)SSL VPN
SSL VPN技术
SSL 隧道的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正
SSL VPN虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业??司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充。
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
目前很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。
对于很多IPSec VPN用户来说,IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实:在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制,大量的企业都认为IPSec VPN是一个成本高、复杂程度高,甚至是一个无法实施的方案。为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案。
SSL VNP之SSL协议
SSL VPN协议安全套接层协议(SSL,Security Socket Layer)是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,这是SSL在电子商务中使用的最大不足。有鉴于此,网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作"表单签名(Form Signing)"的功能,在电子商务中,可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名,从而保证交易信息的不可否认性。综上所述,在电子商务中采用单一的SSL协议来保证交易的安全是不够的,但采用"SSL+表单签名"模式能够为电子商务提供较好的安全性保证。
SSL VPN安全的协议以及功能
一、安全的协议
1、由于SSL VPN 采用了SSL(Security socket layer)协议,该协议是介于介于HTTP层及TCP层的安全协议。
2、通过SSL VPN是接入企业内部的应用,而不是企业的整个网络。如果是IPSEC的VPN网络,客户通过vpn是联入的整个企业网络。没有控制的联入整个企业的网络是非常危险的。
3、由于采用SSL 安全协议在网络中传输,所以gateway上的防火墙来讲,只需要打开有限的安全端口即可,不需要将所有对应应用的端口开放给公网用户,这样大大降低了整个网络被公网来的攻击的可能性。
4、数据加密的安全性有加密算法来保证,这个各家公司的算法可能都不一样,有标准的算法比如DES,3DES,RSA等等也有自己的加密算法。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。
5、Session保护功能:现在所有的SSL VPN 基本上都能够做到这个功能,就是在会话停止一段时间以后自动停止会话,如果需要继续访问则要从新登陆,通过对Session的保护来起到数据被窃听后伪装访问的攻击;
二、产品起到的安全功能
1、 首先由于SSLVPN一般在GATEWAY上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSL VPN上,这样对于GATEWAY来讲,这需要开通443 这样的端口到SSL VPN即可,而不需要开通所有内部的应用的端口,如果有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。
2、 不改变防病毒策略:从另外一个角度来讲,如果您采用了IPSEC VPN的产品,当客户端有一台电脑通过VPN联入网络后,该网络的防病毒的策略将被彻底破坏,应为联入内部网络的电脑并不受原来公司的防病毒策略的保护,而ssl vpn 就没有这个问题,SSL VPN需要访问的数据是事先被允许的;
3、不改变防火墙策略:基本原理同防病毒。还是从IPSEC的角度来讲,如果当客户端有一台电脑通过VPN联入网络后,如果该电脑被黑客攻击安装了木马,这个电脑将成为攻击内部网络的跳板,而ssl vpn就没有这个问题。
SSL VPN
SSL VPN随着SSL VPN应用的逐渐加温,越来越多的企业开始采纳SSL VPN的网络架构,来解决企业的远程访问需求。SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。这使得企业员工出差时不必再携带自己的笔记本电脑,仅仅通过一台接入了Internet的计算机就能访问企业资源,这为企业提高了效率也带来了方便。由于SSLVPN不像IPSec VPN那样要购买和维护远程客户端或软件,因而要比后者造价低很多。现在许多企业对于SSL VPN的需求非常强烈,而且未来这种企业网络安全需要还将持续增长。许多国际网络安全厂商正在对SSL VPN这种新型业务形态进行重点投资,取代目前的IPSec系列产品将成为一种趋势。
