论文部分内容阅读
当远程用户、公司分支机构、商业伙伴及供应商需要与企业内部网建立安全通信时,一条穿过混乱的公用网络(通常是Internet)建立起来的临时、安全的连接技术(又称VPN 技术)便成为最强势的选择。
目前提供类似连接技术的方案多如牛毛,最经典的要数IPSec VPN 和SSL VPN 了,特别是后者,能够让用户随时随地甚至在移动中连入企业内网,在当今无线网络风起云涌、异地办公汹涌澎湃、移动商务铺天盖地的新IT时代,也可算是上乘佳作。本期就让我们共同了解一下,SSL VPN 到底是什么,它为用户们带来了什么商务便利,用户们又该如何正确选择适合自己的SSL VPN 解决方案。
一道未解的难题
企业拥有一套基于网络的办公系统已是再平常不过的事情了,人们用它发布信息和公告、传递信件等,也用它管理企业,比如进行项目管理、员工信息管理。
然而,正当用户在享受其种种方便之时,一种不可名状的苦涩又油然而生,它就如同美玉上的瑕疵,挥之不去。这苦涩到底意指的什么?我们走访了3位典型的企业用户,悟出了其中的无奈。
第一位用户阿平,国内知名IT 公司售前工程师
他说:“的确,我们的网络办公系统极大地方便了普通办公,但它也存在一些不足,最明显的就是,它只限于驻守在公司本地的员工使用,常出差在外或者暂不在企业本部的员工,就无缘用上这套系统。”
“我就是个例子,工作性质决定了我需要经常外出,为了帮助客户认识我们的产品,我总要携带大量的产品资料,有时到了客户处,还是会发现缺少更多详尽的资料或者信息,这时,身在外地的我,由于无法接入到我们公司内部网直接获取我所需要的内容,就只能通过E-mail,向同事求救,请同事把资料Down 下来,再转发给我。这样做很耽误时间,也容易被抢先的竞争对手抢走订单。更严重的问题是,用E-mail 传递关键资料,极易泄漏商业秘密。”
第二位用户,某金融投资公司信息主管陈先生
“金融投资管理是一个复杂的高风险行业,在企业运作过程中,网络及应用信息系统是维持其业务良性发展的关键资源之一。我们曾尝试着实施了一套CRM 管理系统,用于企业资产及项目评估、证券二级市场和相关金融投资管理的和行业信息的管理查询。但是,它一直没有正式投入使用,因为企业没有把这套系统在 Internet 上开放。
事实上,我们的分公司及子公司,都非常希望能够通过Internet以Web方式浏览到内部信息(包括内部证卷交易作业平台、上市公司的资产评估报告和行业投资分析报告等)。但出于安全考虑,不敢轻易将它放在Internet 上。”
第三位用户,北京某知名服务公司技术经理王女士
“我们公司是北京规模比较大的技术服务型公司,目前着手将新开发的ERP应用软件放到内部网上,并向其全国范围的分支机构以及区域销售渠道和经销商组织开放。但是,公司拥有办事处、代理和销售渠道众多,遍布大江南北,我们希望能够提供一个安全登录访问的方案,在这个方案中,这些外部用户可以在全国任何一个地方都可以对ERP 商用应用程序进行安全的登录和访问。于是,我们选用了IPSec VPN 方案。但是实际使用效果并不理想。比如,在有些地域,IPSec VPN 的实施需要对防火墙的配置进行大量的改动;而在另外一些地方,使用者根本无法决定其接入Internet 的方式,也无法对其使用的IT 网络基础设施进行控制。”
“我们追求的理想境界是员工可以在异地进入基于Web 的应用程序和数据库,访问公司资源,获得产品的最新信息,以及价格变化和市场计划等;同时,商业合作伙伴可以访问我们的企业网(extranet),以便协作共享资源,如技术支持、产品定购等等。”
表面上看,3个用户3个需求,细想一下,本质上是同一个无奈,同一个核心问题,即如何通过Internet 安全而方便地远程访问企业内部信息。
这并不是一个刚刚出现的企业信息化难题。第三位用户似乎打了个擦边球,差点儿解决了难题,她购买的IPSec 技术可以实现安全的远程访问,只是接入不够方便。
到底有没有真正的答案呢?
有,那就是SSL VPN,一种不同于 IPSec VPN 的加密隧道技术。
一条安全的隧道
缘何SSL?
Internet 是一个开放网络,任何人都可以运用它来传输资料,相对地,任何人也都有机会拦截上面传输的资料。因此,对于企业来说,在Internet 上传输的任何资料,必须加密,以避免任何机密泄漏。用什么加密呢?在浏览器与Web 服务器之间的通信协议太多了,但应用最广泛的是 SSL(Secure Socket Layer,安全套接字协议层),因为SSL提供了最稳定和最兼容的加密架构。
SSL是一个介于HTTP协议与TCP之间的一个可选层协议(如图1所示),这种协议在设计之初主要用于Web 数据的安全传输(通常称为HTTPS)。
S S L 通过加密数据让数据能够在 Internet 上从客户端浏览器上安全地传送到服务器端,而且,这种加密是在数据在到达Internet 之前进行的。
每建立一个 SSL连接,客户端和服务器都需要通过交换取得信任,并协商安全参数。如果服务器接受了来自客户端的信任请求,则建立了一个连接,然后,客户端和服务器端进一步协商,确定双方知道的会话密钥,对后来的所有通信进行加密。
缘何SSL VPN?
虽然SSL可以让数据安全地从一端传输到另一端,但是它只负责加密,不管安全数据是否能够传输到企业的内部网络中。而企业通常不仅需要数据是安全的,还需要数据能够到达指定的内部网,以保证与企业内部信息交流的方便性和实时性。这时候,光有SSL 就不够了,还必须借助VPN 的力量。
VPN 是什么呢? VPN 是一个虚拟的通道,它可以将2 个不同的内部网络(一般是企业不同分支机构或合作伙伴的内部网络),安全、机密及可靠地连接在一起。上述提及的第三位用户王女士所在公司,便利用VPN 把总部网络与分布在其他地域的分支机构网络通过Internet 连接在一起。
在SSL 基础之上建立的VPN 被称为 SSL VPN,其作用与SSL 类似,也是客户端浏览器利用SSL技术加密访问请求,并发送到SSL VPN网关,网关将接收到的加密信息解密后再转发到真正需要访问的企业网中的Web服务器,从而在Internet 上形成一个客户端到SSL VPN网关之间的加密隧道。
这样看来,SSL VPN可以理解为专为 Web应用量身定做的、建立在应用层上的数据安全访问技术。
此VPN 非彼VPN
如前所述,第三位用户王女士用的也是VPN技术,为什么她认为不利于服务业务的发展呢?
