种浏览器应用，也可以应用于 Outlook 等使用 TCP 协议传输数据的 C/S 应用。正因为 SSL 协议被内置于IE 等浏览器中，使用 SSL 协议进行认证和数据加密的 SSL VPN 就可以免于安装客户端。SSL VPN 技术帮助用户通过标准技术帮助用户通过标准的的 WEB 浏览器就可以访问重要的企业的应用。浏览器就可以访问重要的企业的应用。这使得员工出差时不必再携带自己的笔记本电脑，仅仅通过一台接入 Internet 的计算机就能访问企业的资源，这为企业提高了效率也带来了方便。SSL VPN 网关位于企业网络的边缘，介于企业服务器与远程用户之间，控制二者的通信。SSL VPN 应用环境如下图（一）：应用环境如下图（一）：图（一）图（一）掌握三个关键技术术语的含义有助于理解 SSL VPN 是如何实现的。代理（代理（Proxying）SSL VPN 至少要实现一种功能：至少要实现一种功能：代理 WEB 页面。它将来自远端浏 览器的页面请求（采用 HTTPS 协议）转发给 WEB 服务器，然后将服务器的响应回传给终端用户。1.1 应用转换（应用转换（Application Translation）对于非）对于非 WEB 页面的文件访问，往往要借助于应页面的文件访问，往往要借助于应 用转换。用转换。SSL VPN 网关与企业网内部的微软 CIFS 或 FTP 服务器通信，将这些服务器对客户的响应转化为 HTTPS 协议和 HTML 格式发往客户端，终端用户感觉到这些服务器就是一些基于 WEB 的应用。有的 SSL VPN 产品所能支持的应用转换器和代理的代理非常少，有的则很好地支持了FTP、网络文件系统和微软文件服务器的应用转换。用户在选择网关时，必须对自己所需要转换的应用有一个很明确的了解，并能够根据他们的重要性给他们排个先后顺序。1.2 端口转发端口转发(Port Forwarding)有些应用，如微软的有些应用，如微软的 Outlook 或或 MSN，它们的外观会，它们的外观会 在转化为基于界面的过程中丢失。此时需要用到端口转发技术。在转化为基于界面的过程中丢失。此时需要用到端口转发技术。端口转发用于端口定义明确的应用。它需要在终端系统上运行一个非常小的 JAVA 或 ActiveX 程序作为端口转发器，监听某个端口上的连接。当数据包进入这个端口时，它们通过 SSL 连接中的隧道被传送到 SSL VPN 网关，SSL VPN 网关解开封装的数据包，将它们转发给目的应用服务器。良好的 SSL VPN 产品应该具有较好的互操作性，较为细致的访问控制功能，完善的日志和认证体系以及对应用的广泛支持。二、二、国内外主流厂商产品一览表国内外主流厂商产品一览表及推荐使用品牌及推荐使用品牌 国内国内/外外（序号）（序号）厂家名称厂家名称 简简 述述 SSL VPN 产品系列产品系列 外（1）Juniper Juniper 网络公司提供全面的 SSL VPN产品，在市场上处于领导地位在市场上处于领导地位。Juniper 的Secure Access 产品拥有各种机型和特性，可以满足各种规模公司的远程接入需求，包括从中小企业所需的远程/移动员工的接入访问，到大型，跨国企业所需的员工与外联网在统一平台上的接入访问。1、Secure Access 700 （适用中小型企业）2、Secure Access 2000（适用中小型企业）3、Secure Access 4000 （适用大中型企业）4、Secure Access 6000 （适用大型和跨国企业）5、Secure Access 6000（适用服务提供商管理服务）外（2）Array（推荐使用（推荐使用品牌）品牌）世界上最强大的 SSL VPN 应用访问解决方案。