微软表示计划在3/4月份推出的LH Beta3和Vista SP1 Beta中加入SSTP的Beta Release。看来只有等Longhorn Server定型了,Vista才算是完整了吧,特别是Bussiniss这个版本。像杀毒市场进军一样,让VPN的生存厂商难以生存吧.目前国内VPN厂商,还未有几个建立起这样的危机意识,安全意识值得我们反思。
在即将到来的Windows Longhron Server Beta3以及Windows Vista SP1中,针对远程访问中的VPN 连接,微软将提供一个新的协议,称为SSTP(Secure Socket Tunneling Protocol,安全套接字隧道协议)。这个协议将用来替代PPTP和L2TP 协议,以提高VPN访问的灵活性,不过SSTP还不是一个标准,将来肯定还有一段路需要走。
SSL VPN 定义
SSL协议是由SSL记录协议、握手协议、密钥更改协议和告警协议组成,它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议主 要是用于服务器和客户之间的相互认证,协商加密算法和MAC(Message Authentication Code)算法,用于生成在SSL记录中发送的加密密钥。 SSL记录协议是为各种高层协议提供基本的安全服务,其工作机制如下:应用程序消息被分割成可管理的数据块(可以选择压缩数据),并产生一 个MAC信息,加密,插入新的文件头,最后在TCP中加以传输;接收端将收到的数据解密,做身份验证、解压缩、重组数据报然后交给高层应用 进行处理。SSL密钥更改协议是由一条消息组成,其作用是把未定状态拷贝为当前状态,更新用于当前连接的密钥组。SSL警告协议主要是用于 为对等实体传递与SSL相关的告警信息,包括警告、严重和重大等三类不同级别的告警信息。
作为应用层协议,SSL使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性。SSL安全功能组件包括三部分:认证(在连 接两端对服务器或同时对服务器和客户端进行验证),加密(对通信进行加密,只有经过加密的双方才能交换信息并相互识别),完整性检验(进 行信息内容检测,防止被篡改)。保证通信进程安全的关键步骤就是对通信双方进行认证,SSL握手协议负责这一进程的处理,图1描述了SSL握 手协议的消息流程。
图1 SSL握手协议的消息流程
SSL VPN技术特点
IPSec VPN和SSL VPN是两种不同的VPN架构,IPSec VPN是工作在网络层的,提供所有在网络层上的数据保护和透明的安全通信,而SSL VPN 是工作在应用层(基于HTTP协议)和TCP层之间的,从整体的安全等级来看,两者都能够提供安全的远程接入。但是,IPSec VPN技术是被设计用 于连接和保护在信任网络中的数据流,因此更适合为不同的网络提供通信安全保障,而SSL VPN因为以下的技术特点则更适合应用于远程分散移 动用户的安全接入。
(1)客户端支撑维护简单
对于大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件,只需通过标准的Web浏览器连接因特网,即可以通过网页访问 到企业内部的网络资源。
(2)提供增强的远程安全接入功能
SSL VPN提供安全、可代理连接。通常SSL VPN的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司 网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将连接映射到不同的 应用服务器上。
(3)提供更细粒度的访问控制
SSL VPN能对加密隧道进行细分,使终端用户能够同时接入Internet和访问内部企业网资源。另外,SSL VPN还能细化接入控制功能,提供 用户级别的鉴权,依据安全策略确保只有授权的用户才能够访问特定的内部网络资源,这种精确的接入控制功能对远程接入IPSec VPN来说几乎 是不可能实现的。
(4)能够穿越NAT和防火墙设备
SSL VPN工作在传输层之上,因而能够遍历所有NAT设备和防火墙设备,这使得用户能够从任何地方远程接入到公司的内部网络。
(5)能够较好地抵御外部系统和病毒攻击
SSL是一个安全协议,数据是全程加密传输的。另外,由于SSL网关隔离了内网服务器和客户端,只留下一个Web浏览接口,客户端的大多数 木马病毒感染不到内网服务器。
(6)网络部署灵活方便
SSL VPN一般部署在内网中防火墙之后,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。
然而SSL VPN技术也存在一些不足,如认证方式比较单一,只能够采用证书,而且一般是单向认证,SSL VPN用户只能访问基于Web服务器的 应用, SSL VPN只对通信双方的某个应用通道进行加密,而不是对在通信双方的主机之间的整个通道进行加密;SSL VPN是应用层加密,性能相 对来说可能会受到较大影响。此外,SSL VPN主要适用于点到点的信息加密传输,客户端到站点的远程访问连接。如果要实现网络到网络的安全 互联,只能考虑采用IPSec VPN。
SSL VPN的实际应用
SSL VPN在实际应用中就是要依据安全控制策略为分散移动用户提供从外网访问企业内网资源的安全访问通道。通常企业内部的资源服务器 向外网用户提供一个虚拟的URL地址,当用户从外网访问企业内网资源时,发起的连接被SSL VPN网关取得,通过认证后映射到不同的应用服务 器,采用这种方式能够屏蔽内部网络的结构,不易遭受来自外部的攻击。对于SSL VPN的网关设备应当从三个基本层面来满足不同的应用需求:
(1)支持Web方式的应用:例如通过SSL VPN建立的安全通道访问基于Web的电子邮件系统收发邮件。
(2)支持非Web方式的应用:例如终端用户想要实现非Web页面的文件共享,那么SSL VPN网关必须将与内网FTP服务器的通信内容转化为 HTTPS协议和HTML格式发往客户端,使终端用户感觉这些应用就是一些基于Web的应用。
(3)支持基于客户/服务器应用的代理:这种应用需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器,监听某个端口上 的连接。当数据包进入这个端口时,它们通过SSL连接中的隧道被传送到SSL VPN网关中,SSL VPN网关解开封装的数据包,将它们转发给目的应 用服务器。
对于一个企业来说不仅提供基于Web的应用,也同时提供大量不基于Web的应用,如OA、财务、销售管理、ERP等应用。在现阶段,SSL VPN 只能访问基于Web的应用,而IPSec VPN却几乎可以为所有的应用提供访问。对于用户来说,理想的方式是将SSL VPN和IPSec VPN结合起来使用 。一方面为数量有限的用户提供IPSec VPN连接,使其能够访问企业内网的所有资源;另一方面为多数用户提供SSL VPN连接,使其可以访问基 于Web的企业应用。
结束语:随着企业信息化程度的加深,远程安全访问、协同工作的需求会日益明显,SSL VPN由于其自身的技术优势,势必将成为企业用户远程安全 接入的首选方式,并且将与IPSec VPN技术一同为企业提供一个安全的远程接入平台。国内VPN厂商只有跟进时代的步伐,集精华于一身,才能占领市场。