SSL VPN产品及技术分析.doc
《SSL VPN产品及技术分析.doc》由会员分享,可在线阅读,更多相关《SSL VPN产品及技术分析.doc(49页珍藏版)》请在三一办公上搜索。
1、 S S S SS S S SL L L L V V V VP P P PN N N N 产产产产品品品品及及及及技技技技术术术术分分分分析析析析 广广 东东 卓卓 维维 网网 络络 有有 限限 公公 司司 Guangdong Topway Network Co.,LtdGuangdong Topway Network Co.,Ltd 二二 0000 七七年年四四月月 文文 件件 信信 息息 广州卓维网络有限公司 技术支持手册技术支持手册 文件编号 版 本 10 SSL VPNSSL VPN 文件页数 共 子 页 版版 本本 信信 息息 版版 本本 发布时间发布时间 作作 者者 版本修改信息版
2、本修改信息 V 1.0 2007-4-2 蔡文源 目目 录录 一、一、SSL VPNSSL VPN 技术介绍技术介绍.5 二、二、SSL VPNSSL VPN 给用户带来的价值给用户带来的价值.7 三、三、SSL VPNSSL VPN 功能实现功能实现.8 3.13.1 无客户端软件无客户端软件.8 3.23.2 保持用户使用习惯保持用户使用习惯.8 3.33.3 客户端应用绑定客户端应用绑定.9 3.43.4 支持多种支持多种 TCP/UDPTCP/UDP 应用系统应用系统.9 3.53.5 第三方第三方 Radius/Windows/AD/LDAPRadius/Windows/AD/LDA
3、P 认证系统认证系统.9 3.6 Windows3.6 Windows AD/LDAPAD/LDAP 用户数据库同步用户数据库同步.9 3.73.7 基于信任链表的基于信任链表的 PKIPKI 证书应用证书应用.10 3.83.8 客户端安全措施客户端安全措施.10 3.93.9 基于角色的细粒访问控制基于角色的细粒访问控制.10 3.103.10 信息与状态监控信息与状态监控.10 四、四、SSL VPNSSL VPN 技术优势技术优势.11 4.14.1 客户端支撑维护简单客户端支撑维护简单.12 4.4.2 2 提供增强的远程安全接入功能提供增强的远程安全接入功能.12 4.34.3 提
4、供更细粒度的访问控制提供更细粒度的访问控制.12 4.44.4 能够穿越能够穿越 NATNAT 和防火墙设备和防火墙设备.12 4.54.5 能够较好地能够较好地抵御外部系统和病毒攻击抵御外部系统和病毒攻击.13 4.64.6 网络部署灵活方便网络部署灵活方便.13 五、五、SSL VPNSSL VPN 的市场和应用前景的市场和应用前景.14 5.1 5.1 市场的特点与趋势市场的特点与趋势.14 5.25.2 SSL VPNSSL VPN 难以普及难以普及主要因素主要因素.15 5.35.3 SSL VPNSSL VPN 应用前景应用前景-SSLSSL 无处不在无处不在.15 六、企业决策:
5、六、企业决策:如何选择如何选择 SSL VPNSSL VPN-三步走三步走.17 七、七、SSL VPNSSL VPN 产品如何选购产品如何选购.20 八、国内外主流厂商产品一览表及推荐使用品牌八、国内外主流厂商产品一览表及推荐使用品牌.错误错误!未定义书签。未定义书签。九、国内外主流厂商产品系列九、国内外主流厂商产品系列.22 9.1 Juniper 9.1 Juniper 网络网络.22 9.29.2 Arry NetworksArry Networks.27 9.39.3 NorNorteltel(北电)网络(北电)网络.30 9.4 F5 Networks9.4 F5 Networks
6、.33 9.59.5 O2MicroO2Micro NetworksNetworks.38 9.69.6 北京安软天北京安软天地科技地科技.39 9.7 9.7 深圳赛蓝深圳赛蓝 CYLANCYLAN.42 9.89.8 深圳深信服深圳深信服.46 一、一、SSL VPN 技术介绍技术介绍 SSL VPN 即指采用即指采用 SSL(Security Socket Layer)协)协议来实现远程接入的一种新型议来实现远程接入的一种新型 VPN技术。技术。SSL 协议是网景公司提出的基于 WEB 应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL 链路上的数据完整性和 SSL 链路上的数