任何时间、任何地点的安全访问 全局安全和访问控制 卓越的安全性和出色的终端用户体验 目前市场上同类产品中的性能翘楚 1、SPX-2000(面向中小型企业)2、SPX-3000(面向大中型企业)3、SPX-5000 (面向大型跨国企业和大中型企业)外（3）北电北电（推荐使（推荐使用品牌）用品牌）北电 VPN 网关系列是一套远程接入安全解决方案，可将企业应用的覆盖范围扩展到在偏远地区工作的员工、合作伙伴和客户身边。北电VPN网关利用广泛部署能支持SSL功能的网络浏览器，和支持传统的 IPsec VPN 接入，提供当前市场上最灵活、最经济高效的安全远程接入解决方案。（SSL VPNSSL VPN 与与 IP SEC VPNIP SEC VPN 功功能并兼）能并兼）1、VPN Gateway 3050（面向大型公司）、VPN Gateway 3070 （面向大型公司和服务提供商）外（4）F5 F5 的 FirePass SSL VPN 设备提供了一种通过标准网络浏览器，到公司应用和数据的安全访问能力。无论在家中或是在路上，FirePass 出色的性能、可扩展性、易用性以及安全性都可帮助您提高工作效率和确保公司数据的安全性。、FirePass 1200(专为中小型企业设计)、FirePass 4100 (专为大型企业设计)外（5）O2Micro -部署在企业的内部网络的 Succendo 系统为远程访问提供了集中的控制及保护。-使用 Succendo 无须对原有的网络环境或用户的使用习惯进行任何变动。1、Succendo 502 （25200 并发用户数）、Succendo 2000 （100500 并发用户数）国内（6）北京安软天北京安软天地科技地科技 安软天地公司的 EverLink SRAC VPN Gateway是一种简便、低成本的应用层VPN，是个具有高性能的网络应用装置，它它将很多应用技术整和进一个简单的网络设将很多应用技术整和进一个简单的网络设备备。该 VPN 运行在应用层，可以帮助企业建立一个即插即用的虚拟专用网。利用多种安即插即用的虚拟专用网。利用多种安全认证方法全认证方法，包括 PKI 和动态口令插入 VPN，VPN 可以提供最彻底的检验用户身份方式。、EverLink SRAC VPN 网关 国内（7）深圳赛蓝深圳赛蓝（推荐使用（推荐使用品牌）品牌）2002 年底年底，推出了面向大、中、小型企业用户的 SME VPN 及 SSL VPN 产品，为国内外用户提供了安全、稳定、可靠，高性价比的广域网解决方案。2006 年初，年初，推出了面向大、中、小型企业用户的 Application Firewall（应用层防火墙）VPN 防火墙，是结合外部防御与内部防御等多种安全防御功能于一身的新一代UTM 防火墙 VPN 设备。1、CYLAN VPN SSL 30 GATEWAY(中小型企业级中小型企业级)2、CYLAN VPN SSL 50 GATEWAY（中小型企业级中小型企业级）3、CYLAN VPN SSL 100 GATEWAY（中型企业级中型企业级）2、CYLAN VPN SSL 200 GATEWAY（中型企业级中型企业级）3、CYLAN VPN SSL 620 GATEWAY（中大型企业级中大型企业级）4、CYLAN VPN SSL 650 GATEWAY（大型企业级大型企业级）国内（8）深圳深信服深圳深信服 一台 VPN 网关中 SSL VPN 与 IP SEC VPN功能并兼 1、M5100-S VNP 网关 2、M5400-S VNP 网关 3、M5600-S VNP 网关 4、M5800-S VNP 网关 三、三、SSL VPN 功能实现功能实现 3.1 无客户端软件无客户端软件 采用无客户端软件的解决方案，用户只须要通过浏览器访问 VPN 服务。这是因为 SSL VPN 使用了已嵌入于一般浏览器中的 SSL 协议。这让管理员无须为终端用户提供软件安装，维护及策略定制的服务；仅仅在 VPN 网关上设置用户访问权限即可。