SSL VNP技术支持手册.doc

此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 SSLSSLSSLSSL VPNVPNVPNVPN 技术支持手册技术支持手册技术支持手册技术支持手册 拟拟 制 制 审审 核 核 批批 准 准 广广 东东 卓卓 维维 网网 络络 有有 限限 公公 司司 GuangdongGuangdong TopwayTopway NetworkNetwork Co Co LtdLtd 二二 0 00 0 七七年年四四月月 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 文文 件件 信信 息息 文件编号 广州卓维网络有限公司 版 本1 0 SSLSSL VPNVPN 技术支持手册技术支持手册 文件页数共 子 页 版版 本本 信信 息息 版版 本本发布时间发布时间作作 者者版本修改信息版本修改信息 V 1 02007 4 2蔡文源 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 目目 录录 一 一 SSLSSL VPNVPN 技术介绍技术介绍 5 二 二 SSLSSL VPNVPN 给用户带来的价值给用户带来的价值 7 三 三 SSLSSL VPNVPN 功能实现功能实现 8 1 1 无客户端软件无客户端软件 8 2 2 保持用户使用习惯保持用户使用习惯 8 3 3 客户端应用绑定客户端应用绑定 8 4 4 支持多种支持多种 TCP UDPTCP UDP 应用系统应用系统 8 5 5 第三方 第三方 Radius Windows AD LDAPRadius Windows AD LDAP 认证系统认证系统 8 6 6 WindowsWindows AD LDAPAD LDAP 用户数据库同步用户数据库同步 9 7 7 基于信任链表的 基于信任链表的 PKIPKI 证书应用证书应用 9 8 8 客户端安全措施 客户端安全措施 9 9 9 基于角色的细粒访问控制 基于角色的细粒访问控制 9 1010 信息与状态监控 信息与状态监控 9 四 四 SSLSSL VPNVPN 技术优势技术优势 11 1 1 客户端支撑维护简单客户端支撑维护简单 11 2 2 提供增强的远程安全接入功能提供增强的远程安全接入功能 11 3 3 提供更细粒度的访问控制提供更细粒度的访问控制 11 4 4 能够穿越能够穿越 NATNAT 和防火墙设备和防火墙设备 12 5 5 能够较好地抵御外部系统和病毒攻击能够较好地抵御外部系统和病毒攻击 12 6 6 网络部署灵活方便网络部署灵活方便 12 五 五 SSLSSL VPNVPN 的市场和应用前景的市场和应用前景 14 1 市场的特点与趋势市场的特点与趋势 14 2 SSLSSL VPNVPN 难以普及主要因素难以普及主要因素 14 3 SSLSSL VPNVPN 应用前景应用前景 SSLSSL 无处不在无处不在 15 六 企业决策 如何选择六 企业决策 如何选择 SSLSSL VPN VPN 三步走三步走 17 七 七 SSLSSL VPNVPN 产品如何选购产品如何选购 20 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 八 国内外主流厂商产品一览表及推荐使用品牌八 国内外主流厂商产品一览表及推荐使用品牌 22 九 国内外主流厂商产品系列九 国内外主流厂商产品系列 24 1 1 JuniperJuniper 网络网络 24 2 2 ArryArry NetworksNetworks 29 2 12 1 ArryArry NetworksNetworks 优势优势 29 2 22 2 真正的企业级真正的企业级 SSLSSL VPNVPN 解决方案 解决方案 30 2 3Array2 3Array VPNVPN 的成功案例的成功案例 30 3 3 NortelNortel 北电 网络 北电 网络 33 3 3 1 1 产品功能产品功能 33 3 2 产品优势产品优势 35 4 4 F5F5 NetworksNetworks 36 4 14 1 功能实现功能实现 36 4 24 2 技术优势技术优势 39 5 5 O2MicroO2Micro NetworksNetworks 40 5 15 1 产品特征产品特征 41 5 25 2 技术优势 技术优势 42 6 北京安软天地科技北京安软天地科技 44 6161 功能与应用功能与应用 44 6 26 2 产品优势产品优势 低成本的解决方案低成本的解决方案 46 6 6 3 3 产品规范产品规范 46 7 深圳赛蓝深圳赛蓝 CYLANCYLAN 46 7 17 1 成功案例成功案例 47 7 27 2 功能实现功能实现 48 8 8 深圳深信服 深圳深信服 50 8 18 1 应用应用方案优势 方案优势 51 8 28 2 产品特征及优势 产品特征及优势 51 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 一 一 SSL VPN 技术介绍技术介绍 SSL VPN 即指采用即指采用 SSL Security Socket Layer 协议来实现远程接入的一种新型 协议来实现远程接入的一种新型 VPN 技术 技术 SSL 协议是网景公司提出的基于 WEB 应用的安全协议 它包括 