SSL VPN应用安全与网络安全的完美结合

10/12/2007来源:安全在线人气:5267

  1、SSL VPN概述

  虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,即通过私有的隧道技术在公共数据网络上仿真一条点到点的专线。目前,ipSEC隧道是组建虚拟专用网最常用的技术,即通常所说的IPSEC VPN技术。

  IPSEC VPN技术

  是网络层的VPN技术,它独立于应用程序,以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSEC建立加密隧道后,就可以实现各种类型的连接,如Web、电子邮件、文件传输、VoIP等,每个传输直接对应到VPN网关之后的相关服务器上。IPSEC是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议,对应用层协议完全透明,这是IPSEC VPN的最大优点之所在。但是随着VPN应用的越来越广泛,IPSEC VPN的缺点也逐渐的显现出来:

  其一,IPSEC VPN配置部署复杂,需要专门的客户端软件,而且不同提供商之间的设备很难完全兼容。

  其二,网络适应性不佳,由于是IP层的协议,对于防火墙等访问控制设备不透明,对网络地址转换(NAT)和应用代理(PRoxy)等穿透性差。

  其三,应用层安全性不好。最多只能提供IP地址和传输层端口这种粒度的访问控制,对应用层协议的细粒度强访问控制无能为力,更谈不上入侵检测与防御、防病毒、抗攻击等深层次的安全功能。

  SSL VPN技术

  SSL VPN指的是基于安全套接层协议(Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术,其应用随着Web的普及和电子商务、远程办公的兴起而发展迅速。

  SSL协议主要是由SSL记录协议和握手协议组成,它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议相对于IPSEC协议体系中的IKE(互联网密钥交换协议)协议,主要是用于服务器和客户之间的相互认证,协商加密算法和MAC(Message Authentication Code-消息认证码)算法,用于生成在SSL记录协议中使用的加密和认证密钥。SSL记录协议是为各种应用协议提供基本的安全服务,类似于IPSEC的传输模式,应用程序消息参照MTU(最大传输单元)被分割成可管理的数据块(可进行数据压缩处理),并产生一个MAC信息,加密后插入新的报头,最后在TCP中加以传输;接收端将收到的数据解密,做身份验证(MAC认证)、解压缩、重组数据报然后交给应

  用协议进行处理。实际上就是在应用层和传输层之间加入了一个数据处理层,和传统的网络套接字模型在同一层次,这也就是安全套接层的由来。

  SSL VPN和IPSEC VPN技术的对比

  SSL VPN与IPSEC VPN相比主要有以下优点:

  其一,简单灵活。在SSL VPN的架构下,不需要在客户端安装软件,用户只要使用浏览器进行安全Web访问(https)即可。这样只要是任何装有浏览器的装置,例如可以支持Web的手机或PDA,都可以应用SSL VPN做加密保护。而且对于大多数的操作系统,只要可以支持标准的浏览器,不论是Windows、Mackintosh、Unix或是linux,都可以通过SSL VPN做加密保护。

  其二,对网络设备透明。由于是在传输层之上进行安全处理,不存在穿越NAT等防火墙设备的问题。

  其三,应用层安全性高。在应用层建立的通道可以防止病毒、蠕虫等经由网络层传输的威胁。另外,由于SSL VPN还可以起到代理服务器的作用,所有客户端的访问都是由SSL VPN网关转发,而不能直接访问应用服务器,从而使服务器

  不易受到病毒、黑客等攻击,而且还可以提供细粒度的强访问控制和日志审计。如果远程用户以IPSEC VPN的方式与公司内部网络建立联机,内部网络所连接的应用系统,都可能暴露给黑客攻击。若采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易探测出应用系统内部的网络机制,所受到的威胁也仅是所联机的应用系统,攻击机会相对减少许多。