國產(chǎn)SSL VPN應(yīng)具備的九大技術(shù)和功能

申請免費試用、咨詢電話：400-8352-114

隨著信息安全從單純關(guān)注網(wǎng)絡(luò)安全轉(zhuǎn)變?yōu)橹攸c關(guān)注以業(yè)務(wù)為核心的應(yīng)用安全，遠程安全接入的重要性日益明顯，SSL VPN以無需客戶端軟件，保護具體應(yīng)用，細粒度的訪問控制，詳細的審計等特性，在易用性、安全性和管理性方面更勝一籌。因此，近幾年來SSL VPN的應(yīng)用范圍正在迅速擴大?！　?/P>

關(guān)鍵技術(shù)

SSL VPN的關(guān)鍵技術(shù)包括：Web代理、端口轉(zhuǎn)發(fā)、應(yīng)用轉(zhuǎn)換、網(wǎng)絡(luò)連接(Network Connection, NC)，目前大部分的SSL VPN產(chǎn)品，都是以這幾項技術(shù)的一項或幾項為基礎(chǔ)研發(fā)實現(xiàn)的。那么，對國產(chǎn)SSL VPN產(chǎn)品而言，哪些技術(shù)尤其重要呢?

首先是Web代理技術(shù)。由于用戶需要訪問內(nèi)網(wǎng)的Web應(yīng)用，而且希望訪問方式盡量簡便，而只有具備Web代理技術(shù)，SSL VPN產(chǎn)品才能做到100%零客戶端，才能為用戶提供最簡便的接入方式，因此， Web代理技術(shù)對國產(chǎn)SSL VPN產(chǎn)品而言是一項必須技術(shù)，也是SSL VPN產(chǎn)品是否專業(yè)的重要標準之一。

除了Web代理技術(shù)，端口轉(zhuǎn)發(fā)技術(shù)的重要性也不容小覷。除了要訪問除Web應(yīng)用外，用戶還需要經(jīng)常訪問組織內(nèi)部的C/S架構(gòu)應(yīng)用，例如郵件、FTP、文件共享、數(shù)據(jù)庫、ERP等，這時，SSL VPN產(chǎn)品采用端口轉(zhuǎn)發(fā)技術(shù)實現(xiàn)對C/S應(yīng)用的處理，是再合適不過的了。

至于應(yīng)用轉(zhuǎn)換技術(shù)，目前國內(nèi)用戶需求并不迫切。由于SSL VPN產(chǎn)品需要把FTP、Email，SSH等應(yīng)用以Web的形式重新實現(xiàn)，實現(xiàn)起來比較復(fù)雜，還可能存在提供的功能不夠完整，界面不夠友好，不太符合用戶的操作習(xí)慣以及控件引用是不合法等一系列問題。從另一個角度來看，用戶在沒有使用SSL VPN之前，都已經(jīng)習(xí)慣通過相應(yīng)的客戶端軟件對C/S應(yīng)用進行訪問，在使用SSL VPN后，仍然希望通過使用原來的客戶端軟件訪問內(nèi)部的各種C/S應(yīng)用。由此看來，應(yīng)用轉(zhuǎn)換技術(shù)并不十分適應(yīng)于國內(nèi)的用戶，也并非是國產(chǎn)SSL VPN產(chǎn)品的必須功能。

最后再看NC技術(shù)，由于NC技術(shù)可以實現(xiàn)SSL VPN與應(yīng)用無關(guān)的特性，因此客戶端通過SSL VPN訪問內(nèi)部整個子網(wǎng)的需求仍然存在。然而，在使用該功能時，需要給客戶端配置虛擬IP地址，這樣一來，就會遇到地址規(guī)劃上的一些問題，在配置和使用上也比較復(fù)雜。目前，國內(nèi)已經(jīng)有SSL VPN廠商注意到這個問題，為了更好地滿足用戶對易用性的要求，采用了一種“網(wǎng)絡(luò)層代理”技術(shù)，客戶端通過SSL VPN產(chǎn)品訪問內(nèi)部整個子網(wǎng)時，不需要借助虛擬IP地址，也不需要改變內(nèi)網(wǎng)服務(wù)器網(wǎng)關(guān)指向，有效地解決了NC功能配置和使用復(fù)雜的難題。但目前，“網(wǎng)絡(luò)層代理”技術(shù)還存在一個問題，即無法處理TCP連接由內(nèi)向外發(fā)起的應(yīng)用，無法做到“與應(yīng)用無關(guān)”。如果有SSL VPN產(chǎn)品能夠同時具備NC和網(wǎng)絡(luò)代理功能，將會受到更多國內(nèi)用戶的青睞。

更貼心的功能

以上列舉的只是SSL VPN產(chǎn)品的幾項主要技術(shù)，為了更好地滿足國內(nèi)用戶的需求，SSL VPN產(chǎn)品還必須在功能上進一步貼近需求，不斷豐富。那么，國產(chǎn)SSL VPN產(chǎn)品在功能上應(yīng)該如何“修煉內(nèi)功”呢?

