微軟表示計(jì)劃在3/4月份推出的LH Beta3和Vista SP1 Beta中加入SSTP的Beta Release�？磥�(lái)只有等Longhorn Server定型了，Vista才算是完整了吧，特別是Bussiniss這個(gè)版本。像殺毒市場(chǎng)進(jìn)軍一樣,讓VPN的生存廠商難以生存吧.目前國(guó)內(nèi)VPN廠商,還未有幾個(gè)建立起這樣的危機(jī)意識(shí)，安全意識(shí)值得我們反思。
在即將到來(lái)的Windows Longhron Server Beta3以及Windows Vista SP1中，針對(duì)遠(yuǎn)程訪問(wèn)中的VPN 連接，微軟將提供一個(gè)新的協(xié)議，稱為SSTP（Secure Socket Tunneling Protocol，安全套接字隧道協(xié)議）。這個(gè)協(xié)議將用來(lái)替代PPTP和L2TP 協(xié)議，以提高VPN訪問(wèn)的靈活性，不過(guò)SSTP還不是一個(gè)標(biāo)準(zhǔn)，將來(lái)肯定還有一段路需要走。
SSL VPN 定義
SSL協(xié)議是由SSL記錄協(xié)議、握手協(xié)議、密鑰更改協(xié)議和告警協(xié)議組成，它們共同為應(yīng)用訪問(wèn)連接提供認(rèn)證、加密和防篡改功能。SSL握手協(xié)議主 要是用于服務(wù)器和客戶之間的相互認(rèn)證，協(xié)商加密算法和MAC(Message Authentication Code)算法，用于生成在SSL記錄中發(fā)送的加密密鑰。 SSL記錄協(xié)議是為各種高層協(xié)議提供基本的安全服務(wù)，其工作機(jī)制如下：應(yīng)用程序消息被分割成可管理的數(shù)據(jù)塊(可以選擇壓縮數(shù)據(jù))，并產(chǎn)生一 個(gè)MAC信息，加密，插入新的文件頭，最后在TCP中加以傳輸；接收端將收到的數(shù)據(jù)解密，做身份驗(yàn)證、解壓縮、重組數(shù)據(jù)報(bào)然后交給高層應(yīng)用 進(jìn)行處理。SSL密鑰更改協(xié)議是由一條消息組成，其作用是把未定狀態(tài)拷貝為當(dāng)前狀態(tài)，更新用于當(dāng)前連接的密鑰組。SSL警告協(xié)議主要是用于 為對(duì)等實(shí)體傳遞與SSL相關(guān)的告警信息，包括警告、嚴(yán)重和重大等三類不同級(jí)別的告警信息。
作為應(yīng)用層協(xié)議，SSL使用公開(kāi)密鑰體制和X.509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性。SSL安全功能組件包括三部分：認(rèn)證(在連 接兩端對(duì)服務(wù)器或同時(shí)對(duì)服務(wù)器和客戶端進(jìn)行驗(yàn)證)，加密(對(duì)通信進(jìn)行加密，只有經(jīng)過(guò)加密的雙方才能交換信息并相互識(shí)別)，完整性檢驗(yàn)(進(jìn) 行信息內(nèi)容檢測(cè)，防止被篡改)。保證通信進(jìn)程安全的關(guān)鍵步驟就是對(duì)通信雙方進(jìn)行認(rèn)證，SSL握手協(xié)議負(fù)責(zé)這一進(jìn)程的處理，圖1描述了SSL握 手協(xié)議的消息流程。

圖1 SSL握手協(xié)議的消息流程

SSL VPN技術(shù)特點(diǎn)
IPSec VPN和SSL VPN是兩種不同的VPN架構(gòu)，IPSec VPN是工作在網(wǎng)絡(luò)層的，提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信，而SSL VPN 是工作在應(yīng)用層(基于HTTP協(xié)議)和TCP層之間的，從整體的安全等級(jí)來(lái)看，兩者都能夠提供安全的遠(yuǎn)程接入。但是，IPSec VPN技術(shù)是被設(shè)計(jì)用 于連接和保護(hù)在信任網(wǎng)絡(luò)中的數(shù)據(jù)流，因此更適合為不同的網(wǎng)絡(luò)提供通信安全保障，而SSL VPN因?yàn)橐韵碌募夹g(shù)特點(diǎn)則更適合應(yīng)用于遠(yuǎn)程分散移 動(dòng)用戶的安全接入。