她所用的VPN技术是基于IPSec协议的IPSec VPN,它需要在每台远程使用者的计算机上安装客户端软件,而且配置起来相当繁杂。任何一个在外移动的用户想连接到企业内网,必须现场安装客户端软件,而且要求该用户具备一定的计算机专业技能,否则无法完成配置工作。
SSL VPN 则不然,它提供了非常安全、实用又简单的、基于应用层的远程接入VPN解决方法。基于应用层上的连接意味着(和IPSec VPN 比较),SSL VPN 更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec VPN难以做到的)。另外,SSL VPN经常被称为“无客户端”VPN,它除了在服务器端需要安装SSL VPN网关外,在客户端只需要支持以SSL为基础的HTTPS浏览器即可。目前,大多数计算机操作系统里,都预装有这样的Web 浏览器(常见的有Microsoft I n t e r n e t E x p l o r e r 和N e t s c a p e Communicator)。无论用户身处何处,只要能登录Web,就可以经SSL VPN访问企业内部资源。
由此可见,前面3位用户遇到的问题,都可以通SSL VPN 解决。阿平就不用说了,只要公司运用了SSL VPN 技术,无论在酒店,还是在网吧,甚至在街上,也无论是通过笔记本电脑、网吧电脑,甚至是 PDA,他都可随时随地地使用浏览器来安全访问企业内部信息网数据,填表格啦,索取内部资料啦,全都不在话下。陈先生也一样,他的困惑是因为没有找到安全可靠又配置简单实施维护工作量小的解决方案,而不敢把新建成的、完整的信息管理系统在Internet 上开放。SSL VPN 技术的出现,恰恰可以满足他的这种既安全又实施维护简单的需要。王女士由于不满意 IPSec VPN接入方式的复杂,而郁闷寡欢,如果运用了SSL VPN 方案,将其与IPSec VPN优势互补,相信她与同事们会将公司主业服务做得“更上一层楼”。
SSL VPN除了拥有接入安全简单这个最为显著和优势的特点外,它的部署也非常方便。SSL VPN通常安装在防火墙和服务器之间,如果以透明方式运行,除了在防火墙上简单地开放所需要的HTTPS 443 端口外,无须对原有网络再做任何变动;也无须像IPSec VPN那样考虑网络中间的 NAT设备,以及客户端的各种接入方式等等。
轻松巧配置
当然,作为管理员,还是有一项重要工作做,那就是对SSL VPN网关本身的配置。
首先,需要添加Web应用和站点,即在网关上配置用户可以访问的Web站点、 Web应用、文件以及终端服务等等(用户通过终端服务可以登录到提供终端服务的计算机);
然后管理员需要添加用户和配置用户的认证方式。这一步可以结合企业已有的认证方式进行配置,如采用证书认证、 Radius 认证或者结合Windows 的用户认证,甚至于采用简单的用户名/口令认证。
当一切都配置完毕后,用户就可以通过SSL VPN 对企业内网Web 应用进行访问了。
如上述第一位用户阿平所在的企业,只需要在企业网与互联网接口处部署SSL VPN网关,同时进行必要的资源和用户设置,阿平就可以通过CRM 服务查询客户信息,也可以通过Mail 服务收发电子信件。操作方法也非常简单,阿平只需要向访问一般网站那样访问SSL VPN网关对外提供的网址,如http://www.iccw.com.cn,然后在系统的提示下键入用户名和密码即可。如果通过系统验证,网关就会在浏览器上反馈回当前用户可以访问的企业网内部所有Web 应用和Web 站点,阿平再点击一下相应的链接,就可以进行访问了。比如,点击E-mail 进行收发邮件,点击私有文件夹访问自己的数据资料,也可以点击内部办公网进行网上报销,剩下的一切就像他在企业内部办公时做的一样简单了。
事实上,SSL VPN网关就是企业内部的一个门户网站,只要通过了用户验证,进了这个“门”,用户就可以安全、机密地访问网管给他定制的各种资源和服务了,像E-mail、资源预定网和信息查询网等等,所有的信息都是在Internet 上加密传输的,保证了信息的安全性。
综上所述,SSL VPN非常适合于那些需要避免复杂的配置、对现有网络的改动少且拥有大量的移动用户的客户。SSL VPN 可以方便地让用户在任何3A 场合 (Anytime、Anywhere、Anyone)访问服务器,获得所需要的资源(如图2 所示)。
一个明智的选择
选择SSL VPN产品应该根据实际的应用环境选择合适的产品,在产品特性上尤其要关注以下4 点。
考量模式和应用
由于SSL是一种应用层技术,从本质上决定了它无法做到应用透明,也就是说它支持的应用是有限制的。
当然,SSL VPN 最基本的还是支持 Web站点和应用的安全访问,这就是我们通常所讲的无客户端运行模式。SSL VPN 代理的是服务器端的信息,即代替服务器接受客户端的访问,而通常的代理服务器则是代替客户端去访问服务器。在这种模式下,SSL VPN网关在Web站点之前接收用户使用浏览器发来的请求,进行解密并将请求转发到Web 站点,接收到Web 站点返回信息后再加密通过SSL通道送到用户端。
与保护内网Web站点类似,SSL VPN 还有一种无客户端应用模式,它可以用来保护Web应用,管理员可以为多个Web应用建立公用的入口界面,也可以给不同的用户分配不同的可用资源,在用户登录后的入口界面显示不同的链接。这种模式通常被称为“端口转发”模式,这种模式可以解决那些使用TCP 协议并只占用一个端口的应用。这种模式下用户通常需要从网关下载端口转发的插件,插件运行在浏览器当中,接收应用程序发来的请求。使用这种模式时,应用程序需要将访问的服务器地址设为本地地址“127.0.0.1”,插件将接收到的应用程序访问信息整理加密后送到SSL VPN 网关解密转发到真正的服务器,从而达到客户端安全访问的目的。
SSL VPN 的第3种应用模式则不属于“无客户端”模式,它需要在客户端安装一个客户端安全代理,通常是一个利用SSL加密的Socks代理。这种应用主要是为了满足那些可以使用Socks代理的TCP和UDP 的Client/Server 应用程序需求。
不同的SSL VPN 可能支持的应用模式不同,或者名称不同,但其功能和原理不外乎以上3 种。第1 种模式不需要用户进行任何额外的配置,极易使用;第2 种模式需要简单更改客户端地应用程序所访问的服务器地址,使用也非常方便;第3 种模式稍显复杂,但是可以满足用户C/S 应用的访问需求。
管理认证和权限
通常情况下SSL VPN 应该支持本地认证方式和证书认证方式,也可以使用 LDAP服务或者RAIDUS 认证,甚至可以和NTLM进行结合,实现Windows的域认证。现在有许多访问管理解决方案,但是绝大部分还在使用的是基于口令密码的验证机制。这种机制有很大的弊端:容易被猜测;可以被共享;密码以明文的方式经过网络传输,容易被截获。