服务器认证 客户认 证 可选 SSL 链路上的数据完整性和 SSL 链路上的数据保密性 对于内 外部应用来说 使用 SSL 可保证信息的真实性 完整性和保密性 目前 SSL 协议被广泛应用于各种浏览器应 用 也可以应用于 Outlook 等使用 TCP 协议传输数据的 C S 应用 正因为 SSL 协议被内置于 IE 等浏览器中 使用 SSL 协议进行认证和数据加密的 SSL VPN 就可以免于安装客户端 SSL VPN 技术帮助用户通过标准的技术帮助用户通过标准的 WEB 浏览器就可以访问重要的企业的应用 浏览器就可以访问重要的企业的应用 这使得员 工出差时不必再携带自己的笔记本电脑 仅仅通过一台接入 Internet 的计算机就能访问企业的 资源 这为企业提高了效率也带来了方便 SSL VPN 网关位于企业网络的边缘 介于企业服 务器与远程用户之间 控制二者的通信 SSL VPN 应用环境如下图 一 应用环境如下图 一 图 一 图 一 掌握三个关键技术术语的含义有助于理解 SSL VPN 是如何实现的 一 代理 代理 Proxying SSL VPN 至少要实现一种功能 至少要实现一种功能 代理 WEB 页面 它将来自远端浏 览器的页面请求 采用 HTTPS 协议 转发给 WEB 服务器 然后将服务器的响应回传给终端 用户 二 应用转换 应用转换 Application Translation 对于非 对于非 WEB 页面的文件访问 往往要借助于应页面的文件访问 往往要借助于应 用转换 用转换 SSL VPN 网关与企业网内部的微软 CIFS 或 FTP 服务器通信 将这些服务器对客户的 响应转化为 HTTPS 协议和 HTML 格式发往客户端 终端用户感觉到这些服务器就是一些基于 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 WEB 的应用 有的 SSL VPN 产品所能支持的应用转换器和代理的代理非常少 有的则很好地支持了 FTP 网络文件系统和微软文件服务器的应用转换 用户在选择网关时 必须对自己所需要转 换的应用有一个很明确的了解 并能够根据他们的重要性给他们排个先后顺序 三 端口转发端口转发 Port Forwarding 有些应用 如微软的有些应用 如微软的 Outlook 或或 MSN 它们的外观会 它们的外观会 在转化为基于界面的过程中丢失 此时需要用到端口转发技术 在转化为基于界面的过程中丢失 此时需要用到端口转发技术 端口转发用于端口定义明确的 应用 它需要在终端系统上运行一个非常小的 JAVA 或 ActiveX 程序作为端口转发器 监听某 个端口上的连接 当数据包进入这个端口时 它们通过 SSL 连接中的隧道被传送到 SSL VPN 网关 SSL VPN 网关解开封装的数据包 将它们转发给目的应用服务器 良好的 SSL VPN 产品应该具有较好的互操作性 较为细致的访问控制功能 完善的日志 和认证体系以及对应用的广泛支持 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 二 二 SSL VPN 给用户带来的价值给用户带来的价值 随时随地移动接入随时随地移动接入 就在当前大多数远程访问解决方案是利用基于 IPSec 安全协议的 VPN 网络的情况下 一 种最新的研究表明近近呼 90 的企业利用 VPN 进行的内部网和外部网的联接都只是用来进行 因特网访问和电子邮件通信 另外 10 的用户是利用诸如 x11 聊天协议和其它私有客户端 应用 属非因特网应用 这些 90 的应用有研究表明可以利用一种更加简单的 VPN 技术 SSL VPN 来提供更加有效的解决方案 SSL VPN 不需要复杂的客户端支撑 这就易于安装和配置 明显降低成本 IPSec VPN 需 要在远程终端用户一方安装特定设备 以建立安全隧道 而且很多情况下在外部 或非企业控 制 设备中建立隧道相当困难 另外 这类复杂的客户端难于升级 对新用户来说面临的麻烦 可能更多 如系统运行支撑问题 时间开销问题 管理问题等 IPSec 解决方案初始成本较低 但运行支撑成本高 如今 已有 SSL 开发商能提供网络层支持 进行网络应用访问 就如同 远程机器处于 LAN 中一样 同时提供应用层接入 进行 Web 应用和许多客户端 服务器应用 访问 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 三 三 SSL VPN 功能实现功能实现 1 无客户端软件无客户端软件 采用无客户端软件的解决方案 用户只须要通过浏览器访问 VPN 服务 这是因为 SSL VPN 使用了已嵌入于一般浏览器中的 SSL 协议 这让管理员无须为终端用户提供软件安装 维护 及策略定制的服务 仅仅在 VPN 网关上设置用户访问权限即可 2 保持用户使用习惯保持用户使用习惯 每个企业都根据自己的实际需要定制开发一些应用系统 或者部署一些知名的服务来满足 自己的需要 比如使用 Outlook 的日历安排的功能来安排会议 为不同的分支机构的 IC 设计 工程师部署集中的 Terminal Server 来共享设计仿真资源等 员工主要的工作时间都是在企业内 部使用这些特定的应用 因此员工在家里或酒店需要访问这些企业资源时候也希望保持在公司 Intranet 中的使用习惯 不希望变换应用客户端软件 也不希望改变应用客户端的配置 3 客户端应用绑定客户端应用绑定 