3.2 保持用户使用习惯保持用户使用习惯 每个企业都根据自己的实际需要定制开发一些应用系统，或者部署一些知名的服务来满足自己的需要，比如使用 Outlook 的日历安排的功能来安排会议；为不同的分支机构的 IC 设计工程师部署集中的 Terminal Server 来共享设计仿真资源等。员工主要的工作时间都是在企业内部使用这些特定的应用，因此员工在家里或酒店需要访问这些企业资源时候也希望保持在公司Intranet 中的使用习惯，不希望变换应用客户端软件，也不希望改变应用客户端的配置。3.3 客户端应用绑定客户端应用绑定 SSL VPN 设计中考虑到用户使用方便，因此特别客户端应用绑定的功能，让用户可以针 对某一个应用服务设定使用哪一种应用客户端软件。客户端应用绑定设置也能由管理员完成，让用户免予进行设置。管理员/用户可以针对一个服务设定多个应用客户端软件、叶可以定制关联应用的特性，给与用户最大的选择应用何种应用客户端软件的自由。如果用户不设定关联应用，那么也可以直接在操作系统中启动应用软件。3.4 支持多种支持多种 TCP/UDP 应用系统应用系统 虽然 SSL 协议主要用户保护 WEB 应用系统，但是 SSL VPN 应该也支持多种基于 TCP/UDP的 Client/Server 结构的应用软件。管理员只须要通过简单的管理接口在服务器上定义需要支持的应用，及配置好服务器使用的端口。比如 FTP、TFTP、Oracle、SQL server 等。3.5 第三方第三方 Radius/Windows/AD/LDAP 认证系统认证系统 作为企业远程接入 VPN 网关，SSL VPN 最核心的安全功能就是对远程接入用户提供认证、授权及访问控制。为了减轻管理员的管理操作，SSL VPN 不止应该提供内置的用户认证数据库，也应该可以用常用的 Radius/Windows/AD/LDAP 用户认证系统结合，提供一体化的用户认证设施。利用第三方认证系统，管理员无须再配置任何相关的信息，仅仅需要对不同认证服务器上的用户进行授权即可。3.6 Windows AD/LDAP 用户数据库同步用户数据库同步 企业一般都会有集中的用户管理系统，比如基于 Window AD 的用户管理系统。虽然管理人员希望只需维护一个用户数据库，但也要求在不同的应用系统及网关上进行细粒度的配置。若系统支持同 Windows AD/LDAP 服务器之间实行帐号同步，就可以保持服务器与企业用户数据库的一致。3.7 基于信任链表的基于信任链表的 PKI 证书应用证书应用 基于公开密钥证书的认证系统有其安全性高、扩展性好等特点。因此很多企业已经开始使用PKI 作为基础的认证设施。企业提供远程接入解决方案不仅仅是接入本企业的员工，而且会接入不同企业的合作伙伴，因此用户会要求远程接入网关能够支持多个 CA 签发的证书的用户的认证。3.8 客户端安全措施客户端安全措施 一旦用户接入到企业内部网络中，那么远端用户的计算仅就成了企业的网络的边缘。因此IT 管理人员需要确保远端用户的计算机满足企业的安全策略要求。一般通过四个措施：Host check&Cache Clean,ARL(Access Restriction List 访问限制列表)，用户登录锁定，SSL 协议加密算法设置；来保证客户端的安全性。3.9 基于角色的细粒访问控制基于角色的细粒访问控制 访问控制是 SSL VPN 提供的核心安全服务。基于角色访问控制便于管理员快速的对企业变化相对的更改控制规则。通过角色将系统的访问用户同系统保护资源联合起来，既直观，而且在访问控制策略发生变化的时候无须为每一种资源或者每一个用户修改权限；西需要修改某一种服务角色用户的属性。3.10 信息与状态监控信息与状态监控 提供 SSL VPN 准确的状态信息所能帮助管理员设计及实现有效的安全策略。时时监控的各个状态有助于管理员预测可能发生的危害，和及时做出适当的反应。