部分SSL VPN 厂商选择保存有密钥或者数字证书的USB Key作为身份认证的凭证,无疑是一种非常安全和易于使用的方案。
作为用户,应该根据自己的实际情况最好选择能和企业已有的认证系统很好结合而且安全易用的产品。如果无法利用已有的认证系统,而是重新建置一套新的安全认证机制,并且与现有的系统环境和网络架构完全兼容,往往需要耗掉许多精力才能够架构完成,并且还要经过一段长时间的系统调整,这样实在不符合时间成本的效益。
很多人都有这样的经历:当使用公司内部不同的应用系统时,需要输入不同的 “用户名+ 口令”,资源预定系统一个口令、Outlook 一个口令、销售系统又一个口令,很麻烦。因为需要在不同的Web服务器上进行不同的授权管理,管理员也倍感疲惫。而对最终用户而言,希望有一种权限登录方案即可,对网络管理员而言,也只想拥有一种集中式的权限管理验证系统。相对于依赖各自不同的验证机制的应用程序而言,集中式的验证管理更有优势。现在部分SSL VPN 都具有这种功能,可以让用户访问不同的网站只需要一次登录,一次认证,可以有效降低管理负担和方便使用。
重视性能和参数
SSL VPN 性能参数主要包括会话速率、转发速率及同时在线用户数等几项。
会话速率指其每秒钟可以建立和终止的SSL会话数目(会话可以理解为客户端到网关的一次连接,即浏览器的一次Web 页面访问)。由于SSL 会话和HTTP 协议是基于连接的,因此这个参数很大程度上决定了用户能够体验到的连接速度。通常,达到100 左右数值的会话速率,一般可以满足大部分用户的应用需求。
转发速率指SSL VPN网关到底有多快,它最快可以在每秒钟内转发多少数据流量,这项数据通常在300Mbps 以下。显然,在会话数不同的时候,转发速率也是不同的,这里指的是在不同会话数时最快的转发速率。用户应根据自己的实际需要加以选择。同时在线用户数也是一个非常重要的参数,即同一时间 SSL VPN 所能保持的会话数目,它通常在几百到几千之间,同时在线用户越多,每位用户所感受到的速度越慢。为了提高性能,几乎所有的SSL VPN 都含有高性能的SSL加速卡来帮助完成SSL连接所需要的公钥计算。
同时在线用户数指同时通过S S L VPN 来访问内部网的用户数目。
权衡自身安全性
由于SSL使用的是TCP协议,因此其产品检测和抵御DoS(拒绝服务)攻击的能力就显得非常重要。每种产品都应该针对DoS攻击进行特定设计,这里使用者应该特别关注第三方机构的测试结果。
另外,SSL VPN应该能够实时控制和监视远程用户的访问和行为,并有详细的日志记录。不同的SSL VPN产品具有不同的安全特色,如有的SSL VPN具有相当的防火墙功能,有的则集成在防火墙里,有的还具有防病毒功能,甚至个别厂商的产品可以通过运行浏览器下载的一个Java Applet对客户端的安全性进行扫描,检查客户端开放的端口、接入时的安全状态,以判断客户端的安全性,及是否接受客户端的访问、授予他合适的权利。
现在大多数用户使用的都是IE 浏览器,其初始的配置存在一些安全隐患,因此不少网关还可以帮助用户更好地设置IE 或者修复被病毒入侵修改的IE,从而增强客户端的安全性。如安全浏览器退出,在用户离开的时候,删除用户的所有信息痕迹,如缓存信息,临时文件、Cookie等等。这些功能在用户使用的是公用场所的计算机时显得尤为宝贵,它可以有效地防止用户使用后遗留信息造成的泄密,如用户可能会忘记关闭浏览器,也有可能会在无意间让IE 浏览器临时保存了一些机密信息,如访问的网址,输入的用户名、口令,下载的文件资料等等。
一项完善的方案
在上述几点选购注意事项的指导下,用户们结合自己的实际需要,参考以下几款国内流行的SSL VPN 方案,最终作出合理的选择。
诺基亚NSAS 解决方案
诺基亚安全接入系统Nokia Secure Access System(NSAS)即是SSL 远程接入解决方案,它是一个单一的、工作于防火墙之后的硬件设备。NSAS 具有两大与众不同之处,一是采用先进的接入控制技术。NSAS 不仅仅是一个基于SSL 的VPN 解决方案,它还是一个采用了比一般的 SSL VPN更高明技术的方案——基于连接状态的安全接入控制。通常的SSL VPN只为特定用户设定权限,但不能根据客户端状况发放访问权限,而NSAS却能够透过诺基亚完整性扫描和数字证书的出示,辨别用户身份、所采用的通信工具、接入时的安全状况(比如是否安装了防毒软件等),自动调整用户的接入权限。如果用户得到完全信任,则开放所有访问权限;如果身份被认可而安全性证明不足,则只开放邮件系统。可以说,客户端完整性扫描是NSAS独有的技术,它可以让网管监测到远端用户是否使用系统规定的安全产品(如防毒或防火墙等),也可以帮助网管判断远端用户机是否为其他计算机所控制及属于何种接入设备等。
NSAS的另一个独特性质是具有持续性会话(Session Persistence)功能。当用户的SSL 会话因没有话务活动而超时后,允许用户进行恢复工作,以避免数据丢失,并使用户对话不出现中断。
彩虹天地NetSwift iGate解决方案
彩虹天地SSL VPN 方案又称“一站式”Web安全解决方案,它通过USB硬件密钥的方式来加强客户端的身份认证功能。
NetSwift iGate由硬件和软件2部分组成:硬件是指标准1U(或2U)设备iGate 和iKey密钥,前者工作于防火墙和后端服务器之间,从客户端到iGate 采用SSL 协议加密,而iGate 与服务器间的通信使用标准Http协议,它内置10/100/1000Mbps 自适应网卡,使用R a i n b o w 特有的 CryptoSwift SSL加速卡完成SSL加解密工作;后者用于客户端登录,用户只要将它插入客户机,通过iKey+PIN码的双因素认证方式,即可将信息安全地传递到iGate,由iGate将其解密后以Https协议传递到后端服务器,而从服务器返回的信息再由 iGate 加密后传递到客户端。软件是指内置在硬件中的操作系统和管理软件,以及 ACM 访问控制管理工具及客户端软件(iKey 驱动和浏览器插件)。
NetSwift iGate 独特之处在于不仅针对网页或非网页应用程序进行保护,更能将SSL加密隧道结合独有的双因素身份认证来确认远程访问者的真实身份,避免口令泄露和黑客入侵等可能带来的损失。
北电网络Alteon SSL VPN 和VPN 3000 解决方案
北电网络在Alteon 交换机先进技术的基础上推出SSL VPN解决方案。除了支持常用的Web 方式以外,还通过Java Applet的方式和增强的客户端方式,保证 Web 为主的各种应用程序都能通过SSL VPN 来进行访问。这种SSL VPN 是通过在传统IPSec VPN上加载SSL软件来实现的。