7、据保密性。对于内、外部应用来说,使用 SSL 可保证信息的真实性、完整性和保密性。目前 SSL 协议被广泛应用于各种浏览器应用,也可以应用于 Outlook 等使用 TCP 协议传输数据的 C/S 应用。正因为 SSL 协议被内置于IE 等浏览器中,使用 SSL 协议进行认证和数据加密的 SSL VPN 就可以免于安装客户端。SSL VPN 技术帮助用户通过标准技术帮助用户通过标准的的 WEB 浏览器就可以访问重要的企业的应用。浏览器就可以访问重要的企业的应用。这使得员工出差时不必再携带自己的笔记本电脑,仅仅通过一台接入 Internet 的计算机就能访问企业的资源,这为企业提高了效率也带来了
8、方便。SSL VPN 网关位于企业网络的边缘,介于企业服务器与远程用户之间,控制二者的通信。SSL VPN 应用环境如下图(一):应用环境如下图(一):图(一)图(一)掌握三个关键技术术语的含义有助于理解 SSL VPN 是如何实现的。代理(代理(Proxying)SSL VPN 至少要实现一种功能:至少要实现一种功能:代理 WEB 页面。它将来自远端浏 览器的页面请求(采用 HTTPS 协议)转发给 WEB 服务器,然后将服务器的响应回传给终端用户。1.1 应用转换(应用转换(Application Translation)对于非)对于非 WEB 页面的文件访问,往往要借助于应页面的文件访问
9、,往往要借助于应 用转换。用转换。SSL VPN 网关与企业网内部的微软 CIFS 或 FTP 服务器通信,将这些服务器对客户的响应转化为 HTTPS 协议和 HTML 格式发往客户端,终端用户感觉到这些服务器就是一些基于 WEB 的应用。有的 SSL VPN 产品所能支持的应用转换器和代理的代理非常少,有的则很好地支持了FTP、网络文件系统和微软文件服务器的应用转换。用户在选择网关时,必须对自己所需要转换的应用有一个很明确的了解,并能够根据他们的重要性给他们排个先后顺序。1.2 端口转发端口转发(Port Forwarding)有些应用,如微软的有些应用,如微软的 Outlook 或或 MS
10、N,它们的外观会,它们的外观会 在转化为基于界面的过程中丢失。此时需要用到端口转发技术。在转化为基于界面的过程中丢失。此时需要用到端口转发技术。端口转发用于端口定义明确的应用。它需要在终端系统上运行一个非常小的 JAVA 或 ActiveX 程序作为端口转发器,监听某个端口上的连接。当数据包进入这个端口时,它们通过 SSL 连接中的隧道被传送到 SSL VPN 网关,SSL VPN 网关解开封装的数据包,将它们转发给目的应用服务器。良好的 SSL VPN 产品应该具有较好的互操作性,较为细致的访问控制功能,完善的日志和认证体系以及对应用的广泛支持。二、二、国内外主流厂商产品一览表国内外主流厂商
11、产品一览表及推荐使用品牌及推荐使用品牌 国内国内/外外(序号)(序号)厂家名称厂家名称 简简 述述 SSL VPN 产品系列产品系列 外(1)Juniper Juniper 网络公司提供全面的 SSL VPN产品,在市场上处于领导地位在市场上处于领导地位。Juniper 的Secure Access 产品拥有各种机型和特性,可以满足各种规模公司的远程接入需求,包括从中小企业所需的远程/移动员工的接入访问,到大型,跨国企业所需的员工与外联网在统一平台上的接入访问。1、Secure Access 700 (适用中小型企业)2、Secure Access 2000(适用中小型企业)3、Secure
12、Access 4000 (适用大中型企业)4、Secure Access 6000 (适用大型和跨国企业)5、Secure Access 6000(适用服务提供商管理服务)外(2)Array(推荐使用(推荐使用品牌)品牌)世界上最强大的 SSL VPN 应用访问解决方案。任何时间、任何地点的安全访问 全局安全和访问控制 卓越的安全性和出色的终端用户体验 目前市场上同类产品中的性能翘楚 1、SPX-2000(面向中小型企业)2、SPX-3000(面向大中型企业)3、SPX-5000 (面向大型跨国企业和大中型企业)外(3)北电北电(推荐使(推荐使用品牌)用品牌)北电 VPN 网关系列是一套远程接
13、入安全解决方案,可将企业应用的覆盖范围扩展到在偏远地区工作的员工、合作伙伴和客户身边。北电VPN网关利用广泛部署能支持SSL功能的网络浏览器,和支持传统的 IPsec VPN 接入,提供当前市场上最灵活、最经济高效的安全远程接入解决方案。(SSL VPNSSL VPN 与与 IP SEC VPNIP SEC VPN 功功能并兼)能并兼)1、VPN Gateway 3050(面向大型公司)、VPN Gateway 3070 (面向大型公司和服务提供商)外(4)F5 F5 的 FirePass SSL VPN 设备提供了一种通过标准网络浏览器,到公司应用和数据的安全访问能力。无论在家中或是在路上,
