-
SSL
VPN
解决方案
- 1 -
目录
1.
企业安全需求
......................
..................................................
......................................
3
1.1
企业网安全现状
.
.................................
..................................................
............... 3
1.2
企业安全防护策略
.
................................
..................................................
............ 4
1.3 IPsec
VPN
和
SSL
VPN
的比较
.....................
..................................................
... 5
2.
Array Networks SSL
VPN
解决方案
.........
..................................................
............. 11
2.1
Array
的
SSL
VPN
的功能
.
................................................ ................................ 11
2.2
采用
ArrayNetworks SSL
VPN
优势:
..........
..................................................
. 13
2.3
Array
的
SSL
VPN
的功能
.
................................................ ................................ 14
2.3.1
虚拟站点
.......
..................................................
.........................................
16
2.3.2
Web
资源映射
(Web Resource
Mapping)
.
..................
............................. 17
2.3.3
远程文件共享
(File
Sharing) .........................................
.......................... 18
2.3.4
非
WEB
应用支持
(Application
Manager)
...........................................
18
2.3.5
网络层
vpn(L3VPN) ..............
..................................................
............ 19
3.
ARRAY SSL
VPN
解决方案的技术特点
.
..........................................
..................... 20
3.1
轻松实现内部网到外部网的扩展
.
...........................
.........................................
20
3.2
支持通用
SSL
加密算法
.
..................................................
................................. 20
3.3
用户认证、授权
......
..................................................
.........................................
20
3.4
专用的
SSL
加速卡
.
............................................ ............................................... 21
3.5
专有
Speed
Stack
技术提高处理速度
..............
.................................................
21
3.6
支持集群技术
...........................................
..................................................
........ 22
3.7
审
计和管理
...................................
..................................................
.................... 23
3.8
多层安全控制机制
....................
..................................................
....................... 23
3.9
便捷的设备管理
......
..................................................
.........................................
24
3.10
证书管理
< br>.
...................................
..................................................
..................... 24
3.11
客户端检查
.......
..................................................
..............................................
25
3.12 Single Sigh On .....
..................................................
...........................................
25
3.13 Session
级保护
........................
..................................................
....................... 26
4.
SSL
VPN
安全接入对于企业的益处
.<
/p>
........................................
.............................. 26
4.1
提高信息安全性
......
..................................................
.........................................
26
4.2
灵活的用户管理和访问
控制
.....................................
........................................
27
4.3
方便实施,简单使用<
/p>
........................................
.................................................
27
4.4
降低管理和维护成本<
/p>
........................................
.................................................
27
4.5
高度的扩展性和灵活性
.......................................
..............................................
28
- 2 -
Array
Networks
1.
企业安全需求
1.1
企业网安全现状
随着计算机网络技术向整个经济社会各层次延伸,网络正在逐步改变着人们
的
工作方式和生活方式,成为当今社会发展的一个主题,整社会表现对
Internet<
/p>
、
Extranet
等使用的更大的依赖
性。因特网的共享性和开放性使网上信息安全存在先
天不足,因为其赖以生存的
TCP/IP
协议,缺乏相应的安全机制,而且因特网最初
的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,因
此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外,随着软
件
系统规模的不断增大,系统中的安全漏洞或
“
后门
”
也不可避免的存在。安全隐患
亦日益突出,病毒、
黑客几乎每天都在困挠着互联网的用户。所以随着企业间信息
交互的不断增加,任何一种
网络应用和增值服务的使用程度将决于所使用网络的信
息安全有无保障,网络安全已成为
网络应用的最大障碍,也是急需解决的难题之
一。
下图是某机构对企业安全的一个调查图表:
Company Confidential
Page 3 of 28
Array
Networks
在
2003
年下半年,数量众多的公司都报告
有严重的威胁攻击事件
,
电信、金
融服
务、医疗、电力和能源系统是遭受严重攻击最多的行业。网络威胁发展呈上升
趋势,各种
软件组件的漏洞增多以及严重信息系统漏洞的不断涌现势必成为企业亟
待解决的重要安全
问题。在银行、证券、电信等行业领域,必须还要面对信息管
理、密码保护、系统日常维
护等工作,其网络的安全更是关系到整个企业的生死存
亡。
<
/p>
据去年
CCID
对
500
家企业网络的调查表明,已采取相应安全解决方案的企
业有
11.21%
,计划近期加强网络安全的企业有
46.67%
,想进一步了解的用户有
32.42
%
,而近期不考虑的用户仅有
9.7%
。但应该采取哪些网络安全技术呢?