SSL VPN 设计中考虑到用户使用方便 因此特别客户端应用绑定的功能 让用户可以针 对某一个应用服务设定使用哪一种应用客户端软件 客户端应用绑定设置也能由管理员完成 让用户免予进行设置 管理员 用户可以针对一个服务设定多个应用客户端软件 叶可以定制关联应用的特性 给 与用户最大的选择应用何种应用客户端软件的自由 如果用户不设定关联应用 那么也可以直 接在操作系统中启动应用软件 4 支持多种支持多种 TCP UDP 应用系统应用系统 虽然 SSL 协议主要用户保护 WEB 应用系统 但是 SSL VPN 应该也支持多种基于 TCP UDP 的 Client Server 结构的应用软件 管理员只须要通过简单的管理接口在服务器上定 义需要支持的应用 及配置好服务器使用的端口 比如 FTP TFTP Oracle SQL server 等 5 第三方 第三方 Radius Windows AD LDAP 认证系统认证系统 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 作为企业远程接入 VPN 网关 SSL VPN 最核心的安全功能就是对远程接入用户提供认证 授权及访问控制 为了减轻管理员的管理操作 SSL VPN 不止应该提供内置的用户认证数据 库 也应该可以用常用的 Radius Windows AD LDAP 用户认证系统结合 提供一体化的用户认 证设施 利用第三方认证系统 管理员无须再配置任何相关的信息 仅仅需要对不同认证服务 器上的用户进行授权即可 6 Windows AD LDAP 用户数据库同步用户数据库同步 企业一般都会有集中的用户管理系统 比如基于 Window AD 的用户管理系统 虽然 管理人员希望只需维护一个用户数据库 但也要求在不同的应用系统及网关上进行细粒度的配 置 若系统支持同 Windows AD LDAP 服务器之间实行帐号同步 就可以保持服务器与企业用 户数据库的一致 7 基于信任链表的 基于信任链表的 PKI 证书应用证书应用 基于公开密钥证书的认证系统有其安全性高 扩展性好等特点 因此很多企业已经开始使 用 PKI 作为基础的认证设施 企业提供远程接入解决方案不仅仅是接入本企业的员工 而且会 接入不同企业的合作伙伴 因此用户会要求远程接入网关能够支持多个 CA 签发的证书的用户 的认证 8 客户端安全措施 客户端安全措施 一旦用户接入到企业内部网络中 那么远端用户的计算仅就成了企业的网络的边缘 因此 IT 管理人员需要确保远端用户的计算机满足企业的安全策略要求 一般通过四个措施 Host check Cache Clean ARL Access Restriction List 访问限制列表 用户登录锁定 SSL 协 议 加密算法设置 来保证客户端的安全性 9 基于角色的细粒访问控制 基于角色的细粒访问控制 访问控制是 SSL VPN 提供的核心安全服务 基于角色访问控制便于管理员快速的对企业变 化相对的更改控制规则 通过角色将系统的访问用户同系统保护资源联合起来 既直观 而且 在访问控制策略发生变化的时候无须为每一种资源或者每一个用户修改权限 西需要修改某一 种服务 角色 用户的属性 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 10 信息与状态监控 信息与状态监控 提供 SSL VPN 准确的状态信息所能帮助管理员设计及实现有效的安全策略 时时监控的 各个状态有助于管理员预测可能发生的危害 和及时做出适当的反应 监控图表如下图 监控图表如下图 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 四 四 SSL VPN 技术优势技术优势 IP Sec VPN SSL VPN 比较比较 IPSecVPN 和 SSLVPN 是两种不同的 VPN 架构 IPSecVPN 是工作在网络层的 提供所 有在网络层上的数据保护和透明的安全通信 而 SSL VPN 是工作在应用层 基于 HTTP 协议 和 TCP 层之间的 从整体的安全等级来看 两者都能够提供安全的远程接入 但是 IPSec VPN 技术是被设计用于连接和保护在信任网络中的数据流 因此更适合为不同的网络 提供通信安全保障 而 SSL VPN 因为以下的技术特点则更适合应用于远程分散移动用户的安 全接入 1 客户端支撑维护简单客户端支撑维护简单 对于大多数执行基于 SSL 协议的远程访问是不需要在远程客户端设备上安装软件 只需 通过标准的 Web 浏览器连接因特网 即可以通过网页访问到企业内部的网络资源 而 IPSecVPN 需要在远程终端用户一方安装特定软件以建立安全隧道 2 提供增强的远程安全接入功能提供增强的远程安全接入功能 IPSecVPN 通过在两站点间创建安全隧道提供直接 非代理方式 接入 实现对整个网络的 透明访问 一旦隧道创建 用户终端就如同物理地处于企业内部局域网中 这会带来很多安全 风险 尤其是在接入用户权限过大的情况下 SSLVPN 提供安全 可代理连接 通常 SSLVPN 的实现方式是在企业的防火墙后面放置一个 SSL 代理服务器 如果用户希望安全地 连接到公司网络上 那么当用户在浏览器上输入一个 URL 后 连接将被 SSL 代理服务器取得 并验证该用户的身份 然后 SSL 代理服务器将连接映射到不同的应用服务器上 3 提供更细粒度的访问控制提供更细粒度的访问控制 