14、FirePass 出色的性能、可扩展性、易用性以及安全性都可帮助您提高工作效率和确保公司数据的安全性。、FirePass 1200(专为中小型企业设计)、FirePass 4100 (专为大型企业设计)外(5)O2Micro -部署在企业的内部网络的 Succendo 系统为远程访问提供了集中的控制及保护。-使用 Succendo 无须对原有的网络环境或用户的使用习惯进行任何变动。1、Succendo 502 (25200 并发用户数)、Succendo 2000 (100500 并发用户数)国内(6)北京安软天北京安软天地科技地科技 安软天地公司的 EverLink SRAC VPN Gat
15、eway是一种简便、低成本的应用层VPN,是个具有高性能的网络应用装置,它它将很多应用技术整和进一个简单的网络设将很多应用技术整和进一个简单的网络设备备。该 VPN 运行在应用层,可以帮助企业建立一个即插即用的虚拟专用网。利用多种安即插即用的虚拟专用网。利用多种安全认证方法全认证方法,包括 PKI 和动态口令插入 VPN,VPN 可以提供最彻底的检验用户身份方式。、EverLink SRAC VPN 网关 国内(7)深圳赛蓝深圳赛蓝(推荐使用(推荐使用品牌)品牌)2002 年底年底,推出了面向大、中、小型企业用户的 SME VPN 及 SSL VPN 产品,为国内外用户提供了安全、稳定、可靠,
16、高性价比的广域网解决方案。2006 年初,年初,推出了面向大、中、小型企业用户的 Application Firewall(应用层防火墙)VPN 防火墙,是结合外部防御与内部防御等多种安全防御功能于一身的新一代UTM 防火墙 VPN 设备。1、CYLAN VPN SSL 30 GATEWAY(中小型企业级中小型企业级)2、CYLAN VPN SSL 50 GATEWAY(中小型企业级中小型企业级)3、CYLAN VPN SSL 100 GATEWAY(中型企业级中型企业级)2、CYLAN VPN SSL 200 GATEWAY(中型企业级中型企业级)3、CYLAN VPN SSL 620 GA
17、TEWAY(中大型企业级中大型企业级)4、CYLAN VPN SSL 650 GATEWAY(大型企业级大型企业级)国内(8)深圳深信服深圳深信服 一台 VPN 网关中 SSL VPN 与 IP SEC VPN功能并兼 1、M5100-S VNP 网关 2、M5400-S VNP 网关 3、M5600-S VNP 网关 4、M5800-S VNP 网关 三、三、SSL VPN 功能实现功能实现 3.1 无客户端软件无客户端软件 采用无客户端软件的解决方案,用户只须要通过浏览器访问 VPN 服务。这是因为 SSL VPN 使用了已嵌入于一般浏览器中的 SSL 协议。这让管理员无须为终端用户提供软
18、件安装,维护及策略定制的服务;仅仅在 VPN 网关上设置用户访问权限即可。3.2 保持用户使用习惯保持用户使用习惯 每个企业都根据自己的实际需要定制开发一些应用系统,或者部署一些知名的服务来满足自己的需要,比如使用 Outlook 的日历安排的功能来安排会议;为不同的分支机构的 IC 设计工程师部署集中的 Terminal Server 来共享设计仿真资源等。员工主要的工作时间都是在企业内部使用这些特定的应用,因此员工在家里或酒店需要访问这些企业资源时候也希望保持在公司Intranet 中的使用习惯,不希望变换应用客户端软件,也不希望改变应用客户端的配置。3.3 客户端应用绑定客户端应用绑定
19、SSL VPN 设计中考虑到用户使用方便,因此特别客户端应用绑定的功能,让用户可以针 对某一个应用服务设定使用哪一种应用客户端软件。客户端应用绑定设置也能由管理员完成,让用户免予进行设置。管理员/用户可以针对一个服务设定多个应用客户端软件、叶可以定制关联应用的特性,给与用户最大的选择应用何种应用客户端软件的自由。如果用户不设定关联应用,那么也可以直接在操作系统中启动应用软件。3.4 支持多种支持多种 TCP/UDP 应用系统应用系统 虽然 SSL 协议主要用户保护 WEB 应用系统,但是 SSL VPN 应该也支持多种基于 TCP/UDP的 Client/Server 结构的应用软件。管理员只