1.2
企业安全防护策略
目前,大多数企业均采用多层次防护概念来对核心数据进行安全防护。就是
应用和实施一个基于多层次安全系统的全面信息安全策略,在各个层次上部署相关
的网络
安全产品以增加攻击都侵入时所需花费的时间、成本和资源,从而有效地降
低被攻击的危
险,达到安全防护的目标。这包括以下几个部分,
入侵检测系统:监
视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源等不良行为的系
统;防火墙:获得所有通信层和其它应用的信息,然后存储这些信息,还要能够重新获得
以及控制这些信息;
安全漏洞评估:用于发现、发掘和报告网络安全漏洞。防病毒<
/p>
软件防止已知和未知的病毒感染信息系统;
VPN
:构建在互联网的公共网络架构
上,通过
“
隧道
”
协议,在发端加密数据、在收端解密数据,
以保证数据的私密性。
据有关机构统计,在
< br>2003
年下半年,针对隐私与机密信息的恶意威胁增长得
最快。在
2003
年下半年的十大恶意代码感染提交中对隐私
和机密信息的威胁数量
要比上半年增长
519%
。过去的恶意程序是随机偷取机密文件,以获得机密性信
息。所以,在安全防范
的主要技术中,数据的传输加密、存储加密、数据完成行鉴
别、密钥的生成与管理又提高
到更重要的高度,构建一个认证、加密、鉴权又能充
分保障企业应用系统的
VPN
是企业核心数据安全保护策略的一个必然选择。
Company Confidential
Page 4 of 28
Array
Networks
1.3 IPsec VPN
和
SSL
VPN
的比较
目前,由于
VPN
(虚拟专网)比租用专线更加便宜、灵活,所以有越来越多
的公司采用
VPN
,连接在家工作和出差在外的
员工,以及替代连接分公司和合作
伙伴的标准广域网。
VPN<
/p>
建在互联网的公共网络架构上,通过“隧道”协议,在
发端加密数
据、在收端解密数据,以保证数据的私密性。
如在企业分部与
企业总部之间,及企业员工与企业核心数据之间,都可建立
起端到端的逻辑隧道
(Tunnel)
,所谓“隧道”是指其中所传递的数据都经过特殊
包装和加密处理,从而能与同一物理链路中其它数据区别开来,避免被不法用户
所窃取,只有在隧道的始末两端才可能添加和去除这些特殊包装以得到真实的数
据。在通过公共网络
(
如
Inter
net)
传递业务数据时,这项技术尤为必要。
如下图:
Company Confidential
Page 5 of 28
Array
Networks
现在大多数远程安全访问解决方案是采用
IPSec VPN<
/p>
方式,应用最广泛的组
网结构是在站点到站点的
< br>vpn
组网方式。
IPSec
是
网络层的
VPN
技术,表示它独
立于应
用程序。
IPSec
以自己的封包封装原始
IP
信息,因此可隐藏所有应用协议
的信息。一旦
IPSec
建立加密隧道后,就可以实现各种类型的一对多的连接,如<
/p>
Web
、电子邮件、文件传输、
VoIP
等连接,并且,每个传输必然对应到
VPN
网关
之后的相关服务器上。在设计上,
IPSec VPN
是一种基础设施性质的安全技术。
这类
VPN
的真正价值在于,它们尽量提高
IP
环境的安全性。
IPSec VPN
的诱人之
处包括,它采用了集中式安全和策略管理部件,从而大大缓解了维护需求。可问
题在于,部署
IPSec
需要对基础设施进行重大改造,以便
远程访问
,
管理成本很
高。
IPSec VPN
在解决远程安全访问时具有几个比较大的缺点,如
:
?