产品应用
SSL VPN网关位于企业网的边缘,介于企业服务器与远程用户之间,控制二者的通信。SSL VPN采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。在不断扩展的互联网Web站点之间、无线热点和客户端间、远程办公室、酒店、传统交易大厅等场所,SSL VPN克服了IPSec VPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方,设置传统的IPSec VPN非常困难,甚至是不可能的,这是由于必须更改网络地址转换(NAT)和防火墙设置。
产品选购
对广大的用户来说要挑选一个明显的SSL VPN产品最爱比较困难,虽然有的SSL VPN产品表现一般,但是,多数SSL VPN产品是各有其优势。有的SSL VPN产品提供了一个成熟的应用层防火墙,有的SSL VPN产品提供了范围最为广泛的应用转换功能。SSL VPN产品是否最终令人满意,还取决于用户对自己需求的了解程度,适合自己的是最好的。
SSL VPN的发展主要是为了迎合用户在远程访问时能实现性价比的高要求。到目前为止,SSL VPN已经应用于各行各业,有企业用户,也有SOHO用户。用户在选购SSL VPN时,应根据自身特点和不同企业的业务规模,选择适合自己的SSL VPN产品。最好的选择,就是适合自己的。
一般,在选购SSL VPN产品时要注意以下几个问题:
具有强力的安全保障:首先是用户端接入的安全;其次是数据传输的安全;再次是内部资源的访问安全。
支持全面应用的连接。
使用操作性强,易于管理和维护。
运行要稳定,无网络中断。
不会因为处理SSL而降低了运行速率。
良好的综合性能和服务。
市面上的SSL VPN精品
目前,国内外的网络设备商都相继推出了自己SSL VPN产品,其中包括Cisco、华为、ArrayNetworks、F5等著名设备供应商。下面,我们罗列了目前市面上的主要的SSL VPN产品。
适用于大中型企业
Quidway SecPath 1000F 防火墙
Quidway SecPath 1000F 防火墙Quidway SecPath 1000F防火墙支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够有效地保证网络的安全;采用ASPF状态检测技术,可对连接过程和有害命令进行监测,并协同ACL完成动态包过滤;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN、SSL VPN等等,可以构建Internet、Intranet、Access等多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
Quidway SecPath 1000F防火墙提供两个固定的10/100/1000M自适应GE口,支持光口和电口两种形式。提供一个MIM 扩展槽位,支持多功能接口模块热插拔,目前可选的接口模块有1FE/2FE/4FE/1GE/2GE/HDC六种。提供双电源冗余备份解决方案( AC+AC,DC+DC两种机型),提供机箱内部环境温度检测功能,并支持网管,可满足电信级产品的高可靠性要求。
Array SPX5000
Array SPX5000是全球领先的应用智能安全设备供应商Array Networks推出一款面向大型企业网络核心应用的产品设备:新一代SSL VPN远程安全接入产品。这款新品的推出,不仅标志着Array Networks产品性能的显著提升,更表明了Array Networks进一步巩固了在高端企业市场的领先地位。
Array SPX5000是面向大型企业和电信运营商核心业务/应用的新一代SSL VPN产品。它能保证企业客户在任何时间、任何地方,以任何接入设备,都可以通过Internet安全地访问企业的核心应用。由于其并发用户数达到64000个,250个VLAN(虚拟局域网)和128个虚拟门户;对于大型企业/电信网络来说,无论在安全保密、性能,还是在可扩展性方面,Array SPX5000的表现都非常优秀; Array SPX5000可向各大机构提供最强大的网络安全和Web应用优化功能,包括利用SSL VPN登录访问Web应用和传统应用、身份管理、应用层防火墙,以及基于Web的流量管理等等。值得一提的是Array SPX5000的反应速度要比以往的SSL VPN快近2倍,并且能够保持近千兆的线路速率进行SSL通讯传输。达到如此高的传输指标,对于SSL VPN产品来说还是第一次,这就意味着取代大型企业中以往所应用的IPSec VPN网关的日子不远了。
iGate SSL VPN 4.0
