SSL VPN 的技术原理与应用1 概述 1
1 产生背景 随着互联网的普及和电子商务的飞速进展,越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络,访问公司的内部资源
接入用户的身份可能不合法、远端接入主机可能不够安全,这些都为公司内部网络带来了安全隐患
通过加密实现安全接入的 VPN-—SVPN(Security VPN)技术提供了一种安全机制,保护公司的内部网络不被攻击,内部资源不被窃取
SVPN 技术主要包括 IPsec VPN 和 SSL VPN
由于 IPsec VPN 实现方式上的局限性,导致其存在着一些不足: 部署 IPsec VPN 网络时,需要在用户主机上安装复杂的客户端软件
而远程用户的移动性要求 VPN 可以快速部署客户端,并动态建立连接;远程终端的多样性还要求 VPN 的客户端具有跨平台、易于升级和维护等特点
这些问题是 IPsec VPN 技术难以解决的
无法检查用户主机的安全性
假如用户通过不安全的主机访问公司内部网络,可能引起公司内部网络感染病毒
访问控制不够细致
由于 IPsec 是在网络层实现的,对 IP 报文的内容无法识别,因而不能控制高层应用的访问请求
随着企业经营模式的改变,企业需要建立 Extranet,与合作伙伴共享某些信息资源,以便提高企业的运作效率
对合作伙伴的访问必须进行严格有效地控制,才能保证企业信息系统的安全,而 IPsec VPN 无法实现访问权限的控制
在复杂的组网环境中,IPsec VPN 部署比较困难
在使用 NAT 的场合,IPsec VPN需要支持 NAT 穿越技术;在部署防火墙的网络环境中,由于 IPsec 协议在原 TCP/UDP 头的前面增加了 IPsec 报文头,因此,需要在防火墙上进行特别的配置,允许 IPsec 报文通过
IPsec VPN 比较适合连接固定,对访问控