(1)客戶端支撐維護(hù)簡(jiǎn)單
對(duì)于大多數(shù)執(zhí)行基于SSL協(xié)議的遠(yuǎn)程訪問(wèn)是不需要在遠(yuǎn)程客戶端設(shè)備上安裝軟件，只需通過(guò)標(biāo)準(zhǔn)的Web瀏覽器連接因特網(wǎng)，即可以通過(guò)網(wǎng)頁(yè)訪問(wèn) 到企業(yè)內(nèi)部的網(wǎng)絡(luò)資源。
(2)提供增強(qiáng)的遠(yuǎn)程安全接入功能
SSL VPN提供安全、可代理連接。通常SSL VPN的實(shí)現(xiàn)方式是在企業(yè)的防火墻后面放置一個(gè)SSL代理服務(wù)器。如果用戶希望安全地連接到公司 網(wǎng)絡(luò)上，那么當(dāng)用戶在瀏覽器上輸入一個(gè)URL后，連接將被SSL代理服務(wù)器取得，并驗(yàn)證該用戶的身份，然后SSL代理服務(wù)器將連接映射到不同的 應(yīng)用服務(wù)器上。
(3)提供更細(xì)粒度的訪問(wèn)控制
SSL VPN能對(duì)加密隧道進(jìn)行細(xì)分，使終端用戶能夠同時(shí)接入Internet和訪問(wèn)內(nèi)部企業(yè)網(wǎng)資源。另外，SSL VPN還能細(xì)化接入控制功能，提供 用戶級(jí)別的鑒權(quán)，依據(jù)安全策略確保只有授權(quán)的用戶才能夠訪問(wèn)特定的內(nèi)部網(wǎng)絡(luò)資源，這種精確的接入控制功能對(duì)遠(yuǎn)程接入IPSec VPN來(lái)說(shuō)幾乎 是不可能實(shí)現(xiàn)的。
(4)能夠穿越NAT和防火墻設(shè)備
SSL VPN工作在傳輸層之上，因而能夠遍歷所有NAT設(shè)備和防火墻設(shè)備，這使得用戶能夠從任何地方遠(yuǎn)程接入到公司的內(nèi)部網(wǎng)絡(luò)。
(5)能夠較好地抵御外部系統(tǒng)和病毒攻擊
SSL是一個(gè)安全協(xié)議，數(shù)據(jù)是全程加密傳輸?shù)�。另外，由于SSL網(wǎng)關(guān)隔離了內(nèi)網(wǎng)服務(wù)器和客戶端，只留下一個(gè)Web瀏覽接口，客戶端的大多數(shù) 木馬病毒感染不到內(nèi)網(wǎng)服務(wù)器。
(6)網(wǎng)絡(luò)部署靈活方便
SSL VPN一般部署在內(nèi)網(wǎng)中防火墻之后，可以隨時(shí)根據(jù)需要，添加需要VPN保護(hù)的服務(wù)器，因此無(wú)需影響原有網(wǎng)絡(luò)結(jié)構(gòu)。
然而SSL VPN技術(shù)也存在一些不足，如認(rèn)證方式比較單一，只能夠采用證書(shū)，而且一般是單向認(rèn)證，SSL VPN用戶只能訪問(wèn)基于Web服務(wù)器的 應(yīng)用， SSL VPN只對(duì)通信雙方的某個(gè)應(yīng)用通道進(jìn)行加密，而不是對(duì)在通信雙方的主機(jī)之間的整個(gè)通道進(jìn)行加密；SSL VPN是應(yīng)用層加密，性能相 對(duì)來(lái)說(shuō)可能會(huì)受到較大影響。此外，SSL VPN主要適用于點(diǎn)到點(diǎn)的信息加密傳輸，客戶端到站點(diǎn)的遠(yuǎn)程訪問(wèn)連接。如果要實(shí)現(xiàn)網(wǎng)絡(luò)到網(wǎng)絡(luò)的安全 互聯(lián)，只能考慮采用IPSec VPN。
SSL VPN的實(shí)際應(yīng)用
