了解SSL VPN，认识SSL VPN应用市场

2005-6-3 10:47:00　文/小四　出处：IT.com.cn(IT世界)

    坐在办公室里处理事务是目前大多数人的工作方式。SSL VPN结合带有浏览器的各种接入设备(包括手机)正在改变这一工作模式，把工作空间扩展到旅途、酒店以及任何能够访问Internet的地方。可以说，SSL VPN正在一步步把移动商务和移动办公变得更加真实生动起来……

    随着Web应用的增多以及远程接入需求的增长，SSL VPN正在成为一个热门市场。尽管当前的大多数远程访问解决方案是利用IPSec VPN来实现的，不过最近的一份调查报告指出，大约90%的企业利用IPSec VPN只是用来进行电子邮件通信以及访问Web应用，只有10%的用户利用IPSec VPN访问非Web应用。这份报告说明，目前90%的IPSec VPN应用都可以被SSL VPN来实现，而SSL VPN更加容易配置和管理，实现成本要比IPSec VPN低很多。

    Infonetics预测，在未来几年，SSL VPN设备的全球销售将会出现持续增长，到2005年，SSL VPN会出现8.4亿美元的市场。

为了在SSL VPN这一新兴市场中占据鳌头，专注于移动通信的诺基亚不惜斥巨资收购了多项核心技术，着力打造移动商务应用。许多IPSec VPN厂商也开始重新思考产品战略。在IPSec VPN市场上占据重要地位的Check Point认为，SSL对于需要通过企业网与业务合作伙伴交换数据但又不想安装VPN客户端的用户来说非常理想，为此Check Point既发布了独立的SSL VPN方案，同时也在传统的IPSec VPN产品中增加了SSL功能。

    北电网络发布了Alteon SSL设备；赛门铁克公司通过收购SafeWeb，将SSL VPN作为一项单独的产品推出，并且积极将无客户端的VPN功能集成到新版本的网关安全设备当中。这样的厂商数不胜数。

SSL协议

    VPN是一项非常实用的技术，它可以扩展企业的内部网络，允许企业的员工、客户以及合作伙伴利用Internet访问企业网，而成本远远低于传统的专线接入。对于IPSec VPN，人们已经熟悉，而SSL VPN作为一种新兴技术正在引起越来越多用户的注意。

   理解SSL VPN关键在于理解SSL(Secure Sockets Layer，安全套接层)协议。SSL是基于Web应用的安全协议。SSL协议指定了在应用程序协议（如HTTP、Telnet和FTP等）和TCP/IP协议之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。

    SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。

   作为应用层协议，SSL使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，主要适用于点对点的信息传输，并不能实现信息的不可抵赖性。

    尽管SSL协议提供加密和身份认证，但是SSL协议只对通信双方所进行的应用通道进行加密，而不是对从一个主机到另一主机的整个通道进行加密。在使用SSL协议的通信中，每一个应用是一个安全的独立体。利用SSL协议进行VPN通信，进行通信的应用必须能够识别SSL技术，常见应用（IE、Netscape浏览器、OutLook、 Eudora 邮件应用等）一般都能识别SSL技术。

    在SSL VPN通信中，通常采用SSL代理技术来提高VPN服务器的通信性能和安全认证能力。在建立安全通信之前，SSL VPN需要专门的CPU来提高加密运算速度。以RSA算法为例，该算法基于SSL协议在客户端和服务器端传递密钥，Web服务器每秒大约可以接受75个新的SSL连接。对于每一个新的连接，RSA算法都必须进行翻译和检验。如果系统每秒收到的连接超过75个，CPU就会对新的网络连接请求停止响应。SSL加速器可以分担服务器CPU的计算任务。对于拥有多个SSL接入服务的用户来说，如果不采用SSL代理技术，就需要为每一台SSL服务器分别配备SSL加速器，而SSL代理可以使多台服务器共用一个SSL加速器，使服务器的SSL连接不会超出负荷。

   SSL代理还可以为客户在访问后端网络资源时进行身份认证。这是因为许多Web服务器自身并不支持身份认证。

SSL VPN的优势和不足

    SSL VPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet，即可访问企业的网络资源。这样尽管购买软件和硬件的费用不一定低，但是SSL VPN的部署成本却很低。只要安装了SSL VPN，基本上就不需要IT部门的支持了，所以维护成本可以忽略不计。对于那些只需进入企业内部网站或者进行E-mail通信的远程用户来说，SSL VPN显然是一个价廉物美的选择。此外，SSL VPN连接要比IPSec VPN更稳定，这是因为IPSec VPN是网络层连接，故容易中断。除此之外，SSL VPN还具有以下优势。

     (1)适用大多数设备：基于Web访问的开放体系可以被任何运行标准浏览器的系统所访问，包括非传统设备，如可以上网的手机和PDA通信产品。

    (2)适用于大多数操作系统：不管是Windows、Macintosh、UNIX还是 Linux，只要运行标准的浏览器，都可以支持SSL VPN对企业内部网站和Web站点进行访问。

    (3)良好的安全性：SSL VPN访问的并不是网络的真实节点，而是被代理的内部资源，这种方法较为安全。

    (4)较强的资源控制能力：SSL VPN为远程访问用户提供较细粒度的资源访问控制。

    (5)绕过防火墙和代理服务器：基于SSL VPN的远程访问方案可以绕过防火墙和代理服务器访问企业网资源，这是基于IPSec VPN的远程访问很难做到的。

上面介绍了SSL VPN技术的优势，不过SSL VPN并非完美无缺。

    (1)依靠Internet进行访问：远程用户的Web浏览器依靠企业的服务器访问所有进程。如果Internet没有连通，远程用户就不能与总部网络进行连接，只能单独工作。

    (2)有限支持Windows应用及其他非Web系统：大多数SSL VPN都是基于Web浏览器工作的。虽然有些SSL提供商已经开始合并终端服务来支持非Web应用，但是目前大多数SSL VPN方案还未正式提出全面支持。

    (4)有限的安全保障： SSL VPN只对通信双方的某个应用通道进行加密，而不是对在通信双方的主机之间的整个通道进行加密。在通信时，很难保证其他文件不被暴露，因此存在一定的安全隐患。

   此外， SSL VPN的认证方式比较单一(只能采用证书)，一般只是单向认证，支持其他认证方式往往要进行长时间的二次开发，相比之下，IPSec VPN认证方式更为灵活。SSL VPN通常不能实施访问控制，在建立隧道之后，管理员对用户不能进行限制。如果用户需要实现网络到网络的安全互联，只能考虑采用IPSec VPN。最后，SSL VPN是应用层加密，性能比较差，需要使用加速装置。

看本文的网友还看了：
热点关注：

[原创]台电代言MM

[原创]最后的冲刺

·激凸人体摄影　　 ·上传相册　 ·怎么上传

打印此页

投稿与建议

返回顶部

[原创]台电代言MM	[原创]最后的冲刺



·激凸人体摄影　　 ·上传相册　 ·怎么上传