豐富的認證方式：國內(nèi)用戶類型眾多，對認證方式和安全性要求也不盡相同。除了基本的本地口令外，動態(tài)口令、短信口令、口令+動態(tài)附加密、證書+USBKEY、口令+證書+USBKEY等多因素認證方式也越來越常見，成為對SSL VPN產(chǎn)品的基本要求。此外，隨著CA體系在中國不斷健全，越來越多的用戶從專業(yè)的CA企業(yè)購買服務(wù)，因此國產(chǎn)SSL VPN產(chǎn)品能否很好地與標準第三方CA系統(tǒng)兼容，能否提供標準OSCP、CRL等證書校驗接口，在一定程度上決定了該產(chǎn)品能否應(yīng)用到用戶現(xiàn)有環(huán)境中。

線路優(yōu)化：國內(nèi)用戶常常向不同的ISP申請了多個公網(wǎng)IP提供服務(wù)。如果SSL VPN產(chǎn)品能夠利用多個網(wǎng)口通過多個公網(wǎng)IP對外提供接入訪問，并可以根據(jù)接入客戶端的ISP來源選擇最佳路徑，那么將可以大大提高訪問效率，更好地適應(yīng)國內(nèi)的網(wǎng)絡(luò)環(huán)境。

單點登錄：在用戶的內(nèi)網(wǎng)中，OA系統(tǒng)通常都帶認證功能，使用者需要提交用戶名及口令才可登錄。加上SSL VPN后，用戶就首先要登錄SSL VPN，然后再次提交認證信息登錄OA，導(dǎo)致重復(fù)認證過程。為了簡化登陸程序，SSL VPN產(chǎn)品應(yīng)該能記錄用戶登錄SSL VPN時的認證信息，在用戶訪問OA時，代替用戶提交認證，用戶不需要再次輸入用戶名和口令就可打開登錄成功后的頁面。

端點安全：安裝SSL VPN產(chǎn)品后，端點安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL VPN，在連接SSL VPN隧道后是否允許訪問互聯(lián)網(wǎng)，在SSL VPN客戶端注銷后，訪問痕跡是否應(yīng)該清理，都是SSL VPN需要重點考慮的幾個安全問題。目前，國內(nèi)很多SSL VPN產(chǎn)品也都有應(yīng)對措施。在客戶端主機接入之前，先檢測終端主機上是否具備管理員要求的某些特征，如操作系統(tǒng)版本、IE瀏覽器版本、是否運行了殺毒軟件等等，如果不滿足安全策略，則拒絕連接。在建立隧道后，SSL VPN產(chǎn)品還可以禁止客戶端主機訪問隧道以外的網(wǎng)絡(luò)以確保隧道安全;在終端用戶注銷后，還會自動清除此次的訪問痕跡，確保信息不被泄漏。此外，如果產(chǎn)品能實現(xiàn)帳號和客戶端主機特征綁定以及防偽造功能等，將可以進一步提高客戶端的端點安全性。

應(yīng)用層防御：SSL VPN產(chǎn)品是以應(yīng)用為核心的安全接入產(chǎn)品，因此應(yīng)用層的安全防御必不可少。目前，防SQL注入，防跨站腳本和防非法URL訪問等功能已經(jīng)出現(xiàn)在一些國內(nèi)品牌SSL VPN產(chǎn)品上。甚至有廠商還提供了基于賬號的最大并發(fā)上限控制功能，有效防止了一個賬號惡意產(chǎn)生大量連接的DoS攻擊行為，有效保障了應(yīng)用服務(wù)系統(tǒng)。

安全審計：SSL VPN產(chǎn)品相對傳統(tǒng)VPN的優(yōu)勢之一就是審計更加詳細。相比而言，SSL VPN產(chǎn)品更關(guān)注賬號而不僅僅只是IP地址。在日志中應(yīng)該可以記錄哪個用戶、在什么時間，在什么地理位置通過哪個ISP登錄了SSL VPN，訪問了什么服務(wù)，訪問了哪些Web頁面等等。另外，SSL VPN產(chǎn)品還應(yīng)該提供基于各種條件(如時間范圍、關(guān)鍵字等)的查詢功能，甚至可以根據(jù)時間范圍生成報表提供瀏覽和下載。

綜合以上所有因素來看，SSL VPN產(chǎn)品與其說是一項技術(shù)，不如視之為服務(wù)。誰的SSL VPN產(chǎn)品能在上面所述各項技術(shù)和功能中做得更精細，更人性化，更貼近用戶需要，誰的產(chǎn)品就會在激烈的市場競爭中取得勝利。（網(wǎng)界網(wǎng)）