Gateway 3050 也是可将企业相关应用及资源延伸至远程使用者的一个SSL VPN解决方案。它可提供及时内容转换,将内部网络资源转换为外部可读取且安全的HTML 网页,同时采用先进的网络地址及网络端口转译(Network Address and Port Translation,NAPT)技术,为客户端/ 服务器通信建立以SSL 为基础的 VPN 通道。Gateway 3050 不仅提供应用层安全,又通过安装北电网络Contivity VPN Client (CVC),支持远程用户在网络层级的安全连接。另外,Gateway 3050还结合多样强化加密以及会谈管理机制,在不造成服务器负荷的情况下,保护传输在网关器与内部应用间的数据。同时,客户端安全功能还可使它灵活调整以使用者IP 网址或认证优势为基础的接取限制,并自动终结可疑会谈,不会在使用者设备中留下追踪数据。
Cisco VPN 3000 集中器解决方案
它包括一种基于标准的易用VPN 客户机和可扩展的VPN隧道终端设备,另外还包括一种使企业对自己的远程访问VPN 实施轻松安装、配置和监视的管理系统。它提供一种能够现场更换部件并由客户完成升级的可扩展平台。这些称为可扩展加密处理(SEP)模块的可更换部件能帮助用户轻松地增加容量和吞吐量。CiscoVPN 3000 集中器支持各种 VPN客户机软件,包括Cisco VPN 客户机、 M i c r o s o f t Windows 2000 L2TP/IPsec 客户机和用于 Windows 95、 Windows 98、Windows NT 4.0 和Windows 2000 的 Microsoft PPTP。Cisco VPN 3000 集中器具有5种不同型号:Cisco VPN 3005/3015/ 3030/3060/3080,分别针对从小到大不同规模企业而设计。
值得一提的是Cisco VPN Client (Cisco VPN客户机),它用于建立到Cisco VPN 3000 集中器的安全的、端到端的加密隧道。这种采用遵循IPsec 的简化设计思想的客户机随Cisco VPN 3000集中器一同提供,并对用户数量不予限制。Cisco VPN 客户机可以预先设置成大量部署状态,在最初登录时,用户需要干预的内容很少。
一个成功的部署
SSL VPN 的部署非常简便易行,这是SSL VPN的另一个显著优势。
用户在需要时只需购买SSL VPN 网关,而不需要购买其他的任何网络产品或者服务器,也不需要为现有的Web应用程序增加任何其他硬件或软件,或者添加任何其他功能。有时,除SSL VPN网关之外,厂商也会给用户提供USB Key或者代理软件等附属产品,帮助用户配置网关,或分发用户认证信息。
SSL VPN一般的部署方式是在企业的防火墙后面和服务器前安装一个SSL VPN 网关充当SSL的代理服务器(如图3所示),同时需要在防火墙上开放一个访问SSL VPN内置Web站点的端口,通常为HTTPS 443 端口。当用户需要访问企业内部站点时,只需要访问这个内置Web站点就可以了。
当然,如果用户拥有自己的认证系统,如证书认证系统或者Radius系统,则需要根据选择的产品在网关上进行相应的设置,以使得SSL VPN网关可以结合现有的认证系统对用户进行认证。而用户端则不需要安装任何的额外软件。当用户希望安全地连接到公司网络上时,只需在浏览器中输入SSL VPN 网关内置Web 站点的 URL后,连接就被SSL 网关取得,网关提示用户输入身份认证信息,在认证信息通过证书服务器或Radius 服务器等验证后, SSL VPN网关将为用户提供一个远程用户可以使用的与各种不同的Web 应用服务和资源之间的链接列表。用户点击相应的链接,既可以进行安全的访问了。
为了更加安全地访问SSL VPN 网关,用户甚至于无须将网关暴露在Internet 上,可以通过一般防火墙都有的“虚拟地址映射”功能,将防火墙上的TCP 443 端口映射为SSL VPN 的内置Web 站点。这样用户只需要访问暴露在Internet 上的防火墙地址,就可以访问SSL VPN 网关了。
一件典型的案例
现在,我们以第二位用户的实际问题为例,说明怎样具体来实施SSL VPN。
通过对第二位用户的采访,我们概括出该公司保障安全的五个基本需求。
第一需求:网络安全体系必须保证运行业务系统的主机、数据库及CRM 应用服务器系统数据的安全性。
第二需求:在保证数据库安全的同时,数据本身的机密性也极为重要。企业的财务报表、资料、交易数据统计、行情分析报告及资产评估报告等都必须采取极为严密的加密措施和精确的安全等级划分。
第三需求:整个应用系统是基于B/S 结构设计,采用的是TCP/IP标准协议,必须保证数据在公网上传输的安全性。
第四需求:因为整个应用要在公网上实施,各证券公司、投资人、上市公司和内部管理人员要进行数据查询,要最大限度地确保对使用人员的身份控制。
第五需求:减少配置复杂程度。由于具体的使用人员将分布在全国十几个省份200 个管理人员手中,所以,不可能对每一个客户端进行安装调试。
针对以上需求,我们向该用户推荐彩虹天地NetSwift iGate远程访问解决方案。具体实施如图4 所示。
首先,这种部署不需要更改网络结构,只需在防火墙和服务器之间,通过使用交换机和网线,将NetSwift iGate和这些设备物理连接,通过软件配置放置于同一个网段上。通过NetSwift iGate 内置的协议转换、IP地址的跳转功能,将公网的域名和NetSwift iGate 的虚拟IP 地址捆绑在一起,从物理上将后台服务器保护起来,从而起到一个第二层防火墙的功能。
其次,用NetSwift iGate 服务器经硬件方式可完成数据的加密处理功能。一旦用户要访问NetSwift iGate 保护的应用,它就会在用户的客户端机器和NetSwift iGate 服务器之间建立SSL安全通道。从而实现了数据的加密传输,同时硬件的加密实现方式极大地提高了整个网络传输的速度性能。
针对于用户的要求,客户端通过双因素认证令牌iKey 来确认用户的身份。ikey 的安全性基于这样一种强有力的身份认证机制:“挑战——响应”原理。在客户端通过内置有算法芯片的硬件(ikey)来储存惟一的验证值,同时在服务器端保留相同的验证值,从而确保整个验证实现的惟一性。
用户原有的CRM 系统中已经进行了相应的权限设置和用户分配,因此在本方案中采用Master Key 的技术,从而将基于iKey 的认证功能和原有的认证体系完全集成在一起,用户只需要插入iKey,并输入相应的PIN码,就可以按照原有的权限进行访问。从而免去了多次输入密码的麻烦。同时,NetSwift iGate的日志监测功能满足了用户对访问记录的跟踪。
最后,整个安全应用解决方案基于B/ S构架设计。对于客户端,iGate系统实现了自动检测功能,检测客户端是否安装有相应的iKey驱动。如果没有则执行自动安装。对于每一个客户端因为不需要相应的软件设置,从而极大地降低了安装配置的复杂度。