与同类产品相比,iGate4.0是目前市场上惟一一款集成双因素身份认证令牌的SSL VPN设备,iGate Pro集成应用了硬件SSL加速装置。新推出的iGate4.0与原有产品相比,提高了SSL接入能力,完全可以支持全网连接;简化了安装和管理,使原有Web用户界面变得更加简单易用;新增加了对PKI的支持能力和客户端策略检查功能, 具备了更高级别的安全性。此外,iGate4.0还增加了对基于Web的PDA或其他移动设备的支持能力。这次重大升级,使iGate在产品性能、易用性等方面都有了长足进步,并一跃成为目前市场中最具实力的SSL VPN产品。
iGate SSL VPN 4.0是一款基于SSL的移动远程访问设备,它通过Internet在远程访问双方建立安全通道,使移动用户可以轻松访问公司内部资源。适用于大型企业,政府部门 的采用。iGate可以通过多种方式确保信息的安全性,主要包括:
采用专用硬件对Web和非Web应用程序的通讯进行SSL加密。
采用硬件令牌和口令登录相结合的方式确保远程访问的合法性。
通过客户端完整性扫描确定远程访问环境的安全性,并相应调整对内部资源的访问权限。
会话结束后清除客户端临时文件,防止泄漏敏感数据。
集成现有用户数据库,按照角色集中管理和控制访问权限。
iGate作为惟一入口,有效隐藏内部信息,杜绝网络攻击。
丰富的访问控制和日志管理工具;全面支持PKI认证、无线设备和PDA等。
Cisco VPN 3000系列集中器
VPN 3000系列集中器是Cisco公司发布的一款SSL VPN产品,由通用的远程访问虚拟专网(VPN)平台和将高可用性、高性能和可扩展性与当今最先进的加密和认证技术结合在一起的客户机软件组成。利用Cisco VPN 3000集中器系列,客户可以充分发挥最新VPN技术的优势,极大地降低通信费用。特别是,该产品是业界唯一的能够提供现场可更换和客户可升级部件的可扩展平台。这些称为可扩展加密处理(SEP)模块的部件使用户可以轻松地增加容量和吞吐量。
Cisco客户可以在众多的VPN 3000集中器中选择最适合自己需求和应用的具体型号,这些型号支持各种企业客户,包括从只有不到100个远程访问用户的小公司到有多达10000名同时远程用户的大型机构。不论Cisco VPN 3000集中器的哪一种版本,都可以在不增加更多费用的情况下提供Cisco VPN客户机,并给予不受限制的安装许可证。Cisco VPN 3000集中器提供非冗余和冗余两种配置,允许客户构建最稳健、最可靠和经济高效的网络。另外,还提供高级路由功能,如OSPF、RIP和网络地址转换(NAT)。
UU200系列
UU200 iSTAR 系列产品中的发布单元(Publisher),它位于应用服务器子网络中。由于UU200对应用程序是透明的,因此可以将应用服务器所提供的各种服务、文件、甚至于子网络安全的发布出来。通过SSL协议以及end to end加密技术,使用者可以安全的使用Publisher所发布的服务。
UU200 iSTAR 系列产品主要特点:在应用层建立用户访问管理。对应用程序透明,能发布Web, Client/Server应用程序及文件共享。子网络虚拟接入(UURemote、UUSoft)为选项功能。UU200可以选择以Public IP进行连接配置,或是通过UUExchange/UUSwitch连接:此时的UU200可以使用Private IP进行连接配置。使用cluster技术,支持负载均衡。
UU200 iSTAR 系列产品适应有公共静态IP地址和没有公共静态IP地址的企业,后者需要连到UUExchange/UUSwitch。 适合大中型企业建立SSL VPN。
神獒VPN L(SSL)系列产品
神獒VPN L神獒L(SSL)系列VPN产品是北京巨龙数码自主研发的SSL VPN系统,无需安装客户端软件,只需通过浏览器(Browser)便可安全的访问企业内部受控资源,建立安全快速高效的VPN隧道,更好的实现用户端的安全控制及节约整体项目成本。神獒L系列VPN是基于数字证书和SSL技术实现的独立安全系统,无需改变应用系统的网络结构和应用模式,
SSL VPN 设备一 应用需求:
选择VPN是为了支持远程访问内部网络的应用,因此这一点也是最先需要考虑的一点,目前,大多数SSL VPN支持我们日常经常会用到的邮件系统、OA系统、CRM/ERP等等,但并不是所有的应用SSL VPN都能够提供支持,如动态端口的应用就只有部分SSL VPN能够提供支持。因此,在决定使用一款SSL VPN前一定要先确定是否能支持你的应用。
二 安全需求:
要构建一个安全的系统,不仅仅需要传输过程安全,还要提高系统安全性,以下几个方面是缺一不可的:
1 传输过程安全
传输的过程加密强度是确保内部数据不在传输过程中被黑客盗取的关键因素。传输过程加密强度越高,传输安全性就越有保障。目前,拥有128位加密以上的SSL VPN产品是比较适宜的,56位DES加密相对强度低,选择时需要特别注意。
2 用户身份验证
用户名加密码的验证方式安全性相对较低,除了用户名和密码外,能提供其他的双因素验证方式的产品更加具有优势,如支持PKI体系等?