监控图表如下图：监控图表如下图：四、四、SSL VPN 技术优势技术优势 -IP Sec VPN&SSL VPN 比较比较 IPSecVPN 和 SSLVPN 是两种不同的 VPN 架构，IPSecVPN 是工作在网络层的，提供所有在网络层上的数据保护和透明的安全通信，而 SSL VPN 是工作在应用层(基于 HTTP 协议)和 TCP 层之间的，从整体的安全等级来看，两者都能够提供安全的远程接入。但是，IPSec VPN技术是被设计用于连接和保护在信任网络中的数据流，因此更适合为不同的网络提供通信安全保障，而 SSL VPN 因为以下的技术特点则更适合应用于远程分散移动用户的安全接入。4.1 客户端支撑维护简单客户端支撑维护简单 对于大多数执行基于 SSL 协议的远程访问是不需要在远程客户端设备上安装软件，只需通过标准的 Web 浏览器连接因特网，即可以通过网页访问到企业内部的网络资源。而 IPSecVPN需要在远程终端用户一方安装特定软件以建立安全隧道。4.2 提供增强的远程安全接入功能提供增强的远程安全接入功能 IPSecVPN 通过在两站点间创建安全隧道提供直接(非代理方式)接入，实现对整个网络的透明访问；一旦隧道创建，用户终端就如同物理地处于企业内部局域网中，这会带来很多安全风险，尤其是在接入用户权限过大的情况下。SSLVPN 提供安全、可代理连接。通常 SSLVPN的实现方式是在企业的防火墙后面放置一个 SSL 代理服务器。如果用户希望安全地连接到公司网络上，那么当用户在浏览器上输入一个 URL 后，连接将被 SSL 代理服务器取得，并验证该用户的身份，然后 SSL 代理服务器将连接映射到不同的应用服务器上。4.3 提供更细粒度的访问控制提供更细粒度的访问控制 SSLVPN 能对加密隧道进行细分，使终端用户能够同时接入 Internet 和访问内部企业网资源。另外，SSLVPN 还能细化接入控制功能，提供用户级别的鉴权，依据安全策略确保只有授权的用户才能够访问特定的内部网络资源，这种精确的接入控制功能对远程接入 IPSecVPN 来说几乎是不可能实现的。4.4 能够穿越能够穿越 NAT 和防火墙设备和防火墙设备 SSLVPN 工作在传输层之上，因而能够遍历所有 NAT 设备和防火墙设备，这使得用户能够从任何地方远程接入到公司的内部网络。而 IPSecVPN 工作在网络层上，它很难实现防火墙和 NAT 设备的遍历，并且无力解决 IP 地址冲突。4.5 能够较好地抵御外部系统和病能够较好地抵御外部系统和病毒攻击毒攻击 SSL 是一个安全协议，数据是全程加密传输的。另外，由于 SSL 网关隔离了内网服务器和客户端，只留下一个 Web 浏览接口，客户端的大多数木马病毒感染不到内网服务器。而传统的IPSecVPN 由于实现的是 IP 级别的访问，一旦隧道创建，用户终端就如同物理地处于企业内部局域网中，内部网络所连接的应用系统都是可以侦测得到，这就为黑客攻击提供了机会，并且使得局域网能够传播的病毒，通过 VPN 一样能够传播。4.6 网络部署灵活方便网络部署灵活方便 IPSecVPN 在部署时一般放置在网络网关处，因而需要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构。而 SSLVPN 却有所不同，它一般部署在内网中防火墙之后，可以随时根据需要，添加需要 VPN 保护的服务器，因此无需影响原有网络结构。