國產(chǎn)SSL VPN應具備的九大技術和功能

申請免費試用、咨詢電話：400-8352-114

隨著信息安全從單純關注網(wǎng)絡安全轉變?yōu)橹攸c關注以業(yè)務為核心的應用安全，遠程安全接入的重要性日益明顯，SSL VPN以無需客戶端軟件，保護具體應用，細粒度的訪問控制，詳細的審計等特性，在易用性、安全性和管理性方面更勝一籌。因此，近幾年來SSL VPN的應用范圍正在迅速擴大?！　?/P>

關鍵技術

SSL VPN的關鍵技術包括：Web代理、端口轉發(fā)、應用轉換、網(wǎng)絡連接(Network Connection, NC)，目前大部分的SSL VPN產(chǎn)品，都是以這幾項技術的一項或幾項為基礎研發(fā)實現(xiàn)的。那么，對國產(chǎn)SSL VPN產(chǎn)品而言，哪些技術尤其重要呢?

首先是Web代理技術。由于用戶需要訪問內網(wǎng)的Web應用，而且希望訪問方式盡量簡便，而只有具備Web代理技術，SSL VPN產(chǎn)品才能做到100%零客戶端，才能為用戶提供最簡便的接入方式，因此， Web代理技術對國產(chǎn)SSL VPN產(chǎn)品而言是一項必須技術，也是SSL VPN產(chǎn)品是否專業(yè)的重要標準之一。

除了Web代理技術，端口轉發(fā)技術的重要性也不容小覷。除了要訪問除Web應用外，用戶還需要經(jīng)常訪問組織內部的C/S架構應用，例如郵件、FTP、文件共享、數(shù)據(jù)庫、ERP等，這時，SSL VPN產(chǎn)品采用端口轉發(fā)技術實現(xiàn)對C/S應用的處理，是再合適不過的了。

至于應用轉換技術，目前國內用戶需求并不迫切。由于SSL VPN產(chǎn)品需要把FTP、Email，SSH等應用以Web的形式重新實現(xiàn)，實現(xiàn)起來比較復雜，還可能存在提供的功能不夠完整，界面不夠友好，不太符合用戶的操作習慣以及控件引用是不合法等一系列問題。從另一個角度來看，用戶在沒有使用SSL VPN之前，都已經(jīng)習慣通過相應的客戶端軟件對C/S應用進行訪問，在使用SSL VPN后，仍然希望通過使用原來的客戶端軟件訪問內部的各種C/S應用。由此看來，應用轉換技術并不十分適應于國內的用戶，也并非是國產(chǎn)SSL VPN產(chǎn)品的必須功能。

最后再看NC技術，由于NC技術可以實現(xiàn)SSL VPN與應用無關的特性，因此客戶端通過SSL VPN訪問內部整個子網(wǎng)的需求仍然存在。然而，在使用該功能時，需要給客戶端配置虛擬IP地址，這樣一來，就會遇到地址規(guī)劃上的一些問題，在配置和使用上也比較復雜。目前，國內已經(jīng)有SSL VPN廠商注意到這個問題，為了更好地滿足用戶對易用性的要求，采用了一種“網(wǎng)絡層代理”技術，客戶端通過SSL VPN產(chǎn)品訪問內部整個子網(wǎng)時，不需要借助虛擬IP地址，也不需要改變內網(wǎng)服務器網(wǎng)關指向，有效地解決了NC功能配置和使用復雜的難題。但目前，“網(wǎng)絡層代理”技術還存在一個問題，即無法處理TCP連接由內向外發(fā)起的應用，無法做到“與應用無關”。如果有SSL VPN產(chǎn)品能夠同時具備NC和網(wǎng)絡代理功能，將會受到更多國內用戶的青睞。

更貼心的功能

以上列舉的只是SSL VPN產(chǎn)品的幾項主要技術，為了更好地滿足國內用戶的需求，SSL VPN產(chǎn)品還必須在功能上進一步貼近需求，不斷豐富。那么，國產(chǎn)SSL VPN產(chǎn)品在功能上應該如何“修煉內功”呢?

