IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

SSLVPN的介绍、优势、不足及发展

2010年02月25日
网络/网络

客观的讲,目前SSLVPN不论是在应用实现还是在部署成本商均较IPsec要弱。我们公司当初在采购的时候也曾经考虑过SSLVPN,但是最后还 是上了Ipsec。个人认为还需等一段时间。事实上,利用SSLVPN利用浏览器本身只能做到B/S应用和访问ftp服务,这在目前大大降低了灵活性。如 果你要实现桌面级的应用,比如C/S结构的系统,怎么办?不管采用哪一家的SSLVPN,你仍然需要安装专门的客户端,就好像IPsec。随着日后B/S 结构应用的崛起,我们相信SSLVPN会有它大放异彩的一天,但还不是今天。

目前由于用户在对SSLVPN的选择上越来越感兴趣,所以针对 基于IPSEC的VPN和基于SSL的VPN我整理了一些材料进行了技术对比及分析供大家参考。

SSLVPN厂家经常强调其技术产品优势, 主要包括以下几点:

1. IPSec VPN部署、管理成本比SSL VPN高;

2. SSL VPN比IPSEC VPN更安全;

3. SSL VPN与IPSecVPN相比,具有更好的克扩展性;

4. SSL VPN在访问控制方面比IPSecVPN做的更细粒度;

5. 使用SSL VPN相比IPSECVPN也具有更好的经济性。

一、 IPSec VPN部署、管理成本比SSLVPN高

首先我们先认识一下IPSEC存在的不足之处:

在设 计上,IPSecVPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础 设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大 的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。

IPSecVPN最大的难点在于客户端需要安装复杂的 软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSLVPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的 浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。

其次我们再看看SSL的所谓优势特点:

SSLVPN避 开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁,目前对SSLVPN公认的三大好处是:

第 一来自于它的简单性,它不需要配置,可以立即安装、立即生效;

第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就 行;第三个好处是兼容性好,传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSLVPN 则完全没有这样的麻烦。

最后我们对两者进行综合分析得知:

1、SSL强调的优势其实主要集中在VPN客户端的部署和管理上, 我们知道前面SSL一再强调无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的 VPN建立;但如果客户的应用系统采用的是C/S结构的话,仍然需要安装Client软件;

2、目前进行VPN部署的用户大部分都是要求对 现有业务需要支持的用户,而据统计这样的用户95%以上都有主要基于C/S架构的重要应用系统,也就是说其“Client软件无需安装”的优势是有很大局 限性的,特别是对中国目前很多用户来说这种方式实用性不强;

3、基于B/S的安全性显而易见远远不如基于C/S结构;

4、但 同时基于IPSEC的VPN虽然在业务应用基于B/S上没有基于SSL的方便,但在业务应用基于C/S方面确下足了功夫,比如说天融信公司提供一套VPN 客户端自动部署系统-ADS,它能帮助用户轻松实现客户端、证书等的统一部署,而SSLVPN在基于C/S的部署时,则无此功能和实际的成功案例。

二、 SSL VPN比IPSEC VPN更安全

首先我们还是先认识一下IPSEC存在的不足之处:

1、在通路 本身安全性上,传统的IPsecVPN还是非常安全的,比如在公网中建立的通道,很难被人篡改。说其不安全,是从另一方面考虑的,就是在安全的通路两端, 存在很多不安全的因素。比如总公司和子公司之间用IPsecVPN连接上了,总公司的安全措施很严密,但子公司可能存在很多安全隐患,这种隐患会通过 IPsecVPN传递给总公司,这时,公司间的安全性就由安全性低的分公司来决定了。

2、比如黑客想要攻击应用系统,如果远程用户以 IPSecVPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,黑客都是可以侦测得到,这就提供了黑客攻击的机会。

3、比 如应对病毒入侵,一般企业在Internet联机入口,都是采取适当的防毒侦测措施。不论是IPSecVPN或SSLVPN联机,对于入口的病毒侦测效果 是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的 每台电脑。

4、不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以InternetEmail系统来说, 发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯端口是采用25端口,若是从远程电脑来联机Email服务器,就必须在防火墙上开放25 端口,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSecVPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客 攻击机会。

其次我们再看看SSL的所谓优势特点:

1、SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安 全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。

2、若是采取SSLVPN来 联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务 器,攻击机会相对就减少。

3、而对于SSLVPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病 毒是不会感染到这台主机的。因此通过SSLVPN连接,受外界病毒感染的可能性大大减小。

4、SSLVPN就没有这方面的困扰。因为在远程 主机与SSLVPNGateway之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为WebServer对外的数据传输通道,因 此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。如果所有后台系统都通过SSLVPN的保 护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强内部网络受外部黑客攻击的可能性。

最后我们对两者进行综合分析得知:

1、 目前基于SSL的VPN网关都还是一种‘点到端’的模式,因而在‘端’处两种VPN都面临着‘端’内部的不安全性,如:内网数据的非法监听等等;