SSL VPN&IP Sec VPN 性能比较图性能比较图 选项选项 SSL VPN IPSec VPN 身份验证 单向身份验证 双向身份验证 数字证书 双向身份验证 数字证书 加密 强加密 基于 Web 浏览器 强加密 依靠执行 全程安全性 端到端安全 从客户到资源端全程加密 网络边缘到客户端 仅对从客户到 VPN 网关之间通道加密 可访问性 选用于任何时间、任何地点访问 限制适用于已经定义好受控用户的访问 费用 低（无需任何附加客户端软件）高（需要管理客户端软件）安装 即插即用安装 无需任何附加的客户端软、硬件安装 通常需要长时间的配置 需要客户端软件或者硬件 用户的易使用性 对用户非常友好，使用非常熟悉的 Web 浏览器 无需终端用户的培训 对没有相应技术的用户比较困难 需要培训 支持的应用 基于 Web 的应用 文件共享 E-mail 所有基于 IP 协议的服务 用户 客户、合作伙伴用户、远程用户、供应商等 更适用于企业内部使用 可伸缩性 容易配置和扩展 在服务器端容易实现自由伸缩，在客户端比较困难 五、五、SSL VPNSSL VPN 的市场和应用前景的市场和应用前景 5.1 市场的市场的特点与趋势特点与趋势 5.1.1VPN 产品的市场需求将迅速增加。产品的市场需求将迅速增加。“十一五”期间我国将对信息产业新增投入巨大，信息化(尤其是政府信息化)将在未来五年成为 VPN 产品市场发展的“助推器”。5.1.2 更多的更多的 IT 厂商将投入生产厂商将投入生产 VPN 产品。产品。VPN 产品是高投入、高回报的网络安全产品，赛迪顾问预计，已进入中国 VPN 产品市场的厂商数量在 100200 家左右。5.1.3 产品的安全性和保密性将日趋完善。产品的安全性和保密性将日趋完善。目前，许多在安全性和保密性方面要求较高的行业(如军队等)，对 VPN 产品的选择和应用非常谨慎，因为目前的 VPN 产品还不能完全满足其安全、高效、稳定地传输数据和信息的需要。所以，对于未来 VPN 产品的发展，应用先进的技术，增强产品的功能将成为满足用户进一步需求的一个重要因素。5.1.4 厂商的服务质量将会有实质性的提高厂商的服务质量将会有实质性的提高 VPN 产品作为一类特殊的通过加密手段传输数据、信息的网络安全产品，服务质量的高低直接影响了用户的购买行为。VPN 产品大规模的应用必须是以 VPN 厂商提供高质量的服务为前提的。因此，在 VPN 产品大量应用的前提下，厂商为用户提供的服务在质量上必将会有实质性的提高。5.2 SSL VPN 难以普及难以普及主要主要因素因素 目前 SSL VPN 应用在国内尚未走向普及。原因有很多，其中主要是国内企业的信息化应用程度问题。SSL VPN 解决方案可以实现的访问应用主要有：电子邮件、PIM（个人信息管理）、内部网资源、CRM/ERP 等企业核应用。目前，国内企业的信息化程度不高，虽然这些应用都已投入使用，但不是所有的应用都会开放给远程接入。而且，有些信息化程度高的企业大多实施了 IPSec VPN 解决方案，对其的信任程度也较高。用户接受 SSL VPN 解决方案，并投入实际使用还需要一定的过程。5.35.3 SSL VPN 应用前景应用前景-SSLSSL 无处不在无处不在 企业为了让远距工作者连上企业网络，正纷纷拥抱一种更简单、成本更低的方式。这股趋势为网络安全系统供应商开启新的商机，却也引来更多的竞争。业者竞相推出让企业网络存取安全无虞的闸道，使用的是一种常见的浏览软体安全技术，称为安全嵌入层（SSL）加密。分析师和 SSL 网络设备制造商表示，众多企业用户已开始布署采用 SSL 技术的虚拟私人网络（VPN）。网络管理者指出，SSL 让 VPN 朝使用简易的目标迈进一大步，市场占有率因而迅速扩增，成为网际网络通讯协定保护（IPSec）的替代选择（IPSec 使用普及，但欠缺弹性）。而这股趋势又助长企业和员工对远距网络存取的新需求。SSL 的运势转强，吸引科技巨人对该技术趋之若鹜，导致这个一年前全是小型新创公司天下的市场被迫汰弱留强。今天，SSL 产品的供应商大多是网络安全和交换器市场的知名大厂，包括思科系统（Cisco Systems）、Check Point 软体、F5 网络、诺基亚（Nokia）、NetScreen、北电网络（Nortel Networks）和赛门铁克公司（Symantec）。