SSL VPN是解决远程用户访问公司敏感数据最简单也是目前相对比较安全的技术。与部署相对比较复杂的IPSec VPN相比,SSL VPN的客户端只需要有浏览器就可以了。另外SSL VPN还可以对内网的应用进行细粒度的访问控制,增加了系统的安全性。正是由于SSL VPN便于部署且具有很高的安全性,当前,包括卫士通公司的中华卫士安全接入网关(CG-SAG:China Guard Secure Access Gateway)百兆SV504和千兆SV1006在内的SSL VPN系统已经成功运用到了金融、医疗、零售、电力、教育、政府的信息系统中,基于SSL VPN的安全远程访问解决方案已经获得了广大用户的认可,并迅速得到了推广应用。
从性价优势剖析产品特点
SSL VPN产品最大的优势之一就是性价比。无客户端的特点使得SSL VPN的部署成本大大低于其他的VPN产品。而且作为网络层和应用层安全相结合的一种虚拟专网产品,SSL VPN在访问控制和身份认证方面的表现更为优越。对于一个企业来说,采购一台SSL VPN硬件设备就可以构筑具有高安全性的内部虚拟网络,较好地解决了远程办公中对内网数据的安全访问问题,用最小的投资获取最大的安全保障。
系列化的SSL VPN产品可以为各种规模的组织机构提供价格适中、使用简单及安全的无客户端远程访问解决方案,同时将用户从部署、配置及更新软件的繁琐工作中解放出来,从而减少维护与支持成本。SSL VPN只需用一个标准Web浏览器,即可让用户做到从任何位置方便、安全地访问企业内网中的E-mail、共享文件、应用软件及其他各类资源。另外,它还提供了多重认证方式,且可与企业原有的基于证书、基于一次性口令、基于Active Directory的认证系统完美融合,并提供多语言管理界面,满足了国际化应用的需求。
系列化的SSL VPN产品可以方便地满足各企业分支机构、在外业务人员和家庭办公者的安全访问需求。其产品特点包括:可无缝集成到现有的网络环境中,企业无需购买其他硬件即可利用现有的网络基础设施;无配额限制,并发用户数取决于系统硬件容量,能极大地减少部署一种可扩展安全远程访问解决方案的成本;使用者不需要额外培训,只要打开浏览器登陆SSL VPN登陆页面即可安全方便的访问企业资料,从而能将管理员从安装及更新用户pc上客户端软件的繁琐工作中解放出来;提供精细策略配置控制,使网管员能创建将用户“锁定”在特定应用或资源上的访问策略,并防止远程用户访问或使用其他受限制的网络资源;具有可定制Web界面,可为用户提供个性化的网页设计,并可根据企业策略只显示允许该用户访问的资源。百兆SSL VPN系统SV504以及千兆SSL VPN系统SV1006因其优越的性价比获得了各行业用户的充分信任和广泛认可。
从行业应用细看具体实施
出于SSL VPN在操作便利与安全性方面的考虑,它非常适合在中小型企业的内网环境下进行实施和监控。比如酒店中心、商务会馆、政府职能部门、图书馆室等都是部署应用SSL VPN的理想场所。下面我们以山西省电力内网改造工程为例,简要说明SSL VPN是如何实施的,参见图1。
为了解决山西省电力系统远程用户通过Internet安全地接入到电力系统内部网络的问题,卫士通公司部署了中华卫士安全接入网关。即在网络机房安装一套SSL VPN网关设备,电力系统远程用户可以在办公网以外的地方安全地访问系统内网,同时在线的人数为25名。设备安装在中心互联网出口和内部办公网之间,与办公网内的服务器建立对应关系。
其具体实施方案为:中华卫士SSL VPN系统与内网服务器群并联到防火墙之后的交换机,防火墙外网口配置公网IP地址。在防火墙上面配置目的地址转换规则,将访问内网服务器群(根据服务端口号区分,如HTTP:80或HTTPS:443)的数据重定向到SSL VPN,这样外部用户先与SSL VPN之间建立SSL VPN通道,SSL VPN再与内网服务器建立相应连接,从而实现了外部用户对内网服务器群的安全访问。由于采用并联方式,不会给系统造成通讯瓶颈和单点故障,最大限度地保障了原有系统的稳定性。
![]("http://img.article.pchome.net/00/16/95/03/image002.gif")
图1 中华卫士安全接入网关的部署示例
目前,SSL VPN作为重要的安全访问及控制系统,其应用趋势已经非常明显。主要是它不仅提高了远程访问的数据安全性,更在访问控制的细粒度、便利性等方面得到了很大的提升。而从中华卫士安全接入网关的行业应用来看,这一技术能够真正意义上地做到企业级用户“随时、随地、随心所欲”地安全接入,再加之精简部署的较低成本、管理掌控的轻松便利,配合强大的后期扩展能力,所有这些都注定了SSL VPN的未来会得到更加广泛的应用。