整个方案从开始布置到实施完毕只用了一天的时间。实施了Rainbow iGate 远程访问解决方案后,该公司的CRM 系统完全在Internet 上运行。谈起实施后的效果,陈先生说:“iGate 完全解决了我们所关心的安全问题。我们的分公司经理们都很满意。现在他们只需要像浏览一般网页一样,在地址栏输入我们的应用系统的域名。系统就会自动提示他们插入; Key来进行验证。
结语>>
事实上,企业可以选择的远程访问解决方案很多,因此必须依据其远程访问不同的特定需求与目标进行选择。现在实践已经逐渐证明,以IPSec VPN 作为点对点连接方案,再搭配SSL VPN 组成远程访问的方案,能够满足员工、商业伙伴与客户安全联网的大部分需求,是最合适也最具成本效益的组合。
目前提供类似连接技术的方案多如牛毛,最经典的要数IPSec VPN 和SSL VPN 了,特别是后者,能够让用户随时随地甚至在移动中连入企业内网,在当今无线网络风起云涌、异地办公汹涌澎湃、移动商务铺天盖地的新IT时代,也可算是上乘佳作。本期就让我们共同了解一下,SSL VPN 到底是什么,它为用户们带来了什么商务便利,用户们又该如何正确选择适合自己的SSL VPN 解决方案。
一道未解的难题
企业拥有一套基于网络的办公系统已是再平常不过的事情了,人们用它发布信息和公告、传递信件等,也用它管理企业,比如进行项目管理、员工信息管理。
然而,正当用户在享受其种种方便之时,一种不可名状的苦涩又油然而生,它就如同美玉上的瑕疵,挥之不去。这苦涩到底意指的什么?我们走访了3位典型的企业用户,悟出了其中的无奈。
第一位用户阿平,国内知名IT 公司售前工程师
他说:“的确,我们的网络办公系统极大地方便了普通办公,但它也存在一些不足,最明显的就是,它只限于驻守在公司本地的员工使用,常出差在外或者暂不在企业本部的员工,就无缘用上这套系统。”
“我就是个例子,工作性质决定了我需要经常外出,为了帮助客户认识我们的产品,我总要携带大量的产品资料,有时到了客户处,还是会发现缺少更多详尽的资料或者信息,这时,身在外地的我,由于无法接入到我们公司内部网直接获取我所需要的内容,就只能通过E-mail,向同事求救,请同事把资料Down 下来,再转发给我。这样做很耽误时间,也容易被抢先的竞争对手抢走订单。更严重的问题是,用E-mail 传递关键资料,极易泄漏商业秘密。”
第二位用户,某金融投资公司信息主管陈先生
“金融投资管理是一个复杂的高风险行业,在企业运作过程中,网络及应用信息系统是维持其业务良性发展的关键资源之一。我们曾尝试着实施了一套CRM 管理系统,用于企业资产及项目评估、证券二级市场和相关金融投资管理的和行业信息的管理查询。但是,它一直没有正式投入使用,因为企业没有把这套系统在 Internet 上开放。
事实上,我们的分公司及子公司,都非常希望能够通过Internet以Web方式浏览到内部信息(包括内部证卷交易作业平台、上市公司的资产评估报告和行业投资分析报告等)。但出于安全考虑,不敢轻易将它放在Internet 上。”
第三位用户,北京某知名服务公司技术经理王女士
“我们公司是北京规模比较大的技术服务型公司,目前着手将新开发的ERP应用软件放到内部网上,并向其全国范围的分支机构以及区域销售渠道和经销商组织开放。但是,公司拥有办事处、代理和销售渠道众多,遍布大江南北,我们希望能够提供一个安全登录访问的方案,在这个方案中,这些外部用户可以在全国任何一个地方都可以对ERP 商用应用程序进行安全的登录和访问。于是,我们选用了IPSec VPN 方案。但是实际使用效果并不理想。比如,在有些地域,IPSec VPN 的实施需要对防火墙的配置进行大量的改动;而在另外一些地方,使用者根本无法决定其接入Internet 的方式,也无法对其使用的IT 网络基础设施进行控制。”
“我们追求的理想境界是员工可以在异地进入基于Web 的应用程序和数据库,访问公司资源,获得产品的最新信息,以及价格变化和市场计划等;同时,商业合作伙伴可以访问我们的企业网(extranet),以便协作共享资源,如技术支持、产品定购等等。”
表面上看,3个用户3个需求,细想一下,本质上是同一个无奈,同一个核心问题,即如何通过Internet 安全而方便地远程访问企业内部信息。
这并不是一个刚刚出现的企业信息化难题。第三位用户似乎打了个擦边球,差点儿解决了难题,她购买的IPSec 技术可以实现安全的远程访问,只是接入不够方便。
到底有没有真正的答案呢?
有,那就是SSL VPN,一种不同于 IPSec VPN 的加密隧道技术。
一条安全的隧道
缘何SSL?
Internet 是一个开放网络,任何人都可以运用它来传输资料,相对地,任何人也都有机会拦截上面传输的资料。因此,对于企业来说,在Internet 上传输的任何资料,必须加密,以避免任何机密泄漏。用什么加密呢?在浏览器与Web 服务器之间的通信协议太多了,但应用最广泛的是 SSL(Secure Socket Layer,安全套接字协议层),因为SSL提供了最稳定和最兼容的加密架构。
SSL是一个介于HTTP协议与TCP之间的一个可选层协议(如图1所示),这种协议在设计之初主要用于Web 数据的安全传输(通常称为HTTPS)。
S S L 通过加密数据让数据能够在 Internet 上从客户端浏览器上安全地传送到服务器端,而且,这种加密是在数据在到达Internet 之前进行的。
每建立一个 SSL连接,客户端和服务器都需要通过交换取得信任,并协商安全参数。如果服务器接受了来自客户端的信任请求,则建立了一个连接,然后,客户端和服务器端进一步协商,确定双方知道的会话密钥,对后来的所有通信进行加密。
缘何SSL VPN?
虽然SSL可以让数据安全地从一端传输到另一端,但是它只负责加密,不管安全数据是否能够传输到企业的内部网络中。而企业通常不仅需要数据是安全的,还需要数据能够到达指定的内部网,以保证与企业内部信息交流的方便性和实时性。这时候,光有SSL 就不够了,还必须借助VPN 的力量。
VPN 是什么呢? VPN 是一个虚拟的通道,它可以将2 个不同的内部网络(一般是企业不同分支机构或合作伙伴的内部网络),安全、机密及可靠地连接在一起。上述提及的第三位用户王女士所在公司,便利用VPN 把总部网络与分布在其他地域的分支机构网络通过Internet 连接在一起。
在SSL 基础之上建立的VPN 被称为 SSL VPN,其作用与SSL 类似,也是客户端浏览器利用SSL技术加密访问请求,并发送到SSL VPN网关,网关将接收到的加密信息解密后再转发到真正需要访问的企业网中的Web服务器,从而在Internet 上形成一个客户端到SSL VPN网关之间的加密隧道。
这样看来,SSL VPN可以理解为专为 Web应用量身定做的、建立在应用层上的数据安全访问技术。
此VPN 非彼VPN
如前所述,第三位用户王女士用的也是VPN技术,为什么她认为不利于服务业务的发展呢?