这些公司当中，有些藉并购新创公司取得 SSL 技术，例如 F5 网络、NetScreen 和赛门铁克。其他公司，像是思科、诺基亚和北电网络，则自行研发这种技术。SSL 并不是全新的技术，多年来早就嵌入大部分的标准网页浏览器，让诸如亚马逊（A）、E-trade 等电子商务公司提供安全的网际网络交易。因为 SSL VPN 允许使用者透过几乎任一种网页浏览器加以存取，非常适合用於远距存取和企业间网络（extranet）应用软体。就大多数以网络架构的应用程式而论，使用者不必再用任何用户端程式（client），可让员工或合伙商更容易存取网络。相形之下，IPSec VPN 需要在所有用户端系统上安装、设定特别的软体，而且在进行远距存取时，可能变得笨重不堪。IPSec VPN 通常也有不相容的问题，可能令许多外勤人员为之气结，因为无法存取重要的网络资料而进退两难。SSL 的使用简便，意味使用这种技术进行远距存取，可为企业节省大笔开支。市场研究公司 Frost&Sullivan 估计，若用 SSL 远距存取 VPN，每名使用者的平均花费可降到 60 至 220 美元之谱，相较于使用 IPSec VPN 所需的 150 到 300 美元。SSL VPN 的总拥有成本低很多，因为不必预先逐一设定每一台个人电脑.六、企业决策：如何选择六、企业决策：如何选择 SSL VPN-三步走三步走 2005 年上半年是早期应用 SSL VPN 的狂热期，但是，这种狂热逐渐衰竭进入了六个月的暂停期。市场研究公司 Forrester Research 预测称，到 2005 年年底，50%的大型企业已经在积极地使用或者正在考虑部署 SSL VPN。到目前为止，有更多的公司在跟随着早期应用者的脚步正在考虑或者部署这项技术。这意味着人们再次恢复了对 SSL VPN 的兴趣。SSL VPN 实际上是一种不需要企业在远程设备上安装 VPN 客户端软件的 VPN。远程用户能够通过浏览器从任何笔记本电脑或者台式电脑实现安全连接。下面下面三步三步阐述了企业如何选择阐述了企业如何选择 SSL VPN:第一步第一步:确定确定以用户为重点还是以应用程序为重点以用户为重点还是以应用程序为重点。SSL VPN 适配器有两个不同的特点:一个是以用户为重点，另一个是以应用程序为重点。企业在部署 SSL VPN 之前必须要确定这两个特点哪一个是排在第一位的和最重要的。基于用户的方式能够向远程用户提供透明的和完全的网络接入功能，就像在局域网中一样。这种应用的 VPN 一般在一个设备的终端既有 IPsec 又有 SSL VPN，并且还采用强大的端点安全和网络接入控制技术。以用户为重点的领域的厂商通常把 SSL VPN 作为在路由器、以太网交换机或者多功能一体安全设备等其它网络设备中的一种可以选择的功能提供给用户。以用户为重点的产品有思科的 VPN 3000 系列集中器、Juniper 网络公司的安全接入设备、北电网络的 VPN 路由器和 AP 网络公司的产品。使用基于应用程序的方法，企业要把重点放在需要重点使用的应用程序方面。以应用程序为重点的 SSL VPN 更强调后端应用程序集成并且在没有客户端软件的模式下(如通过浏览器)提供更好的访问功能。基于 SSL VPN 的应用程序集成了端点安全，但是，重点主要放在政策管理方面。这种应用程序拥有比基于用户的 SSL VPN 更直观的用户界面和更强大的管理功能。基于应用程序的 SSL VPN 市场的厂商和产品有 Avenal 公司的 EX 系列产品、Citrix 系统公司的接入网关、F5 网络公司 FirePass、Whale 通信公司的智能应用网关和 Permeo 公司。虽然这些产品的差别很小，但是，企业应该首先提出这个问题以便确定部署 SSL VPN 的基本方向。如果这个局域网或者广域网用户将决定采购方向，那么，就从以用户为重点的设备开始。