2、 由于基于IPSEC的VPN本身也有严格的SPD(安全策略库),因此也只有响应的应用类型数据可以达到内部对应服务器,所以两者对防病毒的意义是相同 的;

3、由于用户的应用系统存在着大量的基于C/S架构的业务系统,同时基于SSL的VPN产品技术可能还需支持DNS、SMTP、 LDAP等其他管理和安全功能,所以它同样面临着多端口的安全威胁;而目前基于IPSEC的VPN已经做了很多技术的改进,所以所开放的协议和端口很少, 同时加上防火墙/VPN一体机的这种结构,使得VPN和防火墙的访问控制技术很好结合起来,大大提供VPN自身的安全性。

三、 SSL VPN与IPSecVPN相比,具有更好的可扩展性;

首先我们还是先认识一下IPSEC存在的不足之处:

IPSecVPN 在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSecVPN就要重新部署,因此造成 IPSecVPN的可扩展性比较差。

其次我们再看看SSL的所谓优势特点:

而SSLVPN就有所不同,它一般部署在内网中任 一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。

最后我们对两者进行综合分析得知:

1. 由于目前国内知名的VPN厂商(如天融信等),就提供透明模式下的VPN网关,所以对用户原有的网络不做任何改变,包括主机路由、接入方式等方面;

2. 同时由于VPN网关本身就是安全设备,所以它自身的安全性也非常重要,因此SSLVPN网关虽然提供简单的包过滤功能,但是远远不如防火墙/VPN一体机 安全,因此SSLVPN网关需要通过防火墙进行特殊的安全保护部署;同时由于它位于防火墙后面,也使得SSL的数据无法被防火墙进行安全过滤,但在同等条 件下防火墙/VPN一体机则很好解决了加密和防火墙的访问控制的矛盾。

四、SSL VPN在访问控制方面比IPSecVPN做的更细粒度;

为什么最终用户要部署VPN,究其根本原因,还是要保护网络中重 要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门的项目信息,生产部门的产品配方等等。

首先我们还是先认识一下 IPSEC存在的不足之处:

由于IPSecVPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了 IPSecVPN网关,他可以在内部为所欲为。因此,IPSecVPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以 IPSecVPN又被称为网络安全设备。

其次我们再看看SSL的所谓优势特点:

在电子商务和电子政务日益发展的今天,各种应 用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是,SSLVPN重点在于保护具体的敏感数据,比如SSLVPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽 然都可以进入内部网络,但是不同人员可以访问的数据是不同的。

而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以 对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。

最后我们对两 者进行综合分析得知:

1.目前基于SSL的VPN和基于IPSEC远程接入的VPN都采用的是点到端的模式,所以在进入内网后(VPN网关 后)都面临着内部数据安全的问题,虽然两者都可以分别通过各自VPN的策略和认证的安全方式对用户进行相应的安全过滤;

2.只有基于点到点 的SSLVPN才能真正做到每个应用、每笔业务的细粒度控制,但这需要服务器端提供直接的SSL接口,服务器系统本身提供强认证等安全功能,所以目前这种 基于SSL的VPN网关方式还不能到达这种细粒度的要求。

五、使用SSL VPN相比IPSECVPN也具有更好的经济性

首 先我们还是先认识一下IPSEC存在的不足之处:

对于IPSecVPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备。所以,尤 其是对于一个成长型的公司来说,随着IT建设的扩大,要不断购买新的设备来满足需要。

其次我们再看看SSL的所谓优势特点:

使 用SSLVPN只需要在总部放置一台硬件设备就可以,就可以实现所有用户的远程安全访问接入。

最后我们对两者进行综合分析得知:

1、 但是我们知道基于IPSEC的VPN也支持点到端的方式(也就是指远程的‘点’用户连接总部VPN网关的‘端’用户),也就是说也可以支持总部放置一台硬 件设备就可以了,其他都使用VPN客户端就可以了,况且国内外很多VPN客户端实质上都是免费的;

2、同时对于很多企业自己专用的业务应用 系统(基于C/S架构的业务应用系统)来说,如果系统本身没有进行安全地设计SSL接口或者更本就没有提供的话,这种SSL的远程接入方式根本就没有办法 满足用户需求。

综观上述,SSLVPN虽然有很多新颖的特点,但是无论从用户的实际出发还是我们作为基于IPSEC技术厂家的角度来说,大 家都必须要冷静看待新技术的发展,其必然有个过程和局限性,特别是想取代目前成熟的安全技术时都有很大盲目性,对于我们而言就更是如此,希望此文章对于我 们的销售还是技术都能有所帮助,谢谢大家的阅读!!

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

虚拟局域网快速基本操作入门技巧详解
虚拟局域网快速基本操作入门技巧详解安装虚拟局域网: 安装过程非常简单。您只需按照软件上的提示安装步骤即可完成安...
网络攻击持续横行 路由器防护须升级
网络攻击持续横行 路由器防护须升级上一期文章提到新型态的攻击具备的特性,及现有路由器可以提供的功能之后,让用户...

本类热点