她所用的VPN技术是基于IPSec协议的IPSec VPN,它需要在每台远程使用者的计算机上安装客户端软件,而且配置起来相当繁杂。任何一个在外移动的用户想连接到企业内网,必须现场安装客户端软件,而且要求该用户具备一定的计算机专业技能,否则无法完成配置工作。
SSL VPN 则不然,它提供了非常安全、实用又简单的、基于应用层的远程接入VPN解决方法。基于应用层上的连接意味着(和IPSec VPN 比较),SSL VPN 更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec VPN难以做到的)。另外,SSL VPN经常被称为“无客户端”VPN,它除了在服务器端需要安装SSL VPN网关外,在客户端只需要支持以SSL为基础的HTTPS浏览器即可。目前,大多数计算机操作系统里,都预装有这样的Web 浏览器(常见的有Microsoft I n t e r n e t E x p l o r e r 和N e t s c a p e Communicator)。无论用户身处何处,只要能登录Web,就可以经SSL VPN访问企业内部资源。
由此可见,前面3位用户遇到的问题,都可以通SSL VPN 解决。阿平就不用说了,只要公司运用了SSL VPN 技术,无论在酒店,还是在网吧,甚至在街上,也无论是通过笔记本电脑、网吧电脑,甚至是 PDA,他都可随时随地地使用浏览器来安全访问企业内部信息网数据,填表格啦,索取内部资料啦,全都不在话下。陈先生也一样,他的困惑是因为没有找到安全可靠又配置简单实施维护工作量小的解决方案,而不敢把新建成的、完整的信息管理系统在Internet 上开放。SSL VPN 技术的出现,恰恰可以满足他的这种既安全又实施维护简单的需要。王女士由于不满意 IPSec VPN接入方式的复杂,而郁闷寡欢,如果运用了SSL VPN 方案,将其与IPSec VPN优势互补,相信她与同事们会将公司主业服务做得“更上一层楼”。
SSL VPN除了拥有接入安全简单这个最为显著和优势的特点外,它的部署也非常方便。SSL VPN通常安装在防火墙和服务器之间,如果以透明方式运行,除了在防火墙上简单地开放所需要的HTTPS 443 端口外,无须对原有网络再做任何变动;也无须像IPSec VPN那样考虑网络中间的 NAT设备,以及客户端的各种接入方式等等。
轻松巧配置
当然,作为管理员,还是有一项重要工作做,那就是对SSL VPN网关本身的配置。
首先,需要添加Web应用和站点,即在网关上配置用户可以访问的Web站点、 Web应用、文件以及终端服务等等(用户通过终端服务可以登录到提供终端服务的计算机);
然后管理员需要添加用户和配置用户的认证方式。这一步可以结合企业已有的认证方式进行配置,如采用证书认证、 Radius 认证或者结合Windows 的用户认证,甚至于采用简单的用户名/口令认证。
当一切都配置完毕后,用户就可以通过SSL VPN 对企业内网Web 应用进行访问了。
如上述第一位用户阿平所在的企业,只需要在企业网与互联网接口处部署SSL VPN网关,同时进行必要的资源和用户设置,阿平就可以通过CRM 服务查询客户信息,也可以通过Mail 服务收发电子信件。操作方法也非常简单,阿平只需要向访问一般网站那样访问SSL VPN网关对外提供的网址,如http://www.iccw.com.cn,然后在系统的提示下键入用户名和密码即可。如果通过系统验证,网关就会在浏览器上反馈回当前用户可以访问的企业网内部所有Web 应用和Web 站点,阿平再点击一下相应的链接,就可以进行访问了。比如,点击E-mail 进行收发邮件,点击私有文件夹访问自己的数据资料,也可以点击内部办公网进行网上报销,剩下的一切就像他在企业内部办公时做的一样简单了。
事实上,SSL VPN网关就是企业内部的一个门户网站,只要通过了用户验证,进了这个“门”,用户就可以安全、机密地访问网管给他定制的各种资源和服务了,像E-mail、资源预定网和信息查询网等等,所有的信息都是在Internet 上加密传输的,保证了信息的安全性。
综上所述,SSL VPN非常适合于那些需要避免复杂的配置、对现有网络的改动少且拥有大量的移动用户的客户。SSL VPN 可以方便地让用户在任何3A 场合 (Anytime、Anywhere、Anyone)访问服务器,获得所需要的资源(如图2 所示)。
一个明智的选择
选择SSL VPN产品应该根据实际的应用环境选择合适的产品,在产品特性上尤其要关注以下4 点。
考量模式和应用
由于SSL是一种应用层技术,从本质上决定了它无法做到应用透明,也就是说它支持的应用是有限制的。
当然,SSL VPN 最基本的还是支持 Web站点和应用的安全访问,这就是我们通常所讲的无客户端运行模式。SSL VPN 代理的是服务器端的信息,即代替服务器接受客户端的访问,而通常的代理服务器则是代替客户端去访问服务器。在这种模式下,SSL VPN网关在Web站点之前接收用户使用浏览器发来的请求,进行解密并将请求转发到Web 站点,接收到Web 站点返回信息后再加密通过SSL通道送到用户端。
与保护内网Web站点类似,SSL VPN 还有一种无客户端应用模式,它可以用来保护Web应用,管理员可以为多个Web应用建立公用的入口界面,也可以给不同的用户分配不同的可用资源,在用户登录后的入口界面显示不同的链接。这种模式通常被称为“端口转发”模式,这种模式可以解决那些使用TCP 协议并只占用一个端口的应用。这种模式下用户通常需要从网关下载端口转发的插件,插件运行在浏览器当中,接收应用程序发来的请求。使用这种模式时,应用程序需要将访问的服务器地址设为本地地址“127.0.0.1”,插件将接收到的应用程序访问信息整理加密后送到SSL VPN 网关解密转发到真正的服务器,从而达到客户端安全访问的目的。
SSL VPN 的第3种应用模式则不属于“无客户端”模式,它需要在客户端安装一个客户端安全代理,通常是一个利用SSL加密的Socks代理。这种应用主要是为了满足那些可以使用Socks代理的TCP和UDP 的Client/Server 应用程序需求。
不同的SSL VPN 可能支持的应用模式不同,或者名称不同,但其功能和原理不外乎以上3 种。第1 种模式不需要用户进行任何额外的配置,极易使用;第2 种模式需要简单更改客户端地应用程序所访问的服务器地址,使用也非常方便;第3 种模式稍显复杂,但是可以满足用户C/S 应用的访问需求。
管理认证和权限
通常情况下SSL VPN 应该支持本地认证方式和证书认证方式,也可以使用 LDAP服务或者RAIDUS 认证,甚至可以和NTLM进行结合,实现Windows的域认证。现在有许多访问管理解决方案,但是绝大部分还在使用的是基于口令密码的验证机制。这种机制有很大的弊端:容易被猜测;可以被共享;密码以明文的方式经过网络传输,容易被截获。
部分SSL VPN 厂商选择保存有密钥或者数字证书的USB Key作为身份认证的凭证,无疑是一种非常安全和易于使用的方案。