SSLVPN 能对加密隧道进行细分 使终端用户能够同时接入 Internet 和访问内部企业网资 源 另外 SSLVPN 还能细化接入控制功能 提供用户级别的鉴权 依据安全策略确保只有 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 授权的用户才能够访问特定的内部网络资源 这种精确的接入控制功能对远程接入 IPSecVPN 来说几乎是不可能实现的 4 能够穿越能够穿越 NAT 和防火墙设备和防火墙设备 SSLVPN 工作在传输层之上 因而能够遍历所有 NAT 设备和防火墙设备 这使得用户能 够从任何地方远程接入到公司的内部网络 而 IPSecVPN 工作在网络层上 它很难实现防火 墙和 NAT 设备的遍历 并且无力解决 IP 地址冲突 5 能够较好地抵御外部系统和病毒攻击能够较好地抵御外部系统和病毒攻击 SSL 是一个安全协议 数据是全程加密传输的 另外 由于 SSL 网关隔离了内网服务器 和客户端 只留下一个 Web 浏览接口 客户端的大多数木马病毒感染不到内网服务器 而传 统的 IPSecVPN 由于实现的是 IP 级别的访问 一旦隧道创建 用户终端就如同物理地处于企 业内部局域网中 内部网络所连接的应用系统都是可以侦测得到 这就为黑客攻击提供了机会 并且使得局域网能够传播的病毒 通过 VPN 一样能够传播 6 网络部署灵活方便网络部署灵活方便 IPSecVPN 在部署时一般放置在网络网关处 因而需要考虑网络的拓扑结构 如果增添新 的设备 往往要改变网络结构 而 SSLVPN 却有所不同 它一般部署在内网中防火墙之后 可以随时根据需要 添加需要 VPN 保护的服务器 因此无需影响原有网络结构 SSL VPN IP Sec VPN 性能比较图性能比较图 选项选项SSL VPN IPSec VPN 身份验证 单向身份验证 双向身份验证 数字证书 双向身份验证 数字证书 加密 强加密 基于 Web 浏览器 强加密 依靠执行 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 全程安全性 端到端安全 从客户到资源端全程加密 网络边缘到客户端 仅对从客户到 VPN 网关之间通道加 密 可访问性选用于任何时间 任何地点访问限制适用于已经定义好受控用户的访问 费用 低 无需任何附加客户端软件 高 需要管理客户端软件 安装 即插即用安装 无需任何附加的客户端软 硬件安装 通常需要长时间的配置 需要客户端软件或者硬件 用户的易使 用性 对用户非常友好 使用非常熟悉的 Web 浏览器 无需终端用户的培训 对没有相应技术的用户比较困难 需要培训 支持的应用 基于 Web 的应用 文件共享 E mail 所有基于 IP 协议的服务 用户客户 合作伙伴用户 远程用户 供应商等 更适用于企业内部使用 可伸缩性容易配置和扩展在服务器端容易实现自由伸缩 在客户 端比较困难 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 五 五 SSLSSL VPNVPN 的市场和应用前景的市场和应用前景 1 市场的特点与趋势市场的特点与趋势 1 VPN 产品的市场需求将迅速增加 产品的市场需求将迅速增加 十一五 期间我国将对信息产业新增投入巨大 信息化 尤其是政府信息化 将在未 来五年成为 VPN 产品市场发展的 助推器 2 更多的 更多的 IT 厂商将投入生产厂商将投入生产 VPN 产品 产品 VPN 产品是高投入 高回报的网络安全产品 赛迪顾问预计 已进入中国 VPN 产品 市场的厂商数量在 100 200 家左右 3 产品的安全性和保密性将日趋完善 产品的安全性和保密性将日趋完善 目前 许多在安全性和保密性方面要求较高的行业 如军队等 对 VPN 产品的选择和 应用非常谨慎 因为目前的 VPN 产品还不能完全满足其安全 高效 稳定地传输数据和 信息的需要 所以 对于未来 VPN 产品的发展 应用先进的技术 增强产品的功能将成 为满足用户进一步需求的一个重要因素 4 厂商的服务质量将会有实质性的提高 厂商的服务质量将会有实质性的提高 VPN 产品作为一类特殊的通过加密手段传输数据 信息的网络安全产品 服务质量的 高低直接影响了用户的购买行为 VPN 产品大规模的应用必须是以 VPN 厂商提供高质量 的服务为前提的 因此 在 VPN 产品大量应用的前提下 厂商为用户提供的服务在质量 上必将会有实质性的提高 2 SSL VPN 难以普及主要因素难以普及主要因素 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 目前 SSL VPN 应用在国内尚未走向普及 原因有很多 其中主要是国内企业的信息化应 用程度问题 SSL VPN 解决方案可以实现的访问应用主要有 电子邮件 PIM 个人信息管理 内部网资源 CRM ERP 等企业核应用 目前 国内企业的信息化程度不高 虽然这些应用 都已投入使用 但不是所有的应用都会开放给远程接入 而且 有些信息化程度高的企业大多 实施了 IPSec VPN 解决方案 对其的信任程度也较高 用户接受 SSL VPN 解决方案 并投入 实际使用还需要一定的过程 3 SSL VPN 应用前景应用前景 SSLSSL 无处不在无处不在 企业为了让远距工作者连上企业网络 正纷纷拥抱一种更简单 成本更低的方式 这股趋 势为网络安全系统供应商开启新的商机 