豐富的認證方式：國內用戶類型眾多，對認證方式和安全性要求也不盡相同。除了基本的本地口令外，動態(tài)口令、短信口令、口令+動態(tài)附加密、證書+USBKEY、口令+證書+USBKEY等多因素認證方式也越來越常見，成為對SSL VPN產(chǎn)品的基本要求。此外，隨著CA體系在中國不斷健全，越來越多的用戶從專業(yè)的CA企業(yè)購買服務，因此國產(chǎn)SSL VPN產(chǎn)品能否很好地與標準第三方CA系統(tǒng)兼容，能否提供標準OSCP、CRL等證書校驗接口，在一定程度上決定了該產(chǎn)品能否應用到用戶現(xiàn)有環(huán)境中。

線路優(yōu)化：國內用戶常常向不同的ISP申請了多個公網(wǎng)IP提供服務。如果SSL VPN產(chǎn)品能夠利用多個網(wǎng)口通過多個公網(wǎng)IP對外提供接入訪問，并可以根據(jù)接入客戶端的ISP來源選擇最佳路徑，那么將可以大大提高訪問效率，更好地適應國內的網(wǎng)絡環(huán)境。

單點登錄：在用戶的內網(wǎng)中，OA系統(tǒng)通常都帶認證功能，使用者需要提交用戶名及口令才可登錄。加上SSL VPN后，用戶就首先要登錄SSL VPN，然后再次提交認證信息登錄OA，導致重復認證過程。為了簡化登陸程序，SSL VPN產(chǎn)品應該能記錄用戶登錄SSL VPN時的認證信息，在用戶訪問OA時，代替用戶提交認證，用戶不需要再次輸入用戶名和口令就可打開登錄成功后的頁面。

端點安全：安裝SSL VPN產(chǎn)品后，端點安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL VPN，在連接SSL VPN隧道后是否允許訪問互聯(lián)網(wǎng)，在SSL VPN客戶端注銷后，訪問痕跡是否應該清理，都是SSL VPN需要重點考慮的幾個安全問題。目前，國內很多SSL VPN產(chǎn)品也都有應對措施。在客戶端主機接入之前，先檢測終端主機上是否具備管理員要求的某些特征，如操作系統(tǒng)版本、IE瀏覽器版本、是否運行了殺毒軟件等等，如果不滿足安全策略，則拒絕連接。在建立隧道后，SSL VPN產(chǎn)品還可以禁止客戶端主機訪問隧道以外的網(wǎng)絡以確保隧道安全;在終端用戶注銷后，還會自動清除此次的訪問痕跡，確保信息不被泄漏。此外，如果產(chǎn)品能實現(xiàn)帳號和客戶端主機特征綁定以及防偽造功能等，將可以進一步提高客戶端的端點安全性。

應用層防御：SSL VPN產(chǎn)品是以應用為核心的安全接入產(chǎn)品，因此應用層的安全防御必不可少。目前，防SQL注入，防跨站腳本和防非法URL訪問等功能已經(jīng)出現(xiàn)在一些國內品牌SSL VPN產(chǎn)品上。甚至有廠商還提供了基于賬號的最大并發(fā)上限控制功能，有效防止了一個賬號惡意產(chǎn)生大量連接的DoS攻擊行為，有效保障了應用服務系統(tǒng)。

安全審計：SSL VPN產(chǎn)品相對傳統(tǒng)VPN的優(yōu)勢之一就是審計更加詳細。相比而言，SSL VPN產(chǎn)品更關注賬號而不僅僅只是IP地址。在日志中應該可以記錄哪個用戶、在什么時間，在什么地理位置通過哪個ISP登錄了SSL VPN，訪問了什么服務，訪問了哪些Web頁面等等。另外，SSL VPN產(chǎn)品還應該提供基于各種條件(如時間范圍、關鍵字等)的查詢功能，甚至可以根據(jù)時間范圍生成報表提供瀏覽和下載。

綜合以上所有因素來看，SSL VPN產(chǎn)品與其說是一項技術，不如視之為服務。誰的SSL VPN產(chǎn)品能在上面所述各項技術和功能中做得更精細，更人性化，更貼近用戶需要，誰的產(chǎn)品就會在激烈的市場競爭中取得勝利。（網(wǎng)界網(wǎng)）