3 客户端设备的安全性:
客户端设备是否安装了个人防火墙、防病毒软件等。如果客户端设备不够安全,比如有木马程序,那么系统依然存在安全隐患。目前部分SSL VPN能够提供客户端环境检测,比如检测客户端是否安装了防火墙和防病毒软件。
4 完成访问后,客户端需要清除客户端机器的缓存
在移动用户完成远程访问后,是否就万事大吉了呢?当然不是,黑客或不法分子可以通过拷贝、复制驻留在客户端缓冲区内数据盗取企业机密。
5 服务端的日志跟踪
SSL VPN服务器应该提供访问统计和跟踪功能,这样管理员能够根据日志随时掌握系统访问情况。
对于以上这些安全特性,SafeNet iGate SSL VPN均能够提供支持。
1.SafeNet iGate 使用高强度的128位加密技术。
2.对于远程移动用户,iGate能够结合PKI体系以及本地活动目录,值得一提的是,SafeNet独有的iKey双因素身份认证USB Key与iGate SSL VPN完美结合,充分实现安全的双因素身份验证功能。
3.SafeNet iGate支持客户端环境检测功能,SafeNet iGate能够设定访问策略,当客户端不符合某个条件时,系统将禁止用户登陆。
4.为此,SafeNet iGate在用户离线后可自动清除用户缓冲区的内容。另外,在拔除iKey后,访问也会自动中断。
5.SafeNet iGate在用户界面上集成了日期查询功能,能够非常方便的进行日志跟踪。
三 易于管理和维护,使用操作性
SSL VPN的突出优势之一就在于移动性强、易用性强。但这些特性往往会增加管理难度。因此用户在选购SSL VPN时要重点考虑产品的管理性能。产品要做到界面简单,使用方便,灵活、细致地设置访问权限,采用基于用户/组/角色的认证机制,每个文件、网址或应用都可进行单独设置,使访问控制更易于管理。
SafeNet iGate 提供两个Web方式的管理UI,一个是Simple-UI,一个是Classic-UI,把常用的设置和不常用的设置分别开来,这样大大降低了管理维护的复杂性。
四 性能
由于是集中系统,SSL加速决定整个网络的吞吐量。如果SSL加速跟不上,远程接入就会比实际的Internet接入带宽低很多。有的SSL VPN产品采用专门的SSL加速硬件,从而提高了VPN的响应速度。另外,通过数据压缩技术,还对所有的传输数据进行压缩后再进行传输,这样就提高了整个网络的运行效率和实用性。
SafeNet iGate配置硬件SSL加速卡,能够大大提高访问速度,另外iGate 还提供数据压缩功能,能够大大增加网络吞吐量。
五 服务
除了上面提到的几点外,具有良好服务也至关重要。SSL VPN还是一个在不断发展的技术,更新的可能会比较快,提供SSL VPN的厂家是否具有良好的产品服务质量、渠道响应速度和本地支持能力也非常重要。比如承诺免费或低费用升级,等等。
结束语
SSL VPN的发展迎合了用户对低成本、高性价比远程访问的需求。现在,它已经广泛应用于各行各业。选购SSL VPN时,用户还要根据自身特点和不同的业务模式,选择适合自己的SSL VPN产品,再次强调,VPN是正在发展的技术,更新换代可能会比较快,因此用户在选购时可以少考虑一些扩展性,多注重产品的实用性。毕竟,只有适合自己的,才是最理想的选择。
最近SSL VPN的市场突飞猛进,各种媒体上相关SSL VPN的文章也很多,但是目前存在很多的关于SSL VPN的误区,随便在网上搜索就可以看到很多错误的说法:
1. SSL VPN和IPSec VPN各有优缺点,SSL VPN只能适用于web应用;
2. XX国内厂商推出了廉价集IPSec VPN与SSL VPN于一体的设备,必将大大促进VPN的市场推广;
3. 经过使用Spirent Avalanche测试,XX厂家的SSL VPN产品的TPS(每秒新建用户数)达到了1300, 最大在线用户数可以达到64’000个,完全可以适用大型的商业应用。
这就引入了几个问题:
1. 究竟SSL VPN有哪些功能?是否只能解决web应用?