却也引来更多的竞争 业者竞相推出让企业网络存取安全无虞的闸道 使用的是一种常见的浏览软体安全技术 称为安全嵌入层 SSL 加密 分析师和 SSL 网络设备制造商表示 众多企业用户已开始布 署采用 SSL 技术的虚拟私人网络 VPN 网络管理者指出 SSL 让 VPN 朝使用简易的目标迈进一大步 市场占有率因而迅速扩增 成为网际网络通讯协定保护 IPSec 的替代选择 IPSec 使用普及 但欠缺弹性 而这 股趋势又助长企业和员工对远距网络存取的新需求 SSL 的运势转强 吸引科技巨人对该技术趋之若鹜 导致这个一年前全是小型新创公司 天下的市场被迫汰弱留强 今天 SSL 产品的供应商大多是网络安全和交换器市场的知名大 厂 包括思科系统 Cisco Systems Check Point 软体 F5 网络 诺基亚 Nokia NetScreen 北电网络 Nortel Networks 和赛门铁克公司 Symantec 这些公司当中 有些藉并购新创公司取得 SSL 技术 例如 F5 网络 NetScreen 和赛门 铁克 其他公司 像是思科 诺基亚和北电网络 则自行研发这种技术 SSL 并不是全新的技术 多年来早就嵌入大部分的标准网页浏览器 让诸如亚马逊 A E trade 等电子商务公司提供安全的网际网络交易 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 因为 SSL VPN 允许使用者透过几乎任一种网页浏览器加以存取 非常适合用於远距存取 和企业间网络 extranet 应用软体 就大多数以网络架构的应用程式而论 使用者不必再 用任何用户端程式 client 可让员工或合伙商更容易存取网络 相形之下 IPSec VPN 需要在所有用户端系统上安装 设定特别的软体 而且在进行远 距存取时 可能变得笨重不堪 IPSec VPN 通常也有不相容的问题 可能令许多外勤人员为 之气结 因为无法存取重要的网络资料而进退两难 SSL 的使用简便 意味使用这种技术进行远距存取 可为企业节省大笔开支 市场研究 公司 Frost Sullivan 估计 若用 SSL 远距存取 VPN 每名使用者的平均花费可降到 60 至 220 美元之谱 相较于使用 IPSec VPN 所需的 150 到 300 美元 SSL VPN 的总拥有成 本低很多 因为不必预先逐一设定每一台个人电脑 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 六 企业决策 如何选择六 企业决策 如何选择 SSL VPN 三步走三步走 2005 年上半年是早期应用 SSL VPN 的狂热期 但是 这种狂热逐渐衰竭进入了六个月的 暂停期 市场研究公司 Forrester Research 预测称 到 2005 年年底 50 的大型企业已经在积 极地使用或者正在考虑部署 SSL VPN 到目前为止 有更多的公司在跟随着早期应用者的脚步正在考虑或者部署这项技术 这意 味着人们再次恢复了对 SSL VPN 的兴趣 SSL VPN 实际上是一种不需要企业在远程设备上安装 VPN 客户端软件的 VPN 远程用户 能够通过浏览器从任何笔记本电脑或者台式电脑实现安全连接 下面三步阐述了企业如何选择下面三步阐述了企业如何选择 SSL VPN 第一步第一步 确定以用户为重点还是以应用程序为重点 确定以用户为重点还是以应用程序为重点 SSL VPN 适配器有两个不同的特点 一个是以用户为重点 另一个是以应用程序为重点 企业在部署 SSL VPN 之前必须要确定这两个特点哪一个是排在第一位的和最重要的 基于用户的方式能够向远程用户提供透明的和完全的网络接入功能 就像在局域网中一样 这种应用的 VPN 一般在一个设备的终端既有 IPsec 又有 SSL VPN 并且还采用强大的端点安 全和网络接入控制技术 以用户为重点的领域的厂商通常把 SSL VPN 作为在路由器 以太网 交换机或者多功能一体安全设备等其它网络设备中的一种可以选择的功能提供给用户 以用户为重点的产品有思科的 VPN 3000 系列集中器 Juniper 网络公司的安全接入设备 北电网络的 VPN 路由器和 AP 网络公司的产品 使用基于应用程序的方法 企业要把重点放在需要重点使用的应用程序方面 以应用程序 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 为重点的 SSL VPN 更强调后端应用程序集成并且在没有客户端软件的模式下 如通过浏览器 提 供更好的访问功能 基于 SSL VPN 的应用程序集成了端点安全 但是 重点主要放在政策管理方面 这种应 用程序拥有比基于用户的 SSL VPN 更直观的用户界面和更强大的管理功能 基于应用程序的 SSL VPN 市场的厂商和产品有 Avenal 公司的 EX 系列产品 Citrix 系统公司的接入网关 F5 网络公司 FirePass Whale 通信公司的智能应用网关和 Permeo 公司 虽然这些产品的差别很小 但是 企业应该首先提出这个问题以便确定部署 SSL VPN 的 基本方向 如果这个局域网或者广域网用户将决定采购方向 那么 就从以用户为重点的设备 开始 如果是应用部门 远程接入专家或者企业移动计划决定这个项目 那就从以应用程序为 重点的设备开始 第二步 回答如何部署端点安全机制的问题 第二步 回答如何部署端点安全机制的问题 