SSL VPN 的技术原理与应用1 概述 1.1 产生背景 随着互联网的普及和电子商务的飞速进展,越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络,访问公司的内部资源。接入用户的身份可能不合法、远端接入主机可能不够安全,这些都为公司内部网络带来了安全隐患。通过加密实现安全接入的 VPN-—SVPN(Security VPN)技术提供了一种安全机制,保护公司的内部网络不被攻击,内部资源不被窃取。SVPN 技术主要包括 IPsec VPN 和 SSL VPN.由于 IPsec VPN 实现方式上的局限性,导致其存在着一些不足: 部署 IPsec VPN 网络时,需要在用户主机上安装复杂的客户端软件.而远程用户的移动性要求 VPN 可以快速部署客户端,并动态建立连接;远程终端的多样性还要求 VPN 的客户端具有跨平台、易于升级和维护等特点。这些问题是 IPsec VPN 技术难以解决的。 无法检查用户主机的安全性。假如用户通过不安全的主机访问公司内部网络,可能引起公司内部网络感染病毒。 访问控制不够细致。由于 IPsec 是在网络层实现的,对 IP 报文的内容无法识别,因而不能控制高层应用的访问请求。随着企业经营模式的改变,企业需要建立 Extranet,与合作伙伴共享某些信息资源,以便提高企业的运作效率.对合作伙伴的访问必须进行严格有效地控制,才能保证企业信息系统的安全,而 IPsec VPN 无法实现访问权限的控制。 在复杂的组网环境中,IPsec VPN 部署比较困难。在使用 NAT 的场合,IPsec VPN需要支持 NAT 穿越技术;在部署防火墙的网络环境中,由于 IPsec 协议在原 TCP/UDP 头的前面增加了 IPsec 报文头,因此,需要在防火墙上进行特别的配置,允许 IPsec 报文通过。IPsec VPN 比较适合连接固定,对访问控制要求不高的场合,无法满足用户随时随地以多种方式接入网络、对用户访问权限进行严格限制的需求。SSL VPN 技术克服了 IPsec VPN 技术的缺点,以其跨平台、免安装、免维护的客户端,丰富有效的权限管理而成为远程接入市场上的新贵。1.2 技术优点SSL VPN 是以 HTTPS 为基础的 VPN 技术,它利用 SSL 协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,为用户远程访问公司内部网络提供了安全保证。SSL VPN 具有如下优点: 支持各种应用协议。SSL 位于传输层和应用层之间,任何一个应用程序都可以直接享受 SSL VPN 提供的安全性而不必理会具体细节. 支持多种软件平台...