需要安装客户端软件,但并非所有
客户端操作系统均支持
IPSec
VPN
的
客户端程序
,
由于在每一台客户使用的计算机上安装了管理软件,软件
补丁的发布和远程电
脑的配置升级将是一件十分令人头疼的任务。
?
IPSec VPN
的连接性会受到网络地址转换(
NAT
)的影响,或
受网关代理
设备(
proxy
)的影响
;
?
IPSec VPN
需要先完成客户端配置才能建立通信信道,
并且配置复杂;
?
采用隧道方式,使远程接入的安全风险增加;由于
IPSec
VPN
在连接的
两端创建隧道,提供直接(而非代理)访问,并
对全部网络可视,因此
IPSec VPN
会增加安全风险。一
旦隧道建立,就像用户的
PC
机在公司局
域网内部一样,用户能够直接访问公司全部的应用。用户也许不能访问
每一台服务器,
但是他或她能够看到,由此会大大增加风险。用户使用
个人计算机在家里或者通过无线局
域网工作还面临着黑客的威胁,
?
不适合用作移动用户,如家庭、网吧,宾馆等上网用户;
?
应用层接入控制不灵活。
?
管理
IP
Sec
的客户端费用较高。
Company Confidential
Page 6 of 28
Array
Networks
?
IPSec VPN
最大的难点在于客户端需要安装复杂的软件,而且当用户的
VPN
策略稍微有所改变时,
VPN
的管理难度将呈几何
级数增长。客户软
件带来了人力开销,而许多公司希望能够避免;某些安全问题也已暴露
出来,这些问题主要与建立开放式网络层连接有关。
要真正建立
IPSec VPN
,单单
有客户端软件是很不够的。如果没有防火墙和
其他的安全软件,客户端机器非常容易成为
黑客攻击的目标。这些客户端很容易
被黑客利用,他们会通过
V
PN
访问企业内部系统。这种黑客行为越来越普遍,而
且后果也
越来越严重。例如,如果雇员从家里的计算机通过公司
VPN
访
问企业资
源,在他创建隧道前后,他十几岁的孩子在这台电脑上下载了一个感染了病毒的
游戏,那么,病毒就很有可能经过
VPN
在企业局域网内传播。另外,如果黑客侵
入了这台没有保护的
PC
,他就获得了经过
IPSec VPN
隧道访问公司局域网的能
力。因此,在建设
IPSec V
PN
时,必须购买适当的安全软件,这个软件的成本必
须考虑进
去也是很高的。
现在,
Web
成为标准平台已势不可挡,越来越多的企业开始将
ERP
、
CRM
、
SCM
移植到
Web
上。
S
SL VPN
将是
Web
应用热潮的直
接受益者,它被认为是实现
远程安全访问
Web
应用的最佳手段。采用
SSL VPN
的第一项好处就
是降低成本。
虽然购买软件或硬件的费用不一定便宜,但部署
S
SL VPN
很便宜。安装了这类软
件或硬件,使用者基本上就
不需要
IT
部门的支持了,只要从其
P
C
机上的浏览器
向公司网注册即可。
S
SL
连接也更稳定。因为
IPSec VPN
< br>是网络层连接,故容易
中断。据
Infonetics<
/p>
最近发表的报告表明,
SSL
将不断获
得吸引力。到
2005
年,
74%
的移动员工将依赖
VPN
(比
2003
年增加
15%
),
预计增长率主要来自
SSL
,这种
IP
Sec
以外的替代方案避开了部署及管理必要客户软件的复杂性和人
力需求。最终用户避免了携带电脑,通过与因特网连接的任何设备就能获得访
问,<
/p>
SSL
更容易满足大多数员工对移动连接的需求。用户通过与因特
