|
ssl vpn作为一项近两年发展起来的新技术,由于其无须安装客户端的便捷性和因此大幅降低的实施管理成本,在国内外得到了迅速的应用和发展。与ipsec vpn相比,ssl vpn更加适用于客户端单机接入中心网络的应用要求(如移动办公),而ipsec vpn则适用于两个网络之间构建安全通道。 目前阻碍ssl vpn在国内普及应用的因素,主要有以下三个方面: 一、用户对ssl vpn安全性仍有疑虑 ipsec vpn的每个客户端都必须安装ipsec客户端软件、并有多种身份认证和数据加密方式,技术成熟、安全性得到了实际应用的证明。而ssl vpn首先就打破了安装专用客户端的传统,倡导的是“随时随地移动接入”的新概念,甚至在公共场合(如网吧)、都能够利用ssl vpn访问内网资源。这些现象给用户带来了一定的困扰:ssl vpn足够安全吗? vpn系统的安全性主要包括三个层面:数据传输的安全、身份认证的安全、内网应用的安全。从协议上来说,ssl vpn采用标准的安全套接层(ssl)协议对传输中的数据包进行加密。ssl协议则是浏览器自带的,加密强度一般为128位,从应用的角度来说、完全能够满足数据传输层的安全需求。所有的ssl vpn产品在这一点上是相同的。 第二个层次是关于身份认证的安全。ssl vpn在这一点上也日趋成熟。以sinfor ssl vpn为例,采取了多重身份认证机制。1、用户名密码的校验;2、数字证书,并支持第三方的pki体系、能与ca中心集成;3、usb key的认证;4、动态短信发送密钥。这些认证方式可以有效的保障身份认证的安全。 对于内网应用的安全,其实ssl vpn更胜于ipsec vpn.对标准的ipsec vpn而言,并没有在内网安全上做进一步的要求,它只是打开了从分支到总部的通路、对于里面传什么数据是没有有效保证的。因此也造成了病毒在ipsec vpn内部跨网传播等一系列安全隐患。sinfor ipsec vpn为了解决该问题,提出了“内网权限管理”的概念、在ipsec vpn内部设定细致的内网访问权限,但并不是所有的ipsec vpn都做到了这一点。 ssl vpn则不同,它本来就是基于应用层的vpn.只有开放了的应用才允许使用、并没有给接入的用户不受限制的访问权限。因此,从安全性角度来分析,ssl vpn完全能够满足移动用户的接入安全需求。 ssl vpn最大的便利在于不需安装任何客户端,这也使得它在一些特殊终端(如支持浏览器的pda)、特殊场合(如不是使用自己电脑时、临时需要接入总部)具有ipsec vpn不可比拟的优势。如果移动用户使用的是自己的笔记本电脑、ssl vpn的优势则不那么明显。因为ipsec客户端也就是安装一次,配置也并不复杂。sinfor dkey的即插即用技术更做到了零配置。同时,对于用户来说往往不仅需要移动用户接入、还需要站点间的互联互通,如果需要用户部署两套设备(ipsec、ssl各一套),无疑增加了成本和管理的复杂性。因此,深信服科技创新性的提出了“ipsec/ssl二合一”的概念,在同一台设备中同时支持两种协议,便于客户规划整网的vpn.并且,ipsec和ssl客户端授权可由用户自行分配。例如客户购买了100个客户端授权,可自己定义多少个用于ipsec、多少个用于ssl,让用户在实际应用中选择最适合自己的vpn接入方式。 二、ssl vpn对多种应用的透明支持 在这一点上,很多外行的报道误导了用户。关于ssl vpn的介绍文章中,到处充斥着“ssl vpn只支持web应用”这样的字眼。这完全是混淆了ssl协议和ssl vpn的概念。ssl vpn之所以不需要安装任何客户端,就是因为用户终端中只要有浏览器、就一定会有ssl协议。ssl vpn就是用到了系统已有的ssl协议来构建安全的通道,但并不等于ssl vpn只支持web应用。 sinfor ssl vpn除了支持web应用之外,还能支持任何基于tcp的应用(如c/s应用软件)、支持windows网上邻居、ftp等多种应用,该技术的实现原理是将所有其他非web的应用进行重定向、在客户端将所有数据转入ssl协议通道传输,在中心端进行恢复和还原。sinfor ssl vpn近期进一步通过自主研发的iptunel协议、支持了udp应用,支持ping通,以实现对视频等更复杂应用的透明支持。对客户端来说,仍然不需安装任何客户端软件、只需在ssl用户登录时自动下载部分插件,保证了ssl vpn天然的易用性。 三、ssl vpn价格居高不下 ssl vpn和大多数it新技术一样,是从国外流传到中国的新技术。目前ssl vpn的产品仍然以国外厂商为主,国内自主研发的ssl vpn产品屈指可数、并且在技术上还没有形成普遍的突破。这是导致ssl vpn价格高昂的主要原因。而ipsec vpn由于技术成熟、普及时间长,国内厂商的进步等等,由市场将价格拉到了合适的水平。 深信服科技一贯坚持“高性价比”的定位,作为国内ssl vpn的排头兵、除了在技术上赶超国外品牌,同时通过不断的创新树立自身特色优势之外(深信服科技ssl vpn已经拥有了多线路自动选路、短信认证等发明专利和技术优势,并即将推出客户化定制页面、单点登录等多项优势功能),也要打破国外ssl vpn暴利的局面。目前,sinfor ssl vpn的出货量已经占到了深信服科技m系列产品的50%、已经在与国外厂商的多次较量中获胜,在政府(如北京朝阳区、石景山区移动办公项目,上海嘉定区移动办公项目)、教育(华南师范大学、浙江林学院等数十所高校)、集团用户(重庆力帆集团、上海交运集团、中石化国际公司等)和邮政、气象、金融等重要网络中得到了广泛应用。 为了进一步推动ssl vpn应用普及,让更多的用户享受到新技术带来的便利,深信服科技将在全部的m系列vpn产品中缺省配有ssl vpn模块,用户只需以购买ipsec vpn相同的价格、就可以同时拥有支持两种协议的vpn产品。而对所有的移动客户端授权,均可以由用户自主配置(例如用户购买了100个客户端授权,可以自己配置多少个用于ipsec、多少个用于ssl),我们坚信、国外ssl vpn产品的暴利时代必将很快结束,ssl vpn也必将成为广大用户买得起、用得好的安全基础设施。 |