如果是应用部门、远程接入专家或者企业移动计划决定这个项目，那就从以应用程序为重点的设备开始。第二步：第二步：回答如何部回答如何部署端点安全机制的问题。署端点安全机制的问题。企业需要集成的端点安全还是嵌入式的端点安全?端点安全分为三个主要部分端点安全分为三个主要部分:基本主机检查功能基本主机检查功能:这项功能扫描端点设备，确认杀毒软件、个人防火墙和操作系统补丁等软件都已经安装并且是最新的。缓存清除器缓存清除器:用于清除浏览器缓存下载的文件和 cookie。会话加密会话加密:会话加密一般使用 Java 建立一个虚拟“sandbox”，这样，VPN 会话过程中的所有活动都将被隔离和加密，然后在用户登出时删除。大多数 SSL VPN 都包括一个进行预先认证的基本的主机检查。但是，对于高级的缓存清除和加密的“sandbox”等更复杂的安全功能来说，企业需要集成第三方厂商提供的工具软件，如 Sygate、CheckPoint 软件公司或者 Trust Digital 等公司的产品。集成的端点安全提供了广泛的安全选择，但是，这需要手工设置，并且容易出现策略设置错误。而这些错误将耗费更多的人力和成本。据据预测，大约预测，大约 70%的企业在他们的的企业在他们的 SSL VPN 网络中采用集成的端点安全。网络中采用集成的端点安全。另一方面，嵌入式端点安全是建在设备中的。嵌入式工具通常有优化的政策设置，能够让 用户从一个管理操作台实施全面的访问控制。然而，这个选择的缺点是，企业如果选择一种嵌入式产品就将被锁定一家厂商提供的产品，并且必须要依靠那个厂商提供及时的安全升级。如果一家企业已经拥有思科、McAfee 和赛门铁克等厂商提供的 NAC(网络准入控制)设备，采用嵌入式解决方案就是一种重复的努力。企业最后需要决定它是喜欢最高级的安全并且愿意为此支付较多的资金，还是认为实用和简单性更重要。集成的方法和嵌入式的方法能够分别解决这两个优先次序的问题。第三步：回答第三步：回答有多少雇员需要安全的远程访问有多少雇员需要安全的远程访问。较低的应用数量分类为 2000 或者更少的用户。虽然广告宣传说 SSL VPN 支持更多数量的用户，但是，这些设备不应该达到它们的极限。作为一个规则，企业应该设想其 10%的雇员需要并发访问功能。少量的应用还应该考虑人员的增加因素，以支持未来用户的增长。七七、SSL VPN 产品如何选购产品如何选购 SSL VPN 由于其强大的功能和实施的方便性应用越来越广泛，市场上的 SSL VPN 品牌也越来越多，如何选择适合自己的产品是需要用户仔细考虑的一个问题，下面从五个方面描述如何选择 SSL VPN 产品:7.1 应用需求应用需求:选择 VPN 是为了支持远程访问内部网络的应用，因此这一点也是最先需要考虑的一点，目前，大多数 SSL VPN 支持我们日常经常会用到的邮件系统、OA 系统、CRM/ERP 等等，但并不是所有的应用 SSL VPN 都能够提供支持，如动态端口的应用就只有部分 SSL VPN 能够提供支持。因此，在决定使用一款 SSL VPN 前一定要先确定是否能支持你的应用。7.2 安全需求安全需求:要构建一个安全的系统，不仅仅需要传输过程安全，还要提高系统安全性，以下几个方面是缺一不可的:7.1.1 传输过程安全传输过程安全 传输的过程加密强度是确保内部数据不在传输过程中被黑客盗取的关键因素。传输过程加密强度越高，传输安全性就越有保障。目前，拥有 128 位加密以上的 SSL VPN 产品是比较适宜的，56 位 DES 加密相对强度低，选择时需要特别注意。7.1.2 用户身份验证用户身份验证 用户名加密码的验证方式安全性相对较低，除了用户名和密码外，能提供其他的双因素验证方式的产品更加具有优势，如支持 PKI 体系等?7.1.3 客户端设备的安全性客户端设备的安全性:客户端设备是否安装了个人防火墙、防病毒软件等。