网连接的任
务设备实现连接,并借助于
SSL
< br>隧道获得安全访问。虽然这需要在企业防火墙后
面增添硬件,但企业只要管理一种
设备,不必维护、升级及配置客户软件。
Company
Confidential
Page 7 of 28
Array
Networks
SSL VPN
指的是以
HTTPS<
/p>
为基础的
VPN
,但也包括可支持
SSL
的应用程序,
例如,电子邮件客户端程
序,如
Microsoft Outlook
或
Eudora
。
SSL VPN
经常被
称之“无客户端”,因为目前大多数计算机在出货时,都已经安装了支持
HTTP
和
HTTPS
(以
SSL
为基础的
HTTP
)的
Web
浏览器,所以
SSL VPN
可以通过
Web
浏
览器实现无客户端的远程访问。目前,
SSL
< br>已由
TLS
传输层安全协议(
R
FC
2246
)整合取代,它工作在
TCP
之上。如同
IPSec/IKE
一样,它必须首先进行配
置,包括使用公钥与对称密钥加密以交换信息。此种交换通过数
字签名让客户端
使用已验证的服务器,还可选择性地通过签名或其他方法让服务器验证客
户端的
合法性,接着可安全地产生会话密钥进行信息
VPN
建在互联网的公共网络架构
上,通过“隧道”协议,在发端加密数据
、在收端解密数据,以保证数据的私密
性。加密并提供完整性检查。
SSL
可利用各种公钥(
RSA
、
DSA
)算法、对称密钥
算法(
DES
、
3DES
、
RC4
)和完整性(
MD5
、
SHA-1
)算法。据
Meta
公司预测,到
2006
年
,
80%
的
公
司
都
会
使
用
SSL
VPN
作<
/p>
为
远
程
接
入
的
手
段
之
一
。
Company
Confidential
Page 8 of 28
下图是
SSL
VPN
适用的组网结构
Array
Networks
同
IPSec
VPN
相比,
SSL
VPN
具有如下优点
:
?
SSL
VPN
的
客
户
端
程
序
,
如<
/p>
Microsoft
Internet
Explorer
、
Netscape
Communicator
、
Mozi
lla
等已经预装在了终端设备中,因此不需要再次安装;
?
SSL VPN
< br>可在
NAT
代理装置上以透明模式工作;
?
SSL
VPN
不会受到安装在客户端与服务器之间的防火墙的影响。
?
SSL
VPN
将远程安全接入延伸到
IPSec VPN
扩展不到的地方,使更多的员工,
在更多的地方,使用更多的设备,安全访问
企业网络资源,同时降低了部署和
Company Confidential
Page 9 of 28
Array
Networks
支持费用。
SSL VPN
正在成为远
程接入的事实标准,下面列举了其中的一些理
由。
?
SSL VPN
< br>可以在任何地点,利用任何设备,连接到相应的网络资源上。
SSL
VPN
通信运行在
TCP/
UDP
协议上,具有穿越防火墙的能力。这种能力使
SSL V
PN
能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。
IPSec VPN
通常不能支持复杂的网络,这是因为它们需要克服穿
越防火墙、
IP
地址冲突等困难。鉴于
IPSec
客户机存在的问题,
IPSec VPN
实际上只适用于
易于管理的或者位置固定的设备。
?