20、须要通过简单的管理接口在服务器上定义需要支持的应用,及配置好服务器使用的端口。比如 FTP、TFTP、Oracle、SQL server 等。3.5 第三方第三方 Radius/Windows/AD/LDAP 认证系统认证系统 作为企业远程接入 VPN 网关,SSL VPN 最核心的安全功能就是对远程接入用户提供认证、授权及访问控制。为了减轻管理员的管理操作,SSL VPN 不止应该提供内置的用户认证数据库,也应该可以用常用的 Radius/Windows/AD/LDAP 用户认证系统结合,提供一体化的用户认证设施。利用第三方认证系统,管理员无须再配置任何相关的信息,仅仅需要对不同认证服务器上
21、的用户进行授权即可。3.6 Windows AD/LDAP 用户数据库同步用户数据库同步 企业一般都会有集中的用户管理系统,比如基于 Window AD 的用户管理系统。虽然管理人员希望只需维护一个用户数据库,但也要求在不同的应用系统及网关上进行细粒度的配置。若系统支持同 Windows AD/LDAP 服务器之间实行帐号同步,就可以保持服务器与企业用户数据库的一致。3.7 基于信任链表的基于信任链表的 PKI 证书应用证书应用 基于公开密钥证书的认证系统有其安全性高、扩展性好等特点。因此很多企业已经开始使用PKI 作为基础的认证设施。企业提供远程接入解决方案不仅仅是接入本企业的员工,而且会接
22、入不同企业的合作伙伴,因此用户会要求远程接入网关能够支持多个 CA 签发的证书的用户的认证。3.8 客户端安全措施客户端安全措施 一旦用户接入到企业内部网络中,那么远端用户的计算仅就成了企业的网络的边缘。因此IT 管理人员需要确保远端用户的计算机满足企业的安全策略要求。一般通过四个措施:Host check&Cache Clean,ARL(Access Restriction List 访问限制列表),用户登录锁定,SSL 协议加密算法设置;来保证客户端的安全性。3.9 基于角色的细粒访问控制基于角色的细粒访问控制 访问控制是 SSL VPN 提供的核心安全服务。基于角色访问控制便于管理员快速
23、的对企业变化相对的更改控制规则。通过角色将系统的访问用户同系统保护资源联合起来,既直观,而且在访问控制策略发生变化的时候无须为每一种资源或者每一个用户修改权限;西需要修改某一种服务角色用户的属性。3.10 信息与状态监控信息与状态监控 提供 SSL VPN 准确的状态信息所能帮助管理员设计及实现有效的安全策略。时时监控的各个状态有助于管理员预测可能发生的危害,和及时做出适当的反应。监控图表如下图:监控图表如下图:四、四、SSL VPN 技术优势技术优势 -IP Sec VPN&SSL VPN 比较比较 IPSecVPN 和 SSLVPN 是两种不同的 VPN 架构,IPSecVPN 是工作在网
24、络层的,提供所有在网络层上的数据保护和透明的安全通信,而 SSL VPN 是工作在应用层(基于 HTTP 协议)和 TCP 层之间的,从整体的安全等级来看,两者都能够提供安全的远程接入。但是,IPSec VPN技术是被设计用于连接和保护在信任网络中的数据流,因此更适合为不同的网络提供通信安全保障,而 SSL VPN 因为以下的技术特点则更适合应用于远程分散移动用户的安全接入。4.1 客户端支撑维护简单客户端支撑维护简单 对于大多数执行基于 SSL 协议的远程访问是不需要在远程客户端设备上安装软件,只需通过标准的 Web 浏览器连接因特网,即可以通过网页访问到企业内部的网络资源。而 IPSecV
25、PN需要在远程终端用户一方安装特定软件以建立安全隧道。4.2 提供增强的远程安全接入功能提供增强的远程安全接入功能 IPSecVPN 通过在两站点间创建安全隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户终端就如同物理地处于企业内部局域网中,这会带来很多安全风险,尤其是在接入用户权限过大的情况下。SSLVPN 提供安全、可代理连接。通常 SSLVPN的实现方式是在企业的防火墙后面放置一个 SSL 代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个 URL 后,连接将被 SSL 代理服务器取得,并验证该用户的身份,然后 SSL 代理服务器将连
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SSL VPN产品及技术分析 VPN 产品 技术 分析
链接地址:https://www.31ppt.com/p-4168871.html