SSL VPN在军队院校网络应用优势浅析

1引言

打造远程安全接入平台，一直是网络远程访问的迫切需求。当前，众多的安全协议（如PPTP、L2TP、IPSec和MPLS）各具特色并侧重于不同的方面，但能同时结合简易、安全两项特性的则非ssl莫属，SSL vpn是平衡访问自由度和安全性的出色解决方案。

2SSL

安全套接层（Secure Sockets Layer，SSL）是Netscape于1994年提出的基于Web应用的安全协议，它介于HTTP及TCP之间，高层协议可以透明地运行在该协议之上，它指定了一种在应用程序协议和TCP/IP协议之间提供数据安全性分层的机制，能为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。其安全连接基于握手协议、记录协议和警告协议来完成。

3SSLVPN主要特点

（1）高安全性： SSL安全通道可确保端到端真正安全可靠的连接，能有效保证信息的真实性、完整性和保密性。

（2）高易用性：无需客户端的安装和配置，对终端系统具有良好的兼容性。

（3）高性价比：不需要配置，易于部署及管理，可有效降低网络配置成本。

（4）高可扩展性和兼容性：可随时添加需要VPN保护的服务器，并适用于大多数设备。

（5）高效的资源控制能力：可区分用户设置访问权限，实现区分对待的资源控制策略。

4SSLVPN应用优势

随着军队院校网络信息化建设的推进，实际应用中面临着越来越多的跨地域、跨部门的数据传递，以及大量的远程访问内网的需求。例如跨地域的会商研讨、数据采集、资料检索、分支部门和下属机构的机要信息交换等。根据这些需求和实际情况，下面主要从SSL VPN和IPSec VPN对比出发，全面衡量SSL VPN的优势。

（1）谨慎灵活的接入认证策略。在远程接入过程中，用户身份验证是整个过程的第一环，也是最重要的一环，如果不能有效识别用户的身份，使得非法用户接入，将给内部网络带来极大的安全隐患。SSL VPN提供对所传送数据的加密、认证和发送源的身份认证，支持将多种身份识别方式进行组合，一般包括USB-Key、硬件特征码、数字证书、动态令牌、短信认证等，而且可以对访问权限进行严格的等级划分，实现不同用户对于不同应用程序的控制。

（2）稳妥有效的数据保护策略。因为SSL VPN接入的是内部网络的应用，而不是整个网络，并限制了非Web端口的访问，使得部分文件操作功能不易实现，这实际上也起到了相应的保护功能。同时，SSL网关隔离了内部服务器和客户端，客户端的大多数病毒木马感染不到内网服务器。而IPSec VPN实现的是IP级别的访问，使得局域网能够传播的病毒，通过VPN也能够传播，极易导致内部网络的防病毒策略形同虚设。一旦恶意IPSec VPN用户获得权限通过了网关，无疑会给内网带来灾难性的后果，但SSL VPN大大减弱了类似的风险。

（3）良好的可管理性和可控性。一方面，SSL VPN的部署不需改变原网络结构，就可部署在内网任一节点处，并可随时添加需要VPN保护的服务器。而IPSec VPN在部署时，则要考虑网络的拓扑结构，设备的移除和添加就有可能导致VPN重新部署，且客户终端设备的变更，也意味着客户端软件的更新或部署。另一方面，数字化校园已经将更多的服务集成于Web应用，具备个性化的门户网站，不同的部门和人员都有对应的内网访问权限。这和基于SSL VPN的用户访问级别划分控制策略是一致的。

（4）便捷的移动性和分散性。SSL作为处于应用层和TCP/UDP层之间的安全协议，可提供基于应用层的访问控制，更适合远程安全访问的移动性和分散性特点。SSL VPN能遍历所有NAT设备、基于的防火墙和状态检测防火墙，这使得用户能够基本上不受接入位置限制，可以从众多接入设备、任何远程位置访问网络，而IPSec VPN则很难实现上述特点。其次，SSL无需在客户端设备上安装软件，只需通过标准的Web浏览器连接网络，即可访问内部资源。而基于IPSec的远程访问不仅要安装特殊用途的客户端软件，而且还存在兼容性问题。

5结束语

目前，IPSec/SSL VPN一体化的远程接入方案也正在被人们所考虑。但就实际应用而言， SSL VPN平衡了自由度和安全性，再加上易用、可管控和扩展等优势，相信SSL VPN在军队院校网络应用领域将发挥独特的作用。

参考文献

[1]谢希仁. 计算机网络.电子工业出版社,2005,12.

[2]戴宗坤,唐三瓶. VPN与网络安全.金城出版社, 2000,9.

[3]何武红. VPN应用分析. 计算机安全,2006,5.