企业需要集成的端点安全还是嵌入式的端点安全 端点安全分为三个主要部分端点安全分为三个主要部分 基本主机检查功能基本主机检查功能 这项功能扫描端点设备 确认杀毒软件 个人防火墙和 操作系统补丁等软件都已经安装并且是最新的 缓存清除器缓存清除器 用于清除浏览器缓存下载的文件和 cookie 会话加密会话加密 会话加密一般使用 Java 建立一个虚拟 sandbox 这样 VPN 会话 过程中的所有活动都将被隔离和加密 然后在用户登出时删除 大多数 SSL VPN 都包括一个进行预先认证的基本的主机检查 但是 对于高级的缓存清 除和加密的 sandbox 等更复杂的安全功能来说 企业需要集成第三方厂商提供的工具软件 如 Sygate CheckPoint 软件公司或者 Trust Digital 等公司的产品 集成的端点安全提供了广 泛的安全选择 但是 这需要手工设置 并且容易出现策略设置错误 而这些错误将耗费更 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 多的人力和成本 据预测 大约据预测 大约 70 的企业在他们的的企业在他们的 SSL VPN 网络中采用集成的端点安全 网络中采用集成的端点安全 另一方面 嵌入式端点安全是建在设备中的 嵌入式工具通常有优化的政策设置 能够让 用户从一个管理操作台实施全面的访问控制 然而 这个选择的缺点是 企业如果选择一种 嵌入式产品就将被锁定一家厂商提供的产品 并且必须要依靠那个厂商提供及时的安全升级 如果一家企业已经拥有思科 McAfee 和赛门铁克等厂商提供的 NAC 网络准入控制 设备 采用嵌入式解决方案就是一种重复的努力 企业最后需要决定它是喜欢最高级的安全并且愿意为此支付较多的资金 还是认为实用和 简单性更重要 集成的方法和嵌入式的方法能够分别解决这两个优先次序的问题 第三步 回答有多少雇员需要安全的远程访问 第三步 回答有多少雇员需要安全的远程访问 较低的应用数量分类为 2000 或者更少的用户 虽然广告宣传说 SSL VPN 支持更多数量 的用户 但是 这些设备不应该达到它们的极限 作为一个规则 企业应该设想其 10 的雇 员需要并发访问功能 少量的应用还应该考虑人员的增加因素 以支持未来用户的增长 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 七 七 SSL VPN 产品如何选购产品如何选购 SSL VPN 由于其强大的功能和实施的方便性应用越来越广泛 市场上的 SSL VPN 品牌也 越来越多 如何选择适合自己的产品是需要用户仔细考虑的一个问题 下面从五个方面描述如 何选择 SSL VPN 产品 1 应用需求 应用需求 选择 VPN 是为了支持远程访问内部网络的应用 因此这一点也是最先需要考虑的一点 目 前 大多数 SSL VPN 支持我们日常经常会用到的邮件系统 OA 系统 CRM ERP 等等 但并 不是所有的应用 SSL VPN 都能够提供支持 如动态端口的应用就只有部分 SSL VPN 能够提供 支持 因此 在决定使用一款 SSL VPN 前一定要先确定是否能支持你的应用 2 安全需求 安全需求 要构建一个安全的系统 不仅仅需要传输过程安全 还要提高系统安全性 以下几个方面 是缺一不可的 1 传输过程安全 传输过程安全 传输的过程加密强度是确保内部数据不在传输过程中被黑客盗取的关键因素 传输过程加 密强度越高 传输安全性就越有保障 目前 拥有 128 位加密以上的 SSL VPN 产品是比较适 宜的 56 位 DES 加密相对强度低 选择时需要特别注意 2 用户身份验证 用户身份验证 用户名加密码的验证方式安全性相对较低 除了用户名和密码外 能提供其他的双因素验 证方式的产品更加具有优势 如支持 PKI 体系等 3 客户端设备的安全性 客户端设备的安全性 客户端设备是否安装了个人防火墙 防病毒软件等 如果客户端设备不够安全 比如有木 马程序 那么系统依然存在安全隐患 目前部分 SSL VPN 能够提供客户端环境检测 比如检 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 测客户端是否安装了防火墙和防病毒软件 4 完成访问后 客户端需要清除客户端机器的缓存 完成访问后 客户端需要清除客户端机器的缓存 在移动用户完成远程访问后 是否就万事大吉了呢 当然不是 黑客或不法分子可以通过拷 贝 复制驻留在客户端缓冲区内数据盗取企业机密 5 服务端的日志跟踪 服务端的日志跟踪 SSL VPN 服务器应该提供访问统计和跟踪功能 这样管理员能够根据日志随时掌握系统访 问情况 3 易于管理和维护 使用操作性强 易于管理和维护 使用操作性强 SSL VPN 的突出优势之一就在于移动性强 易用性强 但这些特性往往会增加管理难度 因此用户在选购 SSL VPN 时要重点考虑产品的管理性能 产品要做到界面简单 使用方便 灵活 细致地设置访问权限 采用基于用户 组 角色的认证机制 每个文件 网址或应用都可进 行单独设置 使访问控制更易于管理 4 性能 性能 由于是集中系统 SSL 加速决定整个网络的吞吐量 如果 SSL 加速跟不上 远程接入就会 比实际的 Internet 接入带宽低很多 有的 SSL VPN 产品采用专门的 SSL 加速硬件 从而提高 了 VPN 的响应速度 另外 通过数据压缩技术 还对所有的传输数据进行压缩后再进行传输 