91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

摘要:本文總結(jié)了SSL VPN 的基本原理,研究了SSL VPN 的安全性,并與IPSec VPN 做了相關(guān)比較。
關(guān)鍵詞:SSL VPN;IPSec VPN;網(wǎng)絡(luò)安全

VPN 是一項非常實用的技術(shù),它可以擴展企業(yè)的內(nèi)部網(wǎng)絡(luò),近期,傳統(tǒng)的IPSec VPN 出現(xiàn)了客戶端不易配置等問題,相對而言,SSL VPN作為一種全新的技術(shù)正在被廣泛關(guān)注,SSL利用內(nèi)置在每個Web瀏覽器中的加密和驗證功能,并與安全網(wǎng)關(guān)相結(jié)合,提供安全遠程訪問企業(yè)應用的機制,這樣,遠程移動用戶可以輕松訪問公司內(nèi)部B/S和C/S應用及其他核心資源。

1 什么是SSL VPN
SSL VPN是指應用層的VPN,基于HTTPS來訪問受保護的應用。目前常見的SSL VPN方案有兩種:直路方式和旁路方式。直路方式中,當客戶端需要訪問一應用服務器時,首先,客戶端和SSL VPN網(wǎng)關(guān)通過證書互相驗證雙方;其次,客戶端和SSL VPN網(wǎng)關(guān)之間建立SSL 通道;然后,SSL VPN 網(wǎng)關(guān)作為客戶端的代理和應用服務器之間建立TCP 連接,在客戶端和應用服務器之間轉(zhuǎn)發(fā)數(shù)據(jù)。旁路方式與直路不同的是,為了減輕在進行SSL加解密時的運行負擔,也可以獨立出SSL加速設(shè)備,在SSL VPN Server 接收到HTTPS 請求時將SSL加密的過程交給SSL加速設(shè)備來處理,當SSL加速設(shè)備處理完之后再將數(shù)據(jù)轉(zhuǎn)發(fā)給SSL VPN Server 。

2 SSL VPN的安全性
保密性就是對抗對手的被動攻擊,保證信息不泄漏給未經(jīng)授權(quán)的人。由于使用的是SSL協(xié)議,該協(xié)議是介于 HTTP層及TCP 層的安全協(xié)議。傳輸?shù)膬?nèi)容是經(jīng)過加密的。SSL VPN通過設(shè)置不同級別的用戶,設(shè)置不同級別的權(quán)限來屏蔽非授權(quán)用戶的訪問。用戶的設(shè)置可以有設(shè)置帳戶、使用證書、Radius機制等不同的方式。SSL數(shù)據(jù)加密的安全性由加密算法來保證,各家公司的算法可能都不一樣。黑客想要竊聽網(wǎng)絡(luò)中的數(shù)據(jù),就要能夠解開這些加密算法后的數(shù)據(jù)包。
完整性就是對抗對手主動攻擊,防止信息被未經(jīng)授權(quán)的篡改。由于 SSL VPN 一般在 GATEWAY 上或者在防火墻后面,把企業(yè)內(nèi)部需要被授權(quán)外部訪問的內(nèi)部應用注冊到 SSL VPN上,這樣對于GATEWAY來講,需要開通 443 這樣的端口到SSL VPN即可,而不需要開通所有內(nèi)部的應用的端口,如果有黑客發(fā)起攻擊也只能到SSL VPN這里,攻擊不到內(nèi)部的實際應用。
可用性就是保證信息及信息系統(tǒng)確實為授權(quán)使用者所用。前面已經(jīng)提到,對于SSL VPN要保護的后臺應用,可以為其設(shè)置不同的級別,只有相應級別的用戶才可以訪問到其對應級別的資源,從而保證了信息的可用性。
可控性就是對信息及信息系統(tǒng)實施安全監(jiān)控。SSL VPN作為一個安全的訪問連接建立工具,所有的訪問信息都要經(jīng)過這個網(wǎng)關(guān),所以記錄日志對于網(wǎng)關(guān)來說非常重要。不僅要記錄日志,還要提供完善的超強的日志分析能力,才能幫助管理員有效地找到可能的漏洞和已經(jīng)發(fā)生的攻擊,從而對信息系統(tǒng)實施監(jiān)控。