2. 什么才是一个真正的SSL VPN产品?怎样区别市场上林林总总的号称的SSL VPN产品?
3. 如何衡量SSL VPN产品的性能?
下面逐个回答问题:
1 究竟SSL VPN有哪些功能?是否只能解决web应用?
SSL VPN的出现是为了解决IPSec VPN的固有缺点而出现的,SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致、与应用无关的优点,避免了因有客户端而导致的使用维护不便、某些网络条件下无法接通、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题,从功能上有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,可以提供C/S应用和B/S应用访问,并非只能解决web应用。这其中最为重要的是网络访问功能,SSL VPN的网络访问功能避免了IPSec VPN的缺点而又继承了IPSec VPN的优点。
2 什么才是一个真正的SSL VPN产品?怎样区别市场上林林总总的号称的SSL VPN产品?
现在有很多厂商声称自己的产品是SSL VPN,或者说融合了IPSec VPN和SSL VPN的功能,实际上大部分的厂商只是实现了SSL VPN中的网上应用程序,也就是Web反向代理的功能,某国内厂商大肆宣称的集IPSec VPN与SSL VPN于一体的设备也只是在原有的IPSec VPN的设备上加了一个Web反向代理的功能而已,根本不能称之为真正的SSL VPN产品。那么什么才是一个真正的SSL VPN产品?
前文说到SSL VPN从功能上说有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,其中网络访问是SSL VPN最为重要和标志性的功能,只有具备了网络访问这个看似IPSec VPN而又从根本上解决了IPSec VPN缺陷的功能才称得上是一款真正的SSL VPN产品。当然为了安全性考虑的终端安全检查和审计、与企业认证服务器的结合等功能也是一款优秀SSL VPN的必备功能。
www.vpnc.org中有通过该组织认证的SSL VPN厂商列表,也可以说,只有在这儿能够查到的SSL VPN厂商的产品,才是真正的SSL VPN产品。
3 如何衡量SSL VPN产品的性能?
谈到SSL VPN产品的性能,首先要区分的是SSL Server和SSL VPN,SSL Server相当于SSL VPN中的反向代理功能,二者的要求是不一样的,SSL Server面对的是业务系统,如电子商务网站、网上银行等等,它强调的是性能,目前国内可见的SSL Server产品性能可达20000TPS和4百万同时在线用户数;而SSL VPN面向的是远程接入即管理系统,它强调的是易于使用和管理、安全性等等,一个SSL VPN用户的登录包括SSL握手、认证、授权、记录日志等过程,其中认证、授权、记录日志所耗费的时间远远高于SSL握手,不可能达到SSL Server那样高的性能,如果需要非常高的性能,要使用多台SSL VPN堆叠来实现。
Spirent Avalanche是一款优秀的基于Web应用的测试仪器,但只适用于测试SSL Server性能,不适用于测试SSL VPN的性能,某厂商的设备集合了SSL Server 和SSL VPN的功能,虽然SSL Server的性能在业界根本不入流,但显然会高于SSL VPN的性能。该厂商利用大家对于SSL Server和SSL VPN之间认识的混淆,到处宣称使用Spirent Avalanche测试证明自己的SSL VPN具有很高的性能,实际上从测试过程可以发现,测试的只是其中SSL Server的性能。
SSL VPN的性能测试,因为涉及建立VPN隧道,非常复杂,只能使用业界某些测试软件如LoadRunner 加上厂家自己的动态库来实现,只能在厂家自己的测试实验室来做,试图用某种测试仪器来统一测试所有厂家的SSL VPN性能是行不通的,所以只能参考各个厂家自己提供的性能,当然,要区分大的上市企业公布的真实的性能指标的和某些小企业不负责任的信口胡言。
SSL VPN的出现,使得原来基于IP安全的IPSec VPN厂商不得不重新思考它们的产品方略。我们知道基于IP安全协议的IPSec VPN已经占领了很大一部分市场,成为VPN市场的主流。但是随着SSL VPN技术的出现,基于IP协议的IPSec VPN正经受着一场前所未有的考验。但是不是SSL VPN会取代现有的IPSec VPN成为主流呢?
