目前关于什么是SSL VPN的说法不一,也不乏有鱼目混珠的产品,打着SSL VPN的幌子欺骗用户。为帮助广大用户识别真假优劣,我们在此探讨一下“什么是真正的SSL VPN”。
从概念角度来说,SSL VPN即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、 SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中,使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。
一般而言,SSL VPN必须满足最基本的两个要求:
1.使用SSL 协议进行认证和加密;没有采用SSL 协议的VPN产品自然不能称为SSL VPN,其安全性也需要进一步考证。
2.直接使用浏览器完成操作,无需安装独立的客户端。即使使用了SSL 协议,但仍然需要分发和安装独立的VPN客户端 (如Open VPN)不能称为SSL VPN,否则就失去了SSL VPN易于部署,免维护的优点了。
随着技术的进步和客户需求的进一步成熟的推动,当前主流市场的SSL VPN和几年前面市的仅支持WEB访问的SSL VPN已经发生很大的变化。主要表现在:
1.对应用的支持更广泛。最早期的SSL VPN仅仅支持WEB应用。但目前几乎所有的SSL VPN都支持使用插件的形式、将TCP应用的数据重定向到SSL 隧道中,从而支持绝大部分基于TCP的应用。SSL VPN可以通过判断来自不同平台请求,从而自动安装不同的插件。
2.对网络的支持更加广泛。早期的SSL VPN还无法支持服务器和客户端间的双向访问以及UDP应用;更不支持给移动接入用户分配虚拟IP,从而实现按IP区分的安全审计功能。但现在多数优秀的 SSL VPN都能通过用户可选的客户端插件形式为终端用户分配虚拟IP,并通过SSL 隧道建立层三(Level 3)隧道,实现与传统IPSEC VPN客户端几乎一样强大的终端网络功能。
3.对终端的安全性要求更严格。原来的SSL VPN设计初衷是只要有浏览器就能接入,但随着间谍软件和钓鱼软件的威胁加大,在不安全的终端上接入内部网络,将可能造成重要信息从终端泄漏。因此很多 SSL VPN加入了客户端安全检查的功能:通过插件对终端操作系统版本,终端安全软件的部署情况进行检查,来判断其接入的权限。
以上这些不断创新的SSL VPN功能都需要插件支持,因此简单的通过判断是否安装有插件来判断是否是SSL VPN肯定是不正确的;那么又如何有效的选择优秀的SSL VPN产品呢?
1. 考察SSL 的真实性。有些厂商仅仅将TCP 数据做了简单的封装,或者把IPSEC VPN做些修改,将数据转发到443端口,便宣称自己是SSL VPN。鉴别这种伪SSL VPN,可以使用标准的HTTP流量测试工具如Loadrunner,Web bench,Avalanche等。如果能进行SSL 对接,并进行SSL负载测试的就是真正的SSL VPN。但是普通客户往往没有这个测试条件,因此建议在SSL VPN选型时购买经过第三方评测机构(如网络世界,赛迪评测等)评测过的产品。
2. 考察SSL VPN的可用性。SSL VPN的部署要支持客户的实际应用和未来的应用扩展。因此需要考虑选购的SSL VPN是否支持所有的B/S应用,C/S应用,甚至基于UDP,ICMP的IP应用,当然支持得越多越好。SSL VPN要支持各种网络环境,因此要对SSL VPN的穿透性进行考察,检查SSL VPN是否可以在NAT环境,Web代理环境,Socket代理环境下都能工作正常。SSL VPN最好能适应中国的各种跨运营商环境,如果在全国大范围内部署SSL VPN,则需要考察SSL VPN是否支持多ISP链路,是否支持选择最快接入线路的功能。
3. 考察SSL VPN的易用性。易用性的考察主要依赖于用户体验。除了考察管理员是否易于操作和掌握SSL VPN网关的使用,很重要的需要考察SSL VPN的终端是否易于使用和维护。在登录SSL VPN之前,终端不应该安装独立的客户端。SSL VPN的插件应该做到自动安装自动修复。用户登录SSL VPN不需要培训和指导就能进入应用。对于大规模的SSL VPN用户部署,应该要支持对统一用户认证数据的无缝支持,如域认证,Radius认证,目录服务认证等,这样可以避免在SSL VPN上维护大量用户。
4. 考察SSL VPN的安全性。如果是真实的SSL VPN,其安全性在很大程度上得到了SSL 协议的保证。更多的安全性主要体现在对多种认证的支持,除了通用的X509,PKI,Radius等认证外,最好能够提供更安全的USB KEY,动态令牌,一次性短信口令等较难复制盗用的认证方法。还有就是终端安全,主要包括对终端的Cookie清除,客户端安全检查等。
5. 考察SSL VPN的性能。SSL VPN的性能一定要满足用户目前的用户容量和未来几年内的用户扩展要求。SSL VPN最主要的性能指标是并发用户数和加密吞吐量。往往采购的SSL VPN的并发用户授权可以远小于真实的使用用户数量,因为大部分情况下,不是所有的用户都同时在使用SSL VPN的,一般而言,需要购买的授权数为实际使用用户1/4-1/3即可。因此,选购SSL VPN并非用户容量越多越好,因为大容量也意味着高价格,不要过于追求性能造成浪费。但也不能过于追求价格而忽视了未来的扩展。比如现在只有几十个并发用户,就暂时购买了最大容量才二十几个用户的设备。但是,一年后业务发展了,就不得不再更换设备,结果还是造成了浪费。
6. 考察SSL VPN的性价比。一般而言,同等价格获得越多的功能和性能,则性价比越高。但获得的更多功能和性能都应该是用户目前或未来1-2年内能够使用得到的,否则就无法体现其价值。另外,单一的SSL VPN无法解决所有互联需求和安全需求,比如SSL VPN就不能解决网对网的互联问题。因此需要多种安全和互联需求的用户,如果能在同等价格下,购买集成SSL ,IPSEC VPN和防火墙的一体化设备,将更加划算。