从简单而言, SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。
几乎所有的主流商业浏览器都集成了SSL,实施SSL VPN不需要再安装额外的软件。绝大多数SSL VPN的生产厂商都通过“signed plugins”提供其他的功能,“signed plugins”可以跟随浏览器自动传输给客户端。
SSL实现了客户端0安装,0配置。因此其功能和应用也受到限制。它适合PC-Web Server模式,就是大量的移动用户通过浏览器访问Web服务器,有的SSL VPN还对ftp、telnet等进行了扩充,增强了其可用性,即便如此,充其量是实现了PC-to-Lan的功能。适用于数据库-应用服务器-Web服务器-浏览器这一种模式。在保护范围、认证方式、应用程序类型上限制很多。而IPsec VPN则提供第三层IP的可达性,可以保证任何基于tcp/ip的程序运行。
如果就网络联通而言,即使不使用SSL VPN,企业也能够实现Web应用,大不了我直接把服务器放置在Internet上,其他用户明文直接访问好了。有了一个SSL VPN设备,相当于在服务器之前作了一个代理,客户端要和服务器连接,就要通过这个代理的认证,而且从客户端到SSL VPN之间,数据是加密的。这样,internet上的黑客无法通过抓取数据包分析通讯信息。并且SSL VPN一般能够支持虚拟主机应用,这样,一个IP地址可以访问N个服务器。
SSL优点和缺点都很明显。
优点:
(1) 方便,实施SSL VPN只需要安装配置好中心网关即可。其余的客户端是免安装的,因此,实施工期很短,如果网络条件具备,连安装带调试,1-2天即可投入运营。
(2) 容易维护,SSL VPN维护起来也简单。出现问题,就维护网关就可以了。实在不行,换一台,如果有双机备份的话,备份机器启动就可以了。
(3) 安全,SSL 是一个安全协议,数据是全程加密传输的。另外,由于SSL网关隔离了内部服务器和客户端,只留下一个Web浏览接口,客户端的大多数病毒木马感染不到内部服务器。而IPsec VPN就不一样,实现的是IP级别的访问,远程网络和本地网络几乎没有区别。局域网能够传播的病毒,通过VPN一样能够传播。
当然,SSL VPN的缺点也是很明显的:
(1) 应用受限。一般都用于B/S模式。其他应用程序,象ftp/telnet等等有的SSL VPN能够支持。一般的C/S程序是不能直接应用的,因此SSL VPN市场始终没有火暴起来。这个缺点是致命的,所以现在很多SSL VPN也试图把IPsec 融入进去,通过客户端安装一个软件,虚拟一个VPN 的IP地址,实现PC-TO-Lan的IP级的连接。华盾公司(www.huadun.com.cn)也提供这样的产品,和美国array合作的。
(2) 只能实现星形的PC-SSL-SERVERs的应用模式。星形、树型结构都不能支持。
(3) 价格比较高。目前比较知名的高端SSL VPN,价格都在几十万以上。价格很低的国产VPN,在很多性能和应用可靠性上面,距离还比较大。
(4) 安全认证方式很单一,都是使用证书方式。,而且一般是单向认证。支持其它认证方式往往要进行长时间的二次开发。IPSec VPN认证方式更为灵活(口令、RADIUS、令牌等)。
(5) SSL VPN只能进行认证和加密,不能实施访问控制,建立隧道后,管理员对用户不能进行任何的限制。而集成防火墙的VPN则可以根据用户的身份和角色,在其访问内部资源(主机、数据库)进行访问控制和安全审计,这也是用户最为关心的一点。
为了克服以上的毛病,SSL开发商也作了很多工作,力图向IPSEC融合。兼容支持,而IPsec厂家也在后续的产品中间,陆续增加SSL的支持。我在公司下一代Ipsec产品规划的时候,已经把SSL的支持列入研究计划。
如果希望能够运行各种应用程序,并且建立LAN-to-Lan的VPN,IPsec还是主流的解决方案。我所在的华盾公司(www.huadun.com.cn),同时有SSL和IPsec产品线,结果大型用户无一例外全部使用IPSEC产品。SSL的销售额,目前为止还不能养活配套的销售和工程师。
cfananbb 回复于:2004-12-20 16:46:56
welldone!
xuzisy 回复于:2004-12-21 13:46:47
不错、不错!
Anlee82 回复于:2004-12-22 09:48:41
把IPsec融入SSL?是否安装一个软件生成虚拟IP后,还是采用B/S构架?通过浏览器访问?那么虚拟IP在中间起什么作用了呢?SSL支持的网络结构是否有所拓展?
能否介绍一下华盾公司的这款产品?
zhouyutang 回复于:2004-12-22 21:28:59
把IPsec融入SSL?是否安装一个软件生成虚拟IP后,还是采用B/S构架?通过浏览器访问?那么虚拟IP在中间起什么作用了呢?SSL支持的网络结构是否有所拓展?
能否介绍一下华盾公司的这款产品?
现在华盾公司的SSL VPN产品,为了能够支持非Web的应用。采用了类似IPSEC VPN的技术,在这种技术体系下,主要的工作原理是:
* 客户端下载一个软件,进行安装。安装以后生成一个虚拟网卡。虚拟网卡的IP地址由SSL VPN网关统一分配。
* 客户端虚拟IP生成以后,会生成一个对内网(SSL 网关)的路由,凡是访问内网的包。以这个虚拟IP地址为源地址,通过公网IP的封装,传递给SSL网关。
* SSL网关能够识别这种报文,解开以后,直接传递给内部的主机。
* 内部的主机返回的数据报文,返回给SSL VPN网关。SSL VPN网关再封装以后,传递回去。
虚拟IP的作用是进行合理的访问控制和身份认证,客户端访问内部网络的时候,只能使用指定范围的IP地址,毕竟基于IP地址可以进行访问控制。还可以给内部主机建立静态路由。
这算是SSL VPN技术的一个扩展,也是各种VPN技术相融合的一个例子。这时候,SSL VPN网关就兼了一个类似IPSEC网关的功能。但是也只能支持到PC-TO-LAN的VPN功能。
这款产品价格比较高。其ssl加速功能能够达到700M,属于高端客户的应用。
_Unix_ 回复于:2005-01-11 11:15:39
原来是广告,呵呵
lixc_163 回复于:2005-08-12 11:49:05
学习中
191117946 回复于:2005-08-14 13:48:27
不错,不过俺的水平太差,还是不老懂,像那个虚拟网卡的IP应该和外网一个网段还是和内网一个网段,还是独立的一个网段?
shyking166 回复于:2005-08-20 01:01:20
发现zhouyuntang的帖子每次都让我收益非浅
b2linux 回复于:2005-09-04 16:38:21
如果是基于OpenVPN的,就直接说吧
Axin 回复于:2005-09-04 22:54:15
一看我就觉得是openvpn,呵。
xunbovpn 回复于:2005-09-08 09:26:24
OPENVPN用的是SSL技术,但是有客户端。
传统上说的SSL VPN产品,无客户端,但很多产品已经支持C/S应用了
|
