近年来,销售VPN设备的厂商发现SSL VPN开始窜红,因为不少客户本来规划VPN是为了点对点的办公室连接(Site-to-Site),现有的VPN设备多办公室网络环境当中应用上没有问题。但因为客户的员工外出办公情况增加,所以管理阶层开始考虑到,希望行动工作者能够透过VPN连回公司,以免发生员工在外无法控管的情况。虽然大部分的VPN设备都有Client端软件让使用者连回公司,但由于外界网络环境相当复杂,并不是所有的因特网都能让使用者透过IPsec VPN的方式连接回公司服务器。为了解决这类问题,所以网络设备厂商推出SSL VPN设备,让使用者能够透过SSL VPN的方式连接回公司,藉此达到行动工作者能够达到与公司同事数据同步运作的效果。 SSL VPN运作原理与优势 所谓的SSL VPN,其实是VPN设备厂商为了与IPsec VPN区别所创造出来的名词,指的是使用者利用浏览器内建的Secure Socket Layer封包处理功能,用浏览器连回公司内部SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。 实际上SSL VPN运作的方式是这样,使用者开启支持SSL功能的浏览器,输入公司SSL VPN服务器网址,然后键入使用者账号与密码,远程的SSL VPN服务器就会利用ActiveX的功能,自动在使用者端安装特定程序,产生一个虚拟网络界面。这个时候,使用者就可以点选服务器上面的应用程序画面,然后该应用程序所需的相关数据,就会透过所建立的虚拟网络界面进行转换,将远程公司服务器内部的数据,透过SSL加密的封包传送到远程计算机当中,让远程计算机使用者可以如同在公司内部般地读写数据。如果使用者要结束程序,只要关闭浏览器,所有的SSL VPN也会同步中断。 由于SSL是网络浏览器所内建的功能,因此SSL VPN的连接方式,能够适用于常见的因特网环境,而且不限制使用者用的是Public IP或者是Private IP;再加上ActiveX也是常见的网页语言之一,如果使用者要使用SSL VPN的话,MIS人员并不需要在使用者的计算机当中安装VPN Client应用程序。只要事先设定好公司SSL VPN服务器的相关参数,当使用者连接上来之后,SSL VPN服务器就会透过ActiveX自动安装所需程序,结束之后自动移除,可说是相当方便。 跟传统走IPsec为主的VPN装置来比较,SSL VPN在网络穿通能力与跨平台应用上,兼容性要更高,而且透过SSL的加密方式,可以达到一定的安全效果,再加上不用事先安装程序,简化MIS的人力支出,所以近来SSL VPN非常热门。根据Infonetics Research在’04年第一季的研究报告指出,预计全球SSL VPN的市场规模会持续成长,在’05年可达到360百万美元,而’06年会达到497百万美元,甚至在’07年可以有591百万美金的规模。 SSL VPN设备应用的网络架构 在既有网络的架构当中,SSL VPN的应用方式其实是很简单的,比起传统IPsec VPN要容易许多。因为它所在的位置是在防火墙后方,MIS人员只需要针对SSL VPN装置在防火墙当中开启单一设定,就完成安装了,并不会像IPsec VPN一样,需要针对不同用户开启不同的VPN Profile设定。因为远程的使用者是利用浏览器连接到SSL VPN设备,然后透过IP封包转译的方式,由SSL VPN设备「模拟」远程使用者在「内部」进行数据存取,所以才有办法突破各种网络的限制,达到执行各种ERP、CRM或者是特定应用程序。 传统使用VPN Client程序的架构,由于使用者取得的是内部IP位置,因此在执行企业内部专属程序的时候,只要该程序所使用的连接协议是VPN装置所支持,就没有设定上的问题,但是SSL VPN的设计却不一样。 由于各家的SSL VPN在与内部程序的连接上有不同的设计,所以在规划使用的时候,必须要作事前测试。因为依照厂商技术不同,有的是利用Adapter的方式作网络封包转译,有的则是利用Port Forward的方式作介接,不同厂商所使用的技术差异不小,所以在使用前必须要作应用程序兼容性测试。 除此之外,SSL VPN跟传统VPN在费用计算上最大的差异,是SSL VPN装置需要使用到网络认证(Certificate),传统的VPN装置是不需要的,因此在产品的费用计算上,您需要额外计算网络认证的费用支出。 延伸阅读: 全面认识VPN设备
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。 企业级VPN产品是从防火墙产品发展而来,防火墙的功能特性己经成为它的基本功能集中的一部分。如果是一个独立的产品,VPN与防火墙的协同工作会遇到很多难以解决的问题,有可能不同厂家的防火墙和VPN不能协同工作,防火墙的安全策略无法制定(这是由于VPN把IP数据包加密封装的缘故)或者带来性能的损失,如防火墙无法使用NAT功能等等。而如果采用功能整合的产品,则上述问题不存在或很容易解决。 二、VPN应有一个开放的架构 VPN部署在企业接入因特网的路由器之后,或者它本身就具有路由器的功能,因此,它己经成为保护企业内部资产安全最重要的门户。阻止黑客入侵、检查病毒、身份认证与权限检查等很多安全功能需要VPN完成或在同VPN与相关产品协同完成。因此,VPN必须按照一个开放的标准,提供与第三方安全产品协同工作的能力。 三、有完善的认证管理 一个VPN系统应支持标准的认证方式,如RADIUS(Remote 四、VPN应提供第三方产品的接口 当用户部署了客户到LAN的VPN方案时,VPN产品应提供标准的特性或公开的API(应用程序编程接口),可以从公司数据库中直接输入用户信息。否则,对于一个有数千甚至上万的SOHO人员和移动办公人员的企业来说,单独地创建和管理用户的权限是不可想像的。 VPN网关应拥有IP过滤语言,并可以根据数据包的性质进行包过滤。 |