SSL VPN
< br>是基于应用的
VPN
,基于应用层上的连接意味着(和<
/p>
IPSec VPN
比
较),
SSL VPN
更容易提供细粒度远程访问(即可以对用户的权限和可以访问
的资源、服务
、文件进行更加细致的控制,这是
IPSec
VPN
难以做到的)。
IPsec
VPN
和
SSL VPN
将在网络组
网中发挥各自的优势,下图是一个远程安
全市场的远景分析:
WW VPN
E
quipm
ent Spending by
Product C
ategory
4
3
$$ B
illion
2
1
0
2002
2004
2005
2006
3.5
< br>2.8
3.7
3.8
2.5
1.5
0.8
0.1
IP
S
ec VP
N
/F
irewall
S
S
L VP
N
Company Confidential
Page 10 of 28
Array
Networks
2.
Array Networks
SSL VPN
解决方案
2.1
Array
的
SSL
VPN
的功能
多项业务集成能最大限
度地利用已有链路,提高网络经济性,但由此带来的
安全问题不容忽视,例如:远程大户
和公司营业部职员所能访问的权限肯定是有
所不同的,它们的数据应能被识别和隔离开来
分别处理。采用
Array
公司端到端
的安全解决方案,可以提供以下安全防范手段:
实施安全认
证--安全认证主要是对用户身份实施检验和权限设定,这样当
外部用户以远程大户身份
和以营业部职员身份登录时,他们所能访问的数据可以
是截然不同的。安全认证一般采用
集中管理方式,在内部网络中设立专门的认证
服务器,在其上建立用户数据库,这样不论
用户从何处登录进来,都需要经过该
服务器的统一检验,授权并且其后的所有访问过程都
可被审计,记入日志。
下图为
Array
SP
产品在
SSL
VPN
应用中的网络结构。
Corporate Netwo
rk
SSL
SSL
SSL
SSL
Array SP
Proxy
SSL
SSL
SSL
Clie
nt
Client
SSL
Intern
et
Page 11 of 28
Company Confidential
Array
Networks
上图是一个典型的
SSL VPN
组网
的拓扑结构图,圆圈中为企业的核心数据网
络,远端用户通过
i
nternet
与企业数据中心相连。此时,在企业边缘部署
S
SL
VPN
网关-
ArrayNet
works SP ( security proxy),SP
可以放在路由器和防火
墙
的后面,提供
SSL VPN
门户站
点(如上图左上角的页面)。所有上网用户必须登
陆此
SSL
VPN
门户站点才能访问
SSL VPN
,同时每个用户必须有自己的帐号、口
令并享有访问
SSL
VPN
各种资源的响应权限。
SP
提供
的门户站点
IP
地址可以是
公网地址,
也可以是防火墙等地址提供的
NAT
后的私有地址。此时,防火
墙可以
只对
SP
开放
< br>https
的端口地址,缺省为
TCP 443
端口。用户端使用标准的浏览
器,如
IE
和
Netscape
,用户可以是<
/p>
NAT
,或者是通过代理方式访问,只需保持
https
通道是畅通的既可。
ArrayNetowrks SSL
VPN
解决方案是
Global
Access
方案,不只支持
Remote
< br>Access
,对于企业内网用户同样可以通过
SSL
VPN
来进行响应的认证、加密和权
限限制,内部访问的安全性
。
下图是
ArrayNetworks
SP
典型应用的流程图:
1. Initial HTTPS Request
2.
Request for Login/Password
3. User
Login/Password
4 Request authentication
(and authorization policies)
from AAA server
5. Portal
Welcome Web Page
6. Request Portal URL
Link
AAA Server
Array
SP
Client
7. Check if request
is authorized
8. Web Page
Retrieved
9. Secured, Rewritten Web
Page
Web
Server
Company Confidential
Page 12 of 28
Array
Networks
2.2
采用
ArrayNetworks SSL
VPN
优势:
?
用户端无需安装专用的
VPN
客户端软件
。使用标准的浏览器,如
IE
和
Netscape
即可接入
SSL VPN
访问内部系统。提供免客户端、任何地
点的访问能力、增加的安全性,使得
IT
部门管理更容易,和
IPSec
VPN
相比,终端用户使用更简化。由于没有配置、管理和支持终端用户
复杂的
IPSec
客户端软件的负担,
SSL VPN
的支持更便宜,也比
I
PSec
更容易部署。
?
