浅谈SSL VPN技术

【摘要】随着Internet技术的飞速发展，人们已逐渐把技术的焦点从网络的可用性、信息的获取性转移到网络的安全性、应用的简易性上来。建立在Ip技术基础上的虚拟专用网vPN正快速成为新一代网络服务的基础。VPN是一项非常实用的技术，它可以扩展企业的内部网络。但是近期，传统的IPSEC VPN出现了客户端不易配置等新问题，相对而言，SSL VPN作为一种全新的技术正在被广泛关注。SSL利用内置在每个web浏览器中的加密和验证功能，并和平安网关相结合，提供平安远程访问企业应用的机制。这样，远程移动用户可以轻松访问公司内部b/s和c/s应用及其他核心资源。鉴于它的重要作用，很有必要对SSL VPN做相关探讨及研究。

【关键词】SSL VPN；IPSEC VPN；网络安全

【中图分类号】TN711

【文献标识码】A

【文章编号】1672-5158（2012）12-0004-01

一、SSL VPN的基本学术概念

1.1 什么是SSL VPN

SSL（Secure Sockets Layer）是一种Intemet数据安全协议。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。VPN（Virtual Private Network虚拟专用网络），可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。VPN的核心就是在利用公共网络建立虚拟私有网，被定义为通过一个公用网络（通常是Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

SSL VPN就是指应用层的vpn，它是基于https来访问受保护的应用。目前常见的SSL VPN方案有两种方式：直路方式和旁路方式。直路方式中，当客户端需要访问一台应用服务器时：首先，客户端和SSL VPN网关通过证书互相验证双方；其次，客户端和SSL VPN网关之间建立ssl通道；然后，SSL VPN网关作为客户端的和应用服务器之间建立tcp连接，在客户端和应用服务器之间转发数据。旁路方式和直路不同的是：为了减轻在进行ssl加解密时的运行负担，也可以独立出ssl加速设备，在SSL VPN server接收到https请求时，将ssl加密的过程交给ssl加速设备来处理，当ssl加速设备处理完之后再将数据转发给SSL VPN server。

1.2 SSL VPN的特性

保密性就是对抗对手的被动攻击，保证信息不泄漏给未经授权的人。由于使用的是Ssl协议，该协议是介于http层及tcp层的平安协议，传输的内容是经过加密的。SSL VPN通过设置不同级别的用户和不同级别的权限来屏蔽非授权用户的访问。用户的设置可以有设置帐户、使用证书、radius机制等不同的方式。ssl数据加密的平安性由加密算法来保证，各家公司的算法可能都不一样。黑客想要窃听网络中的数据，就要能够解开这些加密算法后的数据包。

完整性就是对抗对手主动攻击，防止信息被未经授权的篡改。由于SSL VPN一般在gateway上或者在防火墙后面，把企业内部需要被授权外部访问的内部应用注册到SSL VPN上。这样对于gateway来讲，需要开通443这样的端口到ssl vpn即可，而不需要开通所有内部的应用的端口。假如有黑客发起攻击也只能到SSL VPN这里，攻击不到内部的实际应用。

可用性就是保证信息及信息系统确实为授权使用者所用。前面已经提到，对于SSL VPN要保护的后台应用，可以为其设置不同的级别，只有相应级别的用户才可以访问到其对应级别的资源，从而保证了信息的可用性。

可控性就是对信息及信息系统实施平安监控。SSL VPN作为一个平安的访问连接建立工具，所有的访问信息都要经过这个网关，所以记录日志对于网关来说非常重要。不仅要记录日志，还要提供完善的超强的日志分析能力，才能帮助管理员有效地找到可能的漏洞和已经发生的攻击，从而对信息系统实施监控。

二、SSL VPN的优势

2.1 零客户端

客户端的区别是SSL VPN最大的优势。浏览器内嵌了ssl协议，所以预先安装了web浏览器的客户机可以随时作为SSL VPN的客户端。这样，使用零客户端的SSL VPN远程访问的用户可以为远程员工、客户、合作伙伴及供给商等。通过SSL VPN，客户端可以在任何时间任何地点对应用资源进行访问。也就是说是基于b/s结构的业务时，可以直接使用浏览器完成ssl的vpn建立；而IPSEC VPN只答应已经定义好的客户端进行访问，所以它更适用于企业内部。

2.2 平安性

SSL VPN的平安性前面已经讨论过，和IPSEC VPN相比较，SSL VPN在防病毒和防火墙方面有它特有的优势。

一般企业在Internet联机入口，都是采取适当的防毒侦测办法。不论是IPSEC VPN或SSL VPN联机，对于人口的病毒侦测效果是相同的，但是比较从远程客户端入侵的可能性，就会有所差别。采用IPSEC VPN联机，若是客户端电脑遭到病毒感染，这个病毒就有机会感染到内部网络所连接的每台电脑。而对于SSL VPN的联机，病毒传播会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接，受外界病毒感染的可能性大大减小。

2.3 访问控制

用户部署vpn是为了保护网络中重要数据的平安。IPSEC VPN只是搭建虚拟传输网络，SSL VPN重点在于保护具体的敏感数据，比如SSL VPN可以根据用户的不同身份，给予不同的访问权限。就是说，虽然都可以进入内部网络，但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上，不仅可以控制访问人员的权限，还可以对访问人员的每个访问，做的每笔交易、每个操作进行数字签名，保证每笔数据的不可抵赖性和不可否认性，为事后追踪提供了依据。

2.4 经济性

使用SSL VPN具有很好的经济性，因为只需要在总部放置一台硬件设备就可以实现所有用户的远程平安访问接入。但是对于IPSEC VPN来说，每增加一个需要访问的分支，就需要添加一个硬件设备。就使用成本而言，SSL VPN具有更大的优势，由于这是一个即插即用设备，在部署实施以后，一个具有一定Internet知识的普通工作人员就可以完成日常的管理工作。

三、结束语

综观上述，SSL VPN在其易于使用性及平安层级，都比IPSEC VPN高。我们都知道，由于Internet的迅速扩展，针对远程平安登入的需求也日益提升。对于使用者而言，方便平安的解决方案，才能真正符合需求。