作为用户,应该根据自己的实际情况最好选择能和企业已有的认证系统很好结合而且安全易用的产品。如果无法利用已有的认证系统,而是重新建置一套新的安全认证机制,并且与现有的系统环境和网络架构完全兼容,往往需要耗掉许多精力才能够架构完成,并且还要经过一段长时间的系统调整,这样实在不符合时间成本的效益。
很多人都有这样的经历:当使用公司内部不同的应用系统时,需要输入不同的 “用户名+ 口令”,资源预定系统一个口令、Outlook 一个口令、销售系统又一个口令,很麻烦。因为需要在不同的Web服务器上进行不同的授权管理,管理员也倍感疲惫。而对最终用户而言,希望有一种权限登录方案即可,对网络管理员而言,也只想拥有一种集中式的权限管理验证系统。相对于依赖各自不同的验证机制的应用程序而言,集中式的验证管理更有优势。现在部分SSL VPN 都具有这种功能,可以让用户访问不同的网站只需要一次登录,一次认证,可以有效降低管理负担和方便使用。
重视性能和参数
SSL VPN 性能参数主要包括会话速率、转发速率及同时在线用户数等几项。
会话速率指其每秒钟可以建立和终止的SSL会话数目(会话可以理解为客户端到网关的一次连接,即浏览器的一次Web 页面访问)。由于SSL 会话和HTTP 协议是基于连接的,因此这个参数很大程度上决定了用户能够体验到的连接速度。通常,达到100 左右数值的会话速率,一般可以满足大部分用户的应用需求。
转发速率指SSL VPN网关到底有多快,它最快可以在每秒钟内转发多少数据流量,这项数据通常在300Mbps 以下。显然,在会话数不同的时候,转发速率也是不同的,这里指的是在不同会话数时最快的转发速率。用户应根据自己的实际需要加以选择。同时在线用户数也是一个非常重要的参数,即同一时间 SSL VPN 所能保持的会话数目,它通常在几百到几千之间,同时在线用户越多,每位用户所感受到的速度越慢。为了提高性能,几乎所有的SSL VPN 都含有高性能的SSL加速卡来帮助完成SSL连接所需要的公钥计算。
同时在线用户数指同时通过S S L VPN 来访问内部网的用户数目。
权衡自身安全性
由于SSL使用的是TCP协议,因此其产品检测和抵御DoS(拒绝服务)攻击的能力就显得非常重要。每种产品都应该针对DoS攻击进行特定设计,这里使用者应该特别关注第三方机构的测试结果。
另外,SSL VPN应该能够实时控制和监视远程用户的访问和行为,并有详细的日志记录。不同的SSL VPN产品具有不同的安全特色,如有的SSL VPN具有相当的防火墙功能,有的则集成在防火墙里,有的还具有防病毒功能,甚至个别厂商的产品可以通过运行浏览器下载的一个Java Applet对客户端的安全性进行扫描,检查客户端开放的端口、接入时的安全状态,以判断客户端的安全性,及是否接受客户端的访问、授予他合适的权利。
现在大多数用户使用的都是IE 浏览器,其初始的配置存在一些安全隐患,因此不少网关还可以帮助用户更好地设置IE 或者修复被病毒入侵修改的IE,从而增强客户端的安全性。如安全浏览器退出,在用户离开的时候,删除用户的所有信息痕迹,如缓存信息,临时文件、Cookie等等。这些功能在用户使用的是公用场所的计算机时显得尤为宝贵,它可以有效地防止用户使用后遗留信息造成的泄密,如用户可能会忘记关闭浏览器,也有可能会在无意间让IE 浏览器临时保存了一些机密信息,如访问的网址,输入的用户名、口令,下载的文件资料等等。
一项完善的方案
在上述几点选购注意事项的指导下,用户们结合自己的实际需要,参考以下几款国内流行的SSL VPN 方案,最终作出合理的选择。
诺基亚NSAS 解决方案
诺基亚安全接入系统Nokia Secure Access System(NSAS)即是SSL 远程接入解决方案,它是一个单一的、工作于防火墙之后的硬件设备。NSAS 具有两大与众不同之处,一是采用先进的接入控制技术。NSAS 不仅仅是一个基于SSL 的VPN 解决方案,它还是一个采用了比一般的 SSL VPN更高明技术的方案——基于连接状态的安全接入控制。通常的SSL VPN只为特定用户设定权限,但不能根据客户端状况发放访问权限,而NSAS却能够透过诺基亚完整性扫描和数字证书的出示,辨别用户身份、所采用的通信工具、接入时的安全状况(比如是否安装了防毒软件等),自动调整用户的接入权限。如果用户得到完全信任,则开放所有访问权限;如果身份被认可而安全性证明不足,则只开放邮件系统。可以说,客户端完整性扫描是NSAS独有的技术,它可以让网管监测到远端用户是否使用系统规定的安全产品(如防毒或防火墙等),也可以帮助网管判断远端用户机是否为其他计算机所控制及属于何种接入设备等。
NSAS的另一个独特性质是具有持续性会话(Session Persistence)功能。当用户的SSL 会话因没有话务活动而超时后,允许用户进行恢复工作,以避免数据丢失,并使用户对话不出现中断。
彩虹天地NetSwift iGate解决方案
彩虹天地SSL VPN 方案又称“一站式”Web安全解决方案,它通过USB硬件密钥的方式来加强客户端的身份认证功能。
NetSwift iGate由硬件和软件2部分组成:硬件是指标准1U(或2U)设备iGate 和iKey密钥,前者工作于防火墙和后端服务器之间,从客户端到iGate 采用SSL 协议加密,而iGate 与服务器间的通信使用标准Http协议,它内置10/100/1000Mbps 自适应网卡,使用R a i n b o w 特有的 CryptoSwift SSL加速卡完成SSL加解密工作;后者用于客户端登录,用户只要将它插入客户机,通过iKey+PIN码的双因素认证方式,即可将信息安全地传递到iGate,由iGate将其解密后以Https协议传递到后端服务器,而从服务器返回的信息再由 iGate 加密后传递到客户端。软件是指内置在硬件中的操作系统和管理软件,以及 ACM 访问控制管理工具及客户端软件(iKey 驱动和浏览器插件)。
NetSwift iGate 独特之处在于不仅针对网页或非网页应用程序进行保护,更能将SSL加密隧道结合独有的双因素身份认证来确认远程访问者的真实身份,避免口令泄露和黑客入侵等可能带来的损失。
北电网络Alteon SSL VPN 和VPN 3000 解决方案
北电网络在Alteon 交换机先进技术的基础上推出SSL VPN解决方案。除了支持常用的Web 方式以外,还通过Java Applet的方式和增强的客户端方式,保证 Web 为主的各种应用程序都能通过SSL VPN 来进行访问。这种SSL VPN 是通过在传统IPSec VPN上加载SSL软件来实现的。
Gateway 3050 也是可将企业相关应用及资源延伸至远程使用者的一个SSL VPN解决方案。它可提供及时内容转换,将内部网络资源转换为外部可读取且安全的HTML 网页,同时采用先进的网络地址及网络端口转译(Network Address and Port Translation,NAPT)技术,为客户端/ 服务器通信建立以SSL 为基础的 VPN 通道。Gateway 3050 不仅提供应用层安全,又通过安装北电网络Contivity VPN Client (CVC),支持远程用户在网络层级的安全连接。另外,Gateway 3050还结合多样强化加密以及会谈管理机制,在不造成服务器负荷的情况下,保护传输在网关器与内部应用间的数据。同时,客户端安全功能还可使它灵活调整以使用者IP 网址或认证优势为基础的接取限制,并自动终结可疑会谈,不会在使用者设备中留下追踪数据。
Cisco VPN 3000 集中器解决方案
它包括一种基于标准的易用VPN 客户机和可扩展的VPN隧道终端设备,另外还包括一种使企业对自己的远程访问VPN 实施轻松安装、配置和监视的管理系统。它提供一种能够现场更换部件并由客户完成升级的可扩展平台。这些称为可扩展加密处理(SEP)模块的可更换部件能帮助用户轻松地增加容量和吞吐量。CiscoVPN 3000 集中器支持各种 VPN客户机软件,包括Cisco VPN 客户机、 M i c r o s o f t Windows 2000 L2TP/IPsec 客户机和用于 Windows 95、 Windows 98、Windows NT 4.0 和Windows 2000 的 Microsoft PPTP。Cisco VPN 3000 集中器具有5种不同型号:Cisco VPN 3005/3015/ 3030/3060/3080,分别针对从小到大不同规模企业而设计。
值得一提的是Cisco VPN Client (Cisco VPN客户机),它用于建立到Cisco VPN 3000 集中器的安全的、端到端的加密隧道。这种采用遵循IPsec 的简化设计思想的客户机随Cisco VPN 3000集中器一同提供,并对用户数量不予限制。Cisco VPN 客户机可以预先设置成大量部署状态,在最初登录时,用户需要干预的内容很少。
一个成功的部署
SSL VPN 的部署非常简便易行,这是SSL VPN的另一个显著优势。
用户在需要时只需购买SSL VPN 网关,而不需要购买其他的任何网络产品或者服务器,也不需要为现有的Web应用程序增加任何其他硬件或软件,或者添加任何其他功能。有时,除SSL VPN网关之外,厂商也会给用户提供USB Key或者代理软件等附属产品,帮助用户配置网关,或分发用户认证信息。
SSL VPN一般的部署方式是在企业的防火墙后面和服务器前安装一个SSL VPN 网关充当SSL的代理服务器(如图3所示),同时需要在防火墙上开放一个访问SSL VPN内置Web站点的端口,通常为HTTPS 443 端口。当用户需要访问企业内部站点时,只需要访问这个内置Web站点就可以了。
当然,如果用户拥有自己的认证系统,如证书认证系统或者Radius系统,则需要根据选择的产品在网关上进行相应的设置,以使得SSL VPN网关可以结合现有的认证系统对用户进行认证。而用户端则不需要安装任何的额外软件。当用户希望安全地连接到公司网络上时,只需在浏览器中输入SSL VPN 网关内置Web 站点的 URL后,连接就被SSL 网关取得,网关提示用户输入身份认证信息,在认证信息通过证书服务器或Radius 服务器等验证后, SSL VPN网关将为用户提供一个远程用户可以使用的与各种不同的Web 应用服务和资源之间的链接列表。用户点击相应的链接,既可以进行安全的访问了。
为了更加安全地访问SSL VPN 网关,用户甚至于无须将网关暴露在Internet 上,可以通过一般防火墙都有的“虚拟地址映射”功能,将防火墙上的TCP 443 端口映射为SSL VPN 的内置Web 站点。这样用户只需要访问暴露在Internet 上的防火墙地址,就可以访问SSL VPN 网关了。
一件典型的案例
现在,我们以第二位用户的实际问题为例,说明怎样具体来实施SSL VPN。
通过对第二位用户的采访,我们概括出该公司保障安全的五个基本需求。
第一需求:网络安全体系必须保证运行业务系统的主机、数据库及CRM 应用服务器系统数据的安全性。
第二需求:在保证数据库安全的同时,数据本身的机密性也极为重要。企业的财务报表、资料、交易数据统计、行情分析报告及资产评估报告等都必须采取极为严密的加密措施和精确的安全等级划分。
第三需求:整个应用系统是基于B/S 结构设计,采用的是TCP/IP标准协议,必须保证数据在公网上传输的安全性。
第四需求:因为整个应用要在公网上实施,各证券公司、投资人、上市公司和内部管理人员要进行数据查询,要最大限度地确保对使用人员的身份控制。
第五需求:减少配置复杂程度。由于具体的使用人员将分布在全国十几个省份200 个管理人员手中,所以,不可能对每一个客户端进行安装调试。
针对以上需求,我们向该用户推荐彩虹天地NetSwift iGate远程访问解决方案。具体实施如图4 所示。
首先,这种部署不需要更改网络结构,只需在防火墙和服务器之间,通过使用交换机和网线,将NetSwift iGate和这些设备物理连接,通过软件配置放置于同一个网段上。通过NetSwift iGate 内置的协议转换、IP地址的跳转功能,将公网的域名和NetSwift iGate 的虚拟IP 地址捆绑在一起,从物理上将后台服务器保护起来,从而起到一个第二层防火墙的功能。
其次,用NetSwift iGate 服务器经硬件方式可完成数据的加密处理功能。一旦用户要访问NetSwift iGate 保护的应用,它就会在用户的客户端机器和NetSwift iGate 服务器之间建立SSL安全通道。从而实现了数据的加密传输,同时硬件的加密实现方式极大地提高了整个网络传输的速度性能。
针对于用户的要求,客户端通过双因素认证令牌iKey 来确认用户的身份。ikey 的安全性基于这样一种强有力的身份认证机制:“挑战——响应”原理。在客户端通过内置有算法芯片的硬件(ikey)来储存惟一的验证值,同时在服务器端保留相同的验证值,从而确保整个验证实现的惟一性。
用户原有的CRM 系统中已经进行了相应的权限设置和用户分配,因此在本方案中采用Master Key 的技术,从而将基于iKey 的认证功能和原有的认证体系完全集成在一起,用户只需要插入iKey,并输入相应的PIN码,就可以按照原有的权限进行访问。从而免去了多次输入密码的麻烦。同时,NetSwift iGate的日志监测功能满足了用户对访问记录的跟踪。
最后,整个安全应用解决方案基于B/ S构架设计。对于客户端,iGate系统实现了自动检测功能,检测客户端是否安装有相应的iKey驱动。如果没有则执行自动安装。对于每一个客户端因为不需要相应的软件设置,从而极大地降低了安装配置的复杂度。
整个方案从开始布置到实施完毕只用了一天的时间。实施了Rainbow iGate 远程访问解决方案后,该公司的CRM 系统完全在Internet 上运行。谈起实施后的效果,陈先生说:“iGate 完全解决了我们所关心的安全问题。我们的分公司经理们都很满意。现在他们只需要像浏览一般网页一样,在地址栏输入我们的应用系统的域名。系统就会自动提示他们插入; Key来进行验证。
结语>>
事实上,企业可以选择的远程访问解决方案很多,因此必须依据其远程访问不同的特定需求与目标进行选择。现在实践已经逐渐证明,以IPSec VPN 作为点对点连接方案,再搭配SSL VPN 组成远程访问的方案,能够满足员工、商业伙伴与客户安全联网的大部分需求,是最合适也最具成本效益的组合。