SSL VPN
< br>能为使用者提供任意地方的访问能力
。使用者可以在他们能
得到
Internet
接入能力的地方访问他们的应用——从
机场商务中心,
从任何他人的计算机,甚至任何无线设备。
SS
L
也能在宽带网络上工
作。此外,
SS
L VPN
可以成功地穿越防火墙,能处理网络地址转换
(
NAT
)问题,而对基于
IPSec
的
VPN
来说,这是一个难题。
?
服务器端也无需安装
任何额外的
VPN
专用软件。
?
SP
采用的是
SSL PROXY
技术。<
/p>
因此,使用者根本没有和他们要访问的
资源直接建立连接,并且隐
藏了那不
DNS
解析空间,所以安全度是很
高的。即使是
SP
提供的
L3VP
N
技术,在其
VPN
隧道内部我们依然
存在
一个网络层的防火墙提供安全保护。
?
用户接入内部系统是经过认证的。
认证方式可以采用
ArrayNetworks
SSL VPN
设备自己的用户数据库,也可以和内部系统已有
的认证系统结
合起来,如
AD
、
RADIUS
等.
?
用户接入内部系统是经过授权的。
针对不同的用户或用户所属的组,
SSL VPN
可以按
VPN
系统预定义的规则来对用户的访问权限
进行设定。
?
用户接入内部系统是经过加密的
。
ArrayNetwor
ks SSL VPN
设备采用强
加密算法,如:私钥算法:<
/p>
DES
(56-bit),
3DES
(168-bit),
RC4
(128-
Company Confidential
Page 13 of 28
Array
Networks
bit)
,公钥算法
:
RSA
(1024-bit+)
,消息认证
:
MD5
(128-bit),
SHA-1
(160-bit)
.
?
用户使用方便
:用户可以是
NAT
,或者是通过
HTTP
代理等灵活的方
式,只需保持
SSL
通道畅通既可。
?
部署方式灵活多样。
SSL
VPN<
/p>
网关
SP
可以放在路由器、防火墙后面<
/p>
使用
NAT
后的私有地址。
ArrayNetworks
SP
支持单臂和双臂
网络结
构。
SSL VPN
通常安装在
防火墙和服务器之间,如果以透明方式运等
行,除了在防火墙上简单地开放所需要的
HTTPS 443
端口外,无须对
原有
网络再做任何变动;也无须像
IPSec
VPN
那样考虑网络中间的
NAT<
/p>
设备,以及客户端的各种接入方式等等。
?
管理更加容易。
采用
SSL
VPN
要比
IPSec
VPN
更容易管理,由于使用
者可以从任何浏览器更
安全地访问应用,所以,像
SSL VPN
能减少分
发和管理客户端软件的麻烦。
同时,不需要改
变网络,不需要修改防
火墙配置和修改终端用户的配置,所以,比采用
< br>IPSec
有更低的总体
拥有成本。
?
支持
Cluster
技术
,为内部应用系统提供高可靠性
?
对于商业伙伴和
客户访问更加适合。
A
rrayNetworks
的解决方案也能在
这种情况下工作得很好,它们给企业提供更高层的安全。而
且由于不
需要合作伙伴在他们的网络中添加任何设备,所以
SS
L
VPN
更容易被
合作伙伴接受,也
比传统的
VPN
更少受到来自合作伙伴环境的黑客威
胁。
2.3
Array
的
SSL
VPN
的功能
SSL VPN
不同于
MPLS
以及
IPSEC VPN
的一个特点
是面向应用的
VPN
,当然
也提供隧道
式的
VPN
。所以,
SSL
VPN
对于不同的应用采用不同的功能模块来实
Company
Confidential
Page 14 of 28