这样就提高了整个网络的运行效率和实用性 5 服务 服务 除了上面提到的几点外 具有良好服务也至关重要 SSL VPN 还是一个在不断发展的技术 更新的可能会比较快 提供 SSL VPN 的厂家是否具有良好的产品服务质量 渠道响应速度和 本地支持能力也非常重要 比如承诺免费或低费用升级 等等 SSL VPN 的发展迎合了用户对低成本 高性价比远程访问的需求 现在 它已经广泛应用的发展迎合了用户对低成本 高性价比远程访问的需求 现在 它已经广泛应用 于各行各业 选购于各行各业 选购 SSL VPN 时 用户要根据自身特点和不同的业务模式 选择适合自己的产时 用户要根据自身特点和不同的业务模式 选择适合自己的产 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 品 再次强调 品 再次强调 VPN 是正在发展的技术 更新换代比较快 因此用户在选购时可以少考虑一是正在发展的技术 更新换代比较快 因此用户在选购时可以少考虑一 些扩展性 多注重产品的实用性 毕竟 只有适合自己的 才是最理想的选择 些扩展性 多注重产品的实用性 毕竟 只有适合自己的 才是最理想的选择 八 国内外主流厂商产品一览表及推荐使用品牌八 国内外主流厂商产品一览表及推荐使用品牌 国内国内 外外 序号 序号 厂家名称厂家名称简简 述述SSL VPN 产品系列产品系列 外 1 Juniper Juniper 网络公司提供全面的 SSL VPN 产品 在市场上处于领导地位在市场上处于领导地位 Juniper 的 Secure Access 产品拥有各种机型和特性 可 以满足各种规模公司的远程接入需求 包括 从中小企业所需的远程 移动员工的接入访问 到大型 跨国企业所需的员工与外联网在统 一平台上的接入访问 1 Secure Access 700 适用中小型企业 2 Secure Access 2000 适用中小型企业 3 Secure Access 4000 适用大中型企业 4 Secure Access 6000 适用大型和跨国企业 5 Secure Access 6000 适用服务提供商管理服务 外 2 Array 推荐使用 推荐使用 品牌 品牌 世界上最强大的 SSL VPN 应用访问解决方 案 任何时间 任何地点的安全访问 全局安全和访问控制 卓越的安全性和出色的终端用户体验 目前市场上同类产品中的性能翘楚 1 SPX 2000 面向中小型企业 2 SPX 3000 面向大中型企业 3 SPX 5000 面向大型跨国企业和大中型企业 外 3 北电北电 推荐使 推荐使 用品牌 用品牌 北电 VPN 网关系列是一套远程接入安全解 决方案 可将企业应用的覆盖范围扩展到在 偏远地区工作的员工 合作伙伴和客户身边 北电 VPN 网关利用广泛部署能支持 SSL 功能 的网络浏览器 和支持传统的 IPsec VPN 接 入 提供当前市场上最灵活 最经济高效的 安全远程接入解决方案 SSLSSL VPNVPN 与与 IPIP SECSEC VPNVPN 功能并兼 功能并兼 1 VPN Gateway 3050 面向大型公司 VPN Gateway 3070 面向大型公司和服务提供商 外 4 F5 F5 的 FirePass SSL VPN 设备提供了一种通 过标准网络浏览器 到公司应用和数据的安 全访问能力 无论在家中或是在路上 FirePass 出色的性能 可扩展性 易用性以 及安全性都可帮助您提高工作效率和确保公 司数据的安全性 FirePass 1200 专为中小型企业设计 FirePass 4100 专为大型企业设计 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 外 5 O2Micro 部署在企业的内部网络的 Succendo 系统 为远程访问提供了集中的控制及保护 使用 Succendo 无须对原有的网络环境或 用户的使用习惯进行任何变动 1 Succendo 502 25 200 并发用户数 Succendo 2000 100 500 并发用户数 国内 6 北京安软天北京安软天 地科技地科技 安软天地公司的 EverLink SRAC VPN Gateway 是一种简便 低成本的应用层 VPN 是个具有高性能的网络应用装置 它它 将很多应用技术整和进一个简单的网络设备将很多应用技术整和进一个简单的网络设备 该 VPN 运行在应用层 可以帮助企业建立 一个即插即用的虚拟专用网 利用多种安全即插即用的虚拟专用网 利用多种安全 认证方法认证方法 包括 PKI 和动态口令插入 VPN VPN 可以提供最彻底的检验用户身份 方式 EverLink SRAC VPN 网关 国内 7 深圳赛蓝深圳赛蓝 推荐使用 推荐使用 品牌 品牌 2002 年底年底 推出了面向大 中 小型企业 用户的 SME VPN 及 SSL VPN 产品 为国内 外用户提供了安全 稳定 可靠 高性价比 的广域网解决方案 2006 年初 年初 推出了面向大 中 小型企业 用户的 Application Firewall 应用层防火墙 VPN 防火墙 是结合 外部防御 与 内部 防御 等多种安全防御功能于一身的新一代 UTM 防火墙 VPN 设备 1 CYLAN VPN SSL 30 GATEWAY 中小型企业级中小型企业级 2 CYLAN VPN SSL 50 GATEWAY 中小型企业级 中小型企业级 3 CYLAN VPN