虽然SSL VPN有许多相对IPSec VPN的优点,但这些对于主流应用VPN的客户--大、中型企业来说这些优点就显得不是很重要了。
据有关网络安全专家认为这就目前的SSL VPN技术来讲是不可能的。主要体现在目前的SSL VPN应用非常有限,仅适用于基于Web的应用。SSL的支持者认为,当企业工作人员需要远程访问Web应用如电子邮件或者接入企业内网的时(因为SSL可以绕过防火墙和代理服务器)才应用,SSL只不过是一种更低廉而且更容易部署的选择而已。况且目前,传统的IPSec VPN厂商为了满足这部分用户的需求,正在匆忙地为其产品增加SSL性能,这样只能单独提供SSL性能的VPN产品就可能大受冷落了。
市场研究家们预计在今后几年中,SSL VPN设备的全球销售将会出现持续增长,但同时也表明IPSec VPN设备不会因SSL VPN设备的增长而受到大的影响,相反也会技术快速增长,因为整个VPN市场将在近几来得到极快的增长。Infonetics研究公司预测,SSL VPN市场将会从2002年的5600万美元增长到2005年的8.4亿美元。IPSec VPN设备也将从2002年的15亿美元增长到2005年的25亿美元。
随着基于Web的应用越来越多,以及远程接入需求的增长,SSL可能会成为一个热门市场,成为传统IPSec VPN设备厂商需要考虑的一个发展方向。 Check Point公司就曾于去年7月发布过一款SSL VPN产品,它认为SSL对于需要通过Extranet与业务合作伙伴交换数据但又不想安装VPN客户端的企业来说非常理想。其他IPSec VPN厂商像北电网络和SonicWall都持此观点。北电网络于去年9月发布了Alteon SSL设备;SonicWall则在两年以前收购Phobos的时候就开始提供SSL产品了。
其他IPSec VPN支持者,如赛门铁克,正在计划如何将SSL安全技术集成进它的产品中。另外一些小厂商,如Aspelle、Air Gap、Aventail、Neoteris和Whale等通信公司都已经意识到SSL VPN市场需求增长。
有些企业客户认为需要同时拥有SSL和IPSec VPN。他们想为部分数量有限的员工提供IPSec VPN连接(如采用Cisco的VPN设备),因为他们需要访问企业的生产系统和其他非Web应用。但同时,也为大多数员工提供SSL VPN(如使用Whale的e-Gap远程接入产品)的远程接入,可供其接入Intranet和电子邮箱。
Whale公司的SSL产品只需运行在该企业数据中心的一台服务器上。利用这种无客户端接入方式,企业就能够提供安全的连接,而不需要改写上万台最终用户设备上的程序。
如目前纽约的德勤咨询公司就在混合使用SSL和IPSec VPN。该公司的大多数员工都可以通过SSL VPN(Aventail产品)接入企业网络,少数员工则通过IPSec VPN(北电网络产品)接入,因为这些员工需要访问运行在该企业4个数据中心中的应用。 德勤的CIO Larry Quinlan就很喜欢SSL VPN,因为它具有可穿越防火墙而不必重新配置防火墙的性能。他说,“这很重要,因为安全部门不必着急去重新配置防火墙了。” Quinlan认为,SSL的缺陷在于只能访问Web应用。但IPSec也有其缺陷,因为它不容易穿越防火墙,所以当移动工作人员需要在旅店或分支办公地点接入企业网时就难以实现。
因为SSL只能用于Web应用,让一些用户有所退避。芝加哥的一家个人服务公司Divine就主要采用了NetScreen公司的IPSec VPN,因为它的很多远程工作人员都是咨询师,需要访问企业众多的应用程序,不可能只限定在Web应用上。 Divine的网络服务部经理Chuck Horvat说,他们还没有发现需要使用SSL VPN的理由。不过,该公司也有一个Web应用前端和内置的SSL加密。远程工作人员通过身份认证和口令可获得访问公司邮箱和目录的权限。
Horvat说,“对我们来说,拥有IPSec VPN管道是最好的,因为我们的人有很多应用需要访问。他们可以通过SSL获得电子邮件,但大多数人需要的应用都不是电子邮件。虽然有另外一种选择是很不错,但每个人的需求是非常不同的。”