3 SSL VPN的優(yōu)勢
3.1 零客戶端
客戶端的區(qū)別是SSL VPN最大的優(yōu)勢。瀏覽器內(nèi)嵌了SSL協(xié)議,所以預先安裝了Web瀏覽器的客戶機可以隨時作為SSL VPN的客戶端。這樣,使用零客戶端的SSL VPN遠程訪問的用戶可以為遠程員工、客戶、合作伙伴及供應商等,通過SSL VPN,客戶端可以在任何時間任何地點對應用資源進行訪問,也就是說是基于B/S結(jié)構(gòu)的業(yè)務時,可以直接使用瀏覽器完成SSL的VPN建立;而IPSec VPN只允許已經(jīng)定義好的客戶端進行訪問,所以它更適用于企業(yè)內(nèi)部。
3.2 安全性
SSL VPN的安全性前面已經(jīng)討論過,與IPSec VPN相比較,SSL VPN在防病毒和防火墻方面有它特有的優(yōu)勢。
一般企業(yè)在Internet 聯(lián)機入口,都是采取適當?shù)姆蓝緜蓽y措施。不論是IPSec VPN或SSL VPN聯(lián)機,對于入口的病毒偵測效果是相同的,但是比較從遠程客戶端入侵的可能性,就會有所差別。采用IPSec 聯(lián)機,若是客戶端電腦遭到病毒感染,這個病毒就有機會感染到內(nèi)部網(wǎng)絡(luò)所連接的每臺電腦。而對于SSL VPN的聯(lián)機,病毒傳播會局限于這臺主機,而且這個病毒必須是針對應用系統(tǒng)的類型,不同類型的病毒是不會感染到這臺主機的。因此通過SSL VPN連接,受外界病毒感染的可能性大大減小。
3.3 訪問控制
用戶部署VPN 是為了保護網(wǎng)絡(luò)中重要數(shù)據(jù)的安全。IPSec VPN只是搭建虛擬傳輸網(wǎng)絡(luò),SSL VPN重點在于保護具體的敏感數(shù)據(jù),比如SSL VPN可以根據(jù)用戶的不同身份,給予不同的訪問權(quán)限。就是說,雖然都可以進入內(nèi)部網(wǎng)絡(luò),但是不同人員可以訪問的數(shù)據(jù)是不同的。而且在配合一定的身份認證方式的基礎(chǔ)上,不僅可以控制訪問人員的權(quán)限,還可以對訪問人員的每個訪問,做的每筆交易、每個操作進行數(shù)字簽名,保證每筆數(shù)據(jù)的不可抵賴性和不可否認性,為事后追蹤提供了依據(jù)。
3.4 經(jīng)濟性
使用SSL VPN具有很好的經(jīng)濟性,因為只需要在總部放置一臺硬件設(shè)備就可以實現(xiàn)所有用戶的遠程安全訪問接入。但是對于IPSec VPN 來說,每增加一個需要訪問的分支,就需要添加一個硬件設(shè)備。就使用成本而言,SSL VPN具有更大的優(yōu)勢,由于這是一個即插即用設(shè)備,在部署實施以后,一個具有一定IT知識的普通工作人員就可以完成日常的管理工作。
綜觀上述,SSL VPN在其易于使用性及安全層級,都比IPSec VPN高。我們都知道,由于Internet的迅速擴展,針對遠程安全登入的需求也日益提升。對于使用者而言,方便安全的解決方案,才能真正符合需求。

參考文獻
[1]Tuchman W. Hellman Presents no Shortcut SolutionstoDES.IEEE Spectrum, July 1979,
16(7): 40～41.
[2]CarIton R.Davis. IPSec VPN的安全實施.清華大學出版社.
[3]Port Randomized VPN by Mobile Codes. 2004 IEEE.