SSL 100 GATEWAY 中型企业级中型企业级 2 CYLAN VPN SSL 200 GATEWAY 中型企业级中型企业级 3 CYLAN VPN SSL 620 GATEWAY 中大型企业级中大型企业级 4 CYLAN VPN SSL 650 GATEWAY 大型企业级 大型企业级 国内 8 深圳深信服深圳深信服 一台 VPN 网关中 SSL VPN 与 IP SEC VPN 功能并兼 1 M5100 S VNP 网关 2 M5400 S VNP 网关 3 M5600 S VNP 网关 4 M5800 S VNP 网关 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 九 国内外主流厂商产品系列九 国内外主流厂商产品系列 1 Juniper 网络网络 1 1客户概况客户概况 客户客户描描 述述区域区域行业行业产品系列产品系列 Arizona Game and Fish Arizona Game and Fish 部署 Juniper 网络公司 SSL VPN 北美政府 SSL ASPCA ASPCA 明智地选择了 Juniper 网络公 司防火墙和 SSL VPN 解决方案 北美 非盈利 组织 SSL Catholic Health System 中文 Juniper SSL VPN 支持随时随地访问 关键医疗信息 北美医疗 SSL HealthBridge HealthBridge 在医院领域应用 Juniper 网络公司 SSL VPN 解决方案 北美医疗 SSL Isle of Wight 学院 Isle of Wight 学院通过 Juniper 网 络公司 SSL VPN 解决方案建立安全远 程接入 EMEA 教育 研 究 SSL Lancaster General 中文 Lancaster General 通过 Juniper SSL VPN 解决方案实现安全性 北美医疗 SSL Linc 集团 Linc 集团通过 Juniper 网络公司 SSL VPN 解决方案将各个部门联系在一起 北美制造 SSL Raymond James Raymond James 明智投资于 Juniper 网络公司 SSL VPN 解决方案 北美金融 SSL Somerset 地区 学区 中文 Somerset 地区的学区 成长中的教训 北美 教育 研 究 SSL 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 1 2Juniper1 2Juniper 网络产品优势网络产品优势 广泛的 SSL VPN 设备和特性 可提供定制解决方案 以满足各种规模公司的 远程接入要求 独特的安全功能 为从最终用户设备到内部服务器的各种产品提供端到端的 保护 SSL VPN 市场公认的领导者 2005 年市场份额占有率高达近 40 为服务提供商提供高可用性和可升级性 1 31 3 各产品的领先技术优势各产品的领先技术优势 1 1 SecureSecure AccessAccess 700700 主要特性与优势如下 主要特性与优势如下 为中小型企业而设计为中小型企业而设计 o为远程或移动员工提供安全接入 o无需安装客户端软件 最少量的服务器更改 少量的后期维护工作 降低总拥有成本降低总拥有成本 o即插即用产品 可在几分钟内完成安装 只需最少的 IT 知识 o无需部署或维护客户端软件 o简单的最终用户和管理员界面 可实现简便易用性 o提高远程员工的工作效率 o不存在网络互操作性问题 端到端分层安全性端到端分层安全性 o全面安全地接入 LAN 资源 确保端点设备 传输中的数据以及内部资源的安 全 LI 与广泛的验证方法和协议的无缝集成 2 2 SecureSecure AccessAccess 20002000 主要特性与优势如下 主要特性与优势如下 端到端分层安全性端到端分层安全性 o端点客户端 设备 数据和服务器的分层安全性控制 oJuniper 网络公司 Endpoint Defense Initiative 端点防御计划 用于提 供最高的端点安全性 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 可以根据用户组或角色 网络 设备及会话属性来规定基于用户身份的接入 降低总拥有成本降低总拥有成本 o不需要部署客户端软件或更改服务器 几乎不需要长期维护 o从单一平台安全地远程接入内联网和外联网 o安全的外联网接入 无需构建 DMZ 无需加固服务器 无需复制资源 或无需 增加部署来添加应用或用户 简化可管理性简化可管理性 o集中管理选项提供统一管理 o用户自助服务功能 可降低技术支持服务窗口的支持成本 o细粒度的审计和日志记录 o3 种不同的接入方法 允许管理员根据具体目的来设置接入权限 o基于角色分配管理任务 高可用性高可用性 o群集对部署选项 可为整个 LAN 和 WAN 提供高可用性 3 3 SecureSecure AccessAccess 40004000 主要特性与优势如下 主要特性与优势如下 增强的安全性增强的安全性 o接入权限管理特性允许执行强有力的灵活验证和授权策略 而不需要部署其他 任何软件 o可以根据用户组或角色 网络 设备及会话属性来规定基于用户身份的接入 o端点客户端 设备 数据和服务器的分层安全性控制 o3 种不同的安全接入方法 允许企业根据具体目的来设置接入权限 o基于资源