如果客户端设备不够安全，比如有木马程序，那么系统依然存在安全隐患。目前部分 SSL VPN 能够提供客户端环境检测，比如检测客户端是否安装了防火墙和防病毒软件。7.1.4 完成访问后，客户端需要清除客户端机器的缓存完成访问后，客户端需要清除客户端机器的缓存 在移动用户完成远程访问后，是否就万事大吉了呢?当然不是，黑客或不法分子可以通过拷贝、复制驻留在客户端缓冲区内数据盗取企业机密。7.1.5 服务端的日志跟踪服务端的日志跟踪 SSL VPN 服务器应该提供访问统计和跟踪功能，这样管理员能够根据日志随时掌握系统访问情况。7.3 易于管理和维护，使用操作性强易于管理和维护，使用操作性强 SSL VPN 的突出优势之一就在于移动性强、易用性强。但这些特性往往会增加管理难度。因此用户在选购 SSL VPN 时要重点考虑产品的管理性能。产品要做到界面简单，使用方便，灵活、细致地设置访问权限,采用基于用户/组/角色的认证机制，每个文件、网址或应用都可进行单独设置，使访问控制更易于管理。7.4 性能性能 由于是集中系统，SSL 加速决定整个网络的吞吐量。如果 SSL 加速跟不上，远程接入就会比实际的 Internet 接入带宽低很多。有的 SSL VPN 产品采用专门的 SSL 加速硬件，从而提高了VPN 的响应速度。另外，通过数据压缩技术，还对所有的传输数据进行压缩后再进行传输，这样就提高了整个网络的运行效率和实用性。7.5 服务服务 除了上面提到的几点外，具有良好服务也至关重要。SSL VPN 还是一个在不断发展的技术，更新的可能会比较快，提供 SSL VPN 的厂家是否具有良好的产品服务质量、渠道响应速度和本地支持能力也非常重要。比如承诺免费或低费用升级，等等。SSL VPN 的发展迎合了用户对低成本、高性价比远程访问的需求。现在，它已经广泛应用的发展迎合了用户对低成本、高性价比远程访问的需求。现在，它已经广泛应用于各行各业。选购于各行各业。选购 SSL VPN 时，用户要根据自身特点和不同的业务模式，选择适合自己的产时，用户要根据自身特点和不同的业务模式，选择适合自己的产品，再次强调，品，再次强调，VPN 是正在发展是正在发展的技术，更新换代比较快，因此用户在选购时可以少考虑一些的技术，更新换代比较快，因此用户在选购时可以少考虑一些扩展性，多注重产品的实用性。毕竟，只有适合自己的，才是最理想的选择。扩展性，多注重产品的实用性。毕竟，只有适合自己的，才是最理想的选择。九、国内外主流厂商产品系列九、国内外主流厂商产品系列 9.1 Juniper 网络网络 9.1.1客户概况客户概况:客户客户 描描 述述 区域区域 行业行业 产品系列产品系列 Arizona Game and Fish?Arizona Game and Fish 部署 Juniper 网络公司 SSL VPN。北美 政府 SSL ASPCA?ASPCA 明智地选择了 Juniper 网络公司防火墙和 SSL VPN 解决方案。北美 非 盈 利组织 SSL Catholic Health System（中文）?Juniper SSL VPN 支持随时随地访问关键医疗信息。北美 医疗 SSL HealthBridge?HealthBridge 在 医 院 领 域 应 用Juniper 网络公司 SSL VPN 解决方案。北美 医疗 SSL Isle of Wight 学院?Isle of Wight 学院通过 Juniper 网络公司 SSL VPN 解决方案建立安全远程接入。EMEA 教育/研究 SSL Lancaster General（中文）?Lancaster General 通过 Juniper SSL VPN 解决方案实现安全性。北美 医疗 SSL Linc 集团?Linc 集团通过 Juniper 网络公司 SSL VPN 解决方案将各个部门联系在一起。北美 制造 SSL