SSL VPN在實(shí)際應(yīng)用中就是要依據(jù)安全控制策略為分散移動(dòng)用戶提供從外網(wǎng)訪問(wèn)企業(yè)內(nèi)網(wǎng)資源的安全訪問(wèn)通道。通常企業(yè)內(nèi)部的資源服務(wù)器 向外網(wǎng)用戶提供一個(gè)虛擬的URL地址，當(dāng)用戶從外網(wǎng)訪問(wèn)企業(yè)內(nèi)網(wǎng)資源時(shí)，發(fā)起的連接被SSL VPN網(wǎng)關(guān)取得，通過(guò)認(rèn)證后映射到不同的應(yīng)用服務(wù) 器，采用這種方式能夠屏蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，不易遭受來(lái)自外部的攻擊。對(duì)于SSL VPN的網(wǎng)關(guān)設(shè)備應(yīng)當(dāng)從三個(gè)基本層面來(lái)滿足不同的應(yīng)用需求：
(1)支持Web方式的應(yīng)用：例如通過(guò)SSL VPN建立的安全通道訪問(wèn)基于Web的電子郵件系統(tǒng)收發(fā)郵件。
(2)支持非Web方式的應(yīng)用：例如終端用戶想要實(shí)現(xiàn)非Web頁(yè)面的文件共享，那么SSL VPN網(wǎng)關(guān)必須將與內(nèi)網(wǎng)FTP服務(wù)器的通信內(nèi)容轉(zhuǎn)化為 HTTPS協(xié)議和HTML格式發(fā)往客戶端，使終端用戶感覺(jué)這些應(yīng)用就是一些基于Web的應(yīng)用。
(3)支持基于客戶/服務(wù)器應(yīng)用的代理：這種應(yīng)用需要在終端系統(tǒng)上運(yùn)行一個(gè)非常小的Java或ActiveX程序作為端口轉(zhuǎn)發(fā)器，監(jiān)聽(tīng)某個(gè)端口上 的連接。當(dāng)數(shù)據(jù)包進(jìn)入這個(gè)端口時(shí)，它們通過(guò)SSL連接中的隧道被傳送到SSL VPN網(wǎng)關(guān)中，SSL VPN網(wǎng)關(guān)解開(kāi)封裝的數(shù)據(jù)包，將它們轉(zhuǎn)發(fā)給目的應(yīng) 用服務(wù)器。
對(duì)于一個(gè)企業(yè)來(lái)說(shuō)不僅提供基于Web的應(yīng)用，也同時(shí)提供大量不基于Web的應(yīng)用，如OA、財(cái)務(wù)、銷售管理、ERP等應(yīng)用。在現(xiàn)階段，SSL VPN 只能訪問(wèn)基于Web的應(yīng)用，而IPSec VPN卻幾乎可以為所有的應(yīng)用提供訪問(wèn)。對(duì)于用戶來(lái)說(shuō)，理想的方式是將SSL VPN和IPSec VPN結(jié)合起來(lái)使用 。一方面為數(shù)量有限的用戶提供IPSec VPN連接，使其能夠訪問(wèn)企業(yè)內(nèi)網(wǎng)的所有資源；另一方面為多數(shù)用戶提供SSL VPN連接，使其可以訪問(wèn)基 于Web的企業(yè)應(yīng)用。
結(jié)束語(yǔ)：隨著企業(yè)信息化程度的加深，遠(yuǎn)程安全訪問(wèn)、協(xié)同工作的需求會(huì)日益明顯，SSL VPN由于其自身的技術(shù)優(yōu)勢(shì)，勢(shì)必將成為企業(yè)用戶遠(yuǎn)程安全 接入的首選方式，并且將與IPSec VPN技術(shù)一同為企業(yè)提供一個(gè)安全的遠(yuǎn)程接入平臺(tái)。國(guó)內(nèi)VPN廠商只有跟進(jìn)時(shí)代的步伐，集精華于一身，才能占領(lǐng)市場(chǎng)。

標(biāo)簽： ftp服務(wù)器 ssl ssl vpn ssl連接 web服務(wù)器 安全 代理服務(wù)器 電子郵件 防火墻 防火墻設(shè)備 服務(wù)器 通信 網(wǎng)絡(luò) 信息化 應(yīng)用服務(wù)器

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。