所以,虽然目前有很多人都认为SSL VPN将会取代IPSec VPN,但大多数工业观察家却认为这两种VPN将会共存,因为两者的市场空间都不小,而且可以相互补充。
从以上的分析我们可以看到SSL VPN在未来几年中的发展前景,但是更多的专家们认为,目前处于竞争的IPSec VPN与SSL VPN将很快走向结合。因为它们都有各自的优点,而且各自的缺点又不是能通过自身的技术可以克服的。
安全、易用的“超级连接VNP”硬件客户端
深圳市畅通伟业科技有限公司的KDT-HLink(超级连接)网络软件产品作为VPN产品的市场缔造者之一。在2005年春暖花开的季节里,KDT-HLink产品又研发出新成果。自3月份,硬件客户端产品发布以来,已经得到了多家企业的认可与好评。
"超级连接VPN"硬件客户端有别于同类产品,无需安装软件客户端,进行相关配置。"超级连接VPN"硬件客户端真正实现了即插即用的效果,它集成了软件客户端所有功能及相关配置信息,用户只需在PC机的USB接口插入KDT-HLink硬件客户端,即可点击直接连入总部。
SSL VPN安全性
硬件客户端可以更安全地与系统隔离;
帐户信息是写在硬件客户端里的,所以很难被别人查看到;
可以由系统管理员统一配置后交给最终用户使用,所以,对于最终用户来说甚至都不需要知道帐号信息,更加安全;
使用硬件客户端,保正数据号的唯一性,如果有人尝试将信息复用,则会出现硬件信息检验不合法,从而无法使用;
易操作性
硬件客户端是将客户端所有功能集成在一块硬件设备中,当插入硬件客户端后,即可以使用;
不要求使用用户是电脑高手, 只要懂得基本电脑知识就可以"即插即用",非常方便;
所有信息和程序放在硬件客户端中,用户使用时无须再安装;
不用担心重装系统或系统出问题后数据丢失;
由于有硬件保护,所以别人无法进行数据复用;
如果硬件盘丢失,只要修改一下密码即可;
KDT-HLink硬件客户端的真正实现了安全性、易操作性,从根本上解决了企业尤其是大型企业在VPN项目上多分支,多移动的安装实施问题,简化了配置工作,为最先进技术普及到最基本的操作者打下良好的基础。
中国农业生产资料成功应用VNP远程互联
做为国内领先的VPN产品供应商畅通伟业的"超级连接VPN"再次为用友U8客户搭建了远程互连的平台,以极高的性价比获得了客户的肯定。
中国农业生产资料集团公司是中华全国供销合作总社直属的全国性集生产流通于一体的专业经营化肥、农药、农膜等农业生产资料的大型企业,注册资金2.33亿元,总资产120亿元人民币、机构网络和业务覆盖全国。集团公司拥有7个全资子公司、16个有限责任公司,在国内拥有21家复合肥、尿素生产企业。在全国主要港口、大型化肥生产企业设有37个办事机构或分公司,有15个大型仓库,5条铁路专用线、2座万吨码头,公司现有员工2000多人。
中国农业生产资料公司广州公司采用用友的U8系统来管理自己的财务报表和数据,公司在广东省内的不同地区分别有4个分公司,为了及时的将各分公司的数据及时的统一管理到总公司,中国农业生产资料一直采用的是专线接入的方式将各地分公司的数据及时汇总到总部U8的数据库,但是专线每年的租用成本都比较高,为此中国农业生产资料公司广州公司一直在寻找一种性价比高的替代专线的解决方案。
了解到畅通伟业的"超级连接VPN"已成功的解决了很多用友U8客户远程互连的问题,中国农业生产资料公司广州公司对"超级连接VPN"产品进行测试,畅通伟业凭借优质的产品和丰富的实施经验,在速度、稳定性上面都完全符合客户的要求,无需改变原有的U8远程操作方式,同时极大的降低了以往专线投入的成本,真正的达到了"虚拟的网络,专线的效果!"
"超级连接VPN"已成功的解决了众多客户各种应用系统远程互连的问题,并且在各种应用软件的远程互连有着丰富的实施经验,在产品和服务上面得到了客户的一致好评,在企业信息化如火如荼发展的今天和未来,深圳市畅通伟业科技有限公司希望超级连接VPN产品为每个公司的高效互连和低成本运作提供一个最好的平台!
