什么是 VPN 什么是 SSL VPN?
虚拟专用网 (VPN) 是通过一个互联网建立一个临时的、安全的连接,是一条穿过公用网络到企业内部网的安全、稳定的通信隧道。虚拟专用网是对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
目前 VPN 产品中主要分 IPSec VPN 和 SSL VPN 两大类, IPSec VPN 是指采用 IPSec 安全技术标准的 VPN 设备,而 SSL VPN 指采用 SSL 协议来加密 IP 数据链路实现 远程接入 的一种新型 VPN 技术。 由于 SSL 协议广泛内置于 IE 等各种浏览器中,使用 SSL 协议进行认证和数据加密的 SSL VPN 与传统的 IPSec VPN 相比, SSL VPN 具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的 VPN 之间的差别就类似客户端 / 服务器端 (C/S) 应用构架和浏览器 / 服务器端 (B/S) 应用构架的区别。
具体来讲, SSL VPN 与 IPSec VPN 相比有如下4大明显的技术优势:
(1) SSL VPN 比 IPSec VPN 部署和管理成本更低: IPSec VPN 最大的难点在于客户端需要安装复杂的软件,而且当用户的 VPN 策略稍微有所改变时, VPN 的管理难度将呈几何级数增长。 SSL VPN 则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的 SSL 安全加密协议,安全地访问网络中的信息。
(2) SSL VPN 比 IPSec VPN 更安全 : SSL VPN 只需要开放 443 端口,而 IP Sec VPN 需要根据不同的应用开放不同的端口,而且是等于直接物理访问内部网络,会因为外部接入点的不安全而影响到内网的安全。
(3) SSL VPN 比 IPSec VPN 有更好可扩展性 : IPSec VPN 在部署时一般放置在网络网关处, SSL VPN 一般部署在内网中任一节点处, IPSec VPN 的可扩展性比较差。
(4) SSL VPN 在访问控制方面比 IPSec VPN 有更细粒度 : IPSec VPN 部署在网络层,可以访问整个内部网;而 SSL VPN 则在应用层,可以控制用户访问不同的应用系统和不同的数据,具有更细的控制度。
一般而言, SSL VPN 必须满足最基本的两个要求:
(1) 必须使用 SSL 协议进行认证和加密;没有采用 SSL 协议的 VPN 产品自然不能称为 SSL VPN 。而且必须采用 128 位或以上密钥长度加密,否则会由于加密强度不够而形同虚设;
(2) 一般来讲,访问 SSL VPN 直接使用浏览器就能登录到内部网管理系统,无需安装独立的客户端。如果采用专用 VPN 客户端软件,则一定要确保使用了 https 方式实现 VPN 访问。
SSL VPN的4种常见部署方式如下图所示: