硬盘数据恢复导航
RAID数据恢复导航
 | 网站首页 | 数据恢复资料 | 数据恢复软件 | 咨询留言 | 数据恢复博客 | 数据恢复论坛 | 
数据恢复软件下载
数据恢复服务 数据恢复 数据恢复报价 数据恢复培训 数据恢复实验室 数据恢复研究成果 数据恢复服务联系方式
您现在的位置: 北亚数据恢复技术站 >> 数据恢复资料 >> 数据恢复文栏 >> 文章正文
聚焦安全:用SSL VPN设备简化安全访问            【字体:
聚焦安全:用SSL VPN设备简化安全访问
作者:佚名    文章来源:互联网    点击数:    更新时间:2007-03-29

 许多公司使用VPN向公司外部的员工提供企业网络接入。目前,大多数远程接入VPN都使用IP安全扩展

(IPsec)加密在公共IP网络上传输的专用IP数据包。然而,随着员工队伍的增长和多元化,IPsec VPN客户

对于最终用户来说是很麻烦的,对于网络管理员来说是成本是很高的。通过利用广泛应用的网络浏览器作

为一个客户平台,SSL VPN设备将是提供一种简单而安全的外点访问专用企业服务和数据的有希望的替代方

法。

  为什么使用SSL VPN设备?

  市场研究公司Gartner预测,到2008年,SSL VPN将成为主要的远程接入方式。三分之二以上的远程工

作员工、四分之三的承包商和90%以上的需要随机访问企业网络的雇员都将采用这种方式。作为一个基于浏

览器的解决方案,SSL VPN几乎能在任何系统上快速启动,不需要安装永久性的客户端软件。对于那些对管

理旅行者和远程工作者的笔记本电脑感到厌烦以及那些需要不增加已经很沉重的IT工作量来扩大远程接入

的企业来说,上述好处是有吸引力的。

  用户通常可以使用一台SSL VPN设备从家里的或者公共的PC上加入网络,在任何可用的互联网连接上获

得直接的访问。一旦用户通过身份识别,组或者单个规则便允许访问SSL VPN设备后面的代表系统、服务和

数据的URL。目标应用一般通过一个浏览器的窗口显示出来,由下载的ActiveX控件或者Java程序实施的。

SSL 或者其IETF(互联网工程任务组)的继任者TLS(传输层安全)将用于数据压缩、散列、加密和在用户和

VPN设备之间的传输全部信息。总之,SSL VPN设备能够提供安全的访问,较少地依赖客户端软件。

  应用SSL VPN设备

  深入挖掘这个漂亮的外表,你将会发现SSL和IPsec VPN之间的巨大差别。例如,IPsec VPN提供访问具

体的子网或者整个企业网络。连接的主机必须分配一个这个专用网络地址空间中的IP地址。因为SSL VPN提

供具体URL地址的访问,资源规则可以更详细并且能过更容易地隐藏内部网络的结构。从网络工程师的观点

看,SSL VPN整合更简单,因为这种设备能够在你防火墙的隔离区中使用,不用增加IP子网或者重新为IP子

网编号。

  另一方面,IPsec VPN创建一个支持任何基于IP的应用程序的强大的、通用的应用程序。根据其设计,

SSL VPN设备可能需要逐步努力支持新的应用。例如,详细的设置可能需要把URL镜像为应用对象,并且重

写URL以便隐藏内部信息。每一个SSL VPN设备都支持通用商务应用程序,如企业电子邮件和网络文件系统

访问等。但是,专有的或者复杂的应用需要客户介入开发或者需要客户方面的端口转发代码。因此,许多

公司最初都使用SSL VPN来增强其IPsec VPN,把仅需要访问电子邮件的员工增加到SSL VPN网络,同时保留

IPsec VPN以满足真正需要广泛的网络层访问的员工的需求。

  在SSL VPN设备中寻求什么

  当然,SSL VPN设备必须有增强的平台的操作系统,并且通过安全界面进行管理。虽然早期的SSL VPN

性能与IPsec相比还不是很好,但是,目前的企业设备能够使用硬件加速和高可用性等技术可靠地支持每一

个大型的员工队伍。但是,除了对任何网络安全设备的这些基本的考虑之外,当你选择一台SSL VPN设备的

时候,你应该考虑什么功能和因素呢?

  VPN架构——SSL VPN设备是多种多样的:

  ·Web代理设备仅支持Web应用程序。浏览器把普通的HTTP包在SSL中并且发送给这台设备。这台设备检

查政策、镜像URL并且把HTTP请求转发给目标互联网服务器。

  ·应用解析设备让用户通过ActiveX或者Java接口与应用程序互动。这种Java接口模仿本地的应用程序

图形用户界面,但是以HTTP格式发送请求。这台设备在把这个请求转发到目标服务器(非Web服务器)之前必

须要把HTTP解析为每一个应用程序的本地协议。

  ·端口转发设备通过使用一个客户端代理在SSL隧道中转发本地应用协议来支持TCP客户机/服务器应用

程序。这个代理与远程主机的应用端口连接在一起,同时,这台设备转发内部服务器(非Web服务器)发出和

接收的信息。

  ·网络扩展设备通过使用一个客户端代理在一个SSL隧道中转发IP数据来支持任何IP应用程序。一个安

装的代理拦截并且把出网的IP数据传送给这个设备。这台设备像一台网络层网关一样工作,在结构上与

IPsec相似,但是没有标准IPsec的限制。

  任何指定的设备可能都支持一个以上的结构。但是,从这里开始,将帮助你理解产品的客户和应用程

序支持。

  客户支持:每一个SSL VPN使用Web浏览器当作一个客户平台。但是,许多下载的客户端代码限制在公

共PC、非Windows主机、移动设备以及外部网合作伙伴的系统上使用。你能够满足客户的要求吗,例如客户

对浏览器厂商/版本或者启用ActiveX的要求?这种设备能为现值的客户提供减少的功能,同时为使用VPN门

户网页自己安装代理软件的雇员提供更多的功能吗?

  应用程序支持:除了电子邮件和文件共享之外,考虑你的员工队伍需要的应用程序,这种设备是否/如

何支持这些应用程序以及实现这些应用所需要的努力。例如,端口转发设备通常不需要客户化就能够支持

许多客户机/服务器。但是,实时的应用(如VoIP)可能需要网络扩展设备。确认你理解了在URL镜像和为你

需要的应用程序进行协议解析都涉及到什么。

  用户身份识别:SSL VPN在提供授权服务之前必须要识别用户的身份。确认这种设备支持你需要的用户

身份识别方式以及现有的身份识别服务器和用户数据库(如, RADIUS、主动目录和LDAP)。此外,你要考虑

这种设备是否能够从用户账户提取授权属性,并且考虑建立这种工作流所涉及的整合努力。

  授权:SSL VPN通常有能力强制执行控制用户(或者组)能够访问什么内容的详细规则。评估支持每一个

需要的应用程序/资源的授权详细规则,苹果这种设备是否支持你定义的安全政策。例如,一些SSL VPN能

够识别远程设备身份,让你限制那些在公共或者家庭PC上的用户的功能。

  端点安全:在批准访问之前评估端点安全状况和一台设备的状况也是很有用的。SSL VPN支持是为NAC

、NAP、TNC和产品具体界面开发的,使它能够检查和/或者强制执行端点安全。采取的方法是要求在端点使

用当前的安全补丁或者杀毒软件,或者限制不符合规定的端点能够访问的资源。考虑这种设备如何更好地

适应你们公司的端点安全战略和实施。如果你计划支持没有管理的端点,你要评估对客户端安全措施的支

持,如浏览器缓存、cookie和历史记录的清除以及"沙盒处理"(sandboxing)。

  审计与报告:最后,你要考虑这种设备如何跟踪和存档用户访问企业资源,并且考虑这种信息是否足

以满足你的公司内部/外部报告的需求。

  寻找SSL VPN设备

  据市场研究公司Synergy Research Group称,2006年全球SSL VPN年销售收入达到了2.50亿美元。这个

市场领先的厂商是Juniper、Citrix、F5、Aventail、北电网络、Whale和 Array。在经历了快速增长和收

购活动的市场中,跟上厂商和产品名称的变化以及新进入这个市场的厂商是很困难的。那些希望现在购买

SSL VPN设备的人至少应该考虑下列竞争的产品:

  Array Networks SPX Series

  Aventail EX Series

  Caymas Systems ID-Driven网关

  Check Point Connectra

  思科ASA 5500系列产品

  Citrix Systems接入网关

  F5 Networks FirePass

  Juniper Networks Secure Access

  诺基亚SSL VPN

  北电网络VPN网关

  Blue Coat RA

  SonicWALL SSL VPN

  Whale通讯公司(微软) 智能应用网关

  要了解更多的有关虚拟专用网的技术和结构,请查看SearchNetworking.com网站的VPN网页。要阅读更

多的有关SSL VPN设备和这些设备如何相互比较的资料,请阅读David Strom在2006年9月信息安全杂志上发

表的文章《Not so simple》。

文章录入:飘    责任编辑:飘 
  • 上一篇文章:

  • 下一篇文章: 没有了
  • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    关于我们 | RAID数据恢复 | 友情链接 | RSS生成 | XML生成 | 文章HTML地图 | 下载HTML地图

    全国统一客服电话:4006-505-808
    总部电话:010-82488636 邮箱:ycf@frombyte.com
    公司地址:北京市海淀区永丰基地丰慧中路7号新材料创业大厦B座205室
    京ICP备05011939
    w'鷈e/