近年來，銷售VPN設(shè)備的廠商發(fā)現(xiàn)SSL VPN開始竄紅，因?yàn)椴簧倏蛻舯緛硪?guī)劃VPN是為了點(diǎn)對(duì)點(diǎn)的辦公室連接（Site-to-Site），現(xiàn)有的VPN設(shè)備多辦公室網(wǎng)絡(luò)環(huán)境當(dāng)中應(yīng)用上沒有問題。但因?yàn)榭蛻舻膯T工外出辦公情況增加，所以管理階層開始考慮到，希望行動(dòng)工作者能夠透過VPN連回公司，以免發(fā)生員工在外無法控管的情況。雖然大部分的VPN設(shè)備都有Client端軟件讓使用者連回公司，但由于外界網(wǎng)絡(luò)環(huán)境相當(dāng)復(fù)雜，并不是所有的因特網(wǎng)都能讓使用者透過IPsec VPN的方式連接回公司服務(wù)器。
為了解決這類問題，所以網(wǎng)絡(luò)設(shè)備廠商推出SSL VPN設(shè)備，讓使用者能夠透過SSL VPN的方式連接回公司，藉此達(dá)到行動(dòng)工作者能夠達(dá)到與公司同事數(shù)據(jù)同步運(yùn)作的效果。
SSL VPN運(yùn)作原理與優(yōu)勢(shì)
所謂的SSL VPN，其實(shí)是VPN設(shè)備廠商為了與IPsec VPN區(qū)別所創(chuàng)造出來的名詞，指的是使用者利用瀏覽器內(nèi)建的Secure Socket Layer封包處理功能，用瀏覽器連回公司內(nèi)部SSL VPN服務(wù)器，然后透過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，讓使用者可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序，讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。
實(shí)際上SSL VPN運(yùn)作的方式是這樣，使用者開啟支持SSL功能的瀏覽器，輸入公司SSL VPN服務(wù)器網(wǎng)址，然后鍵入使用者賬號(hào)與密碼，遠(yuǎn)程的SSL VPN服務(wù)器就會(huì)利用ActiveX的功能，自動(dòng)在使用者端安裝特定程序，產(chǎn)生一個(gè)虛擬網(wǎng)絡(luò)界面。這個(gè)時(shí)候，使用者就可以點(diǎn)選服務(wù)器上面的應(yīng)用程序畫面，然后該應(yīng)用程序所需的相關(guān)數(shù)據(jù)，就會(huì)透過所建立的虛擬網(wǎng)絡(luò)界面進(jìn)行轉(zhuǎn)換，將遠(yuǎn)程公司服務(wù)器內(nèi)部的數(shù)據(jù)，透過SSL加密的封包傳送到遠(yuǎn)程計(jì)算機(jī)當(dāng)中，讓遠(yuǎn)程計(jì)算機(jī)使用者可以如同在公司內(nèi)部般地讀寫數(shù)據(jù)。如果使用者要結(jié)束程序，只要關(guān)閉瀏覽器，所有的SSL VPN也會(huì)同步中斷。
由于SSL是網(wǎng)絡(luò)瀏覽器所內(nèi)建的功能，因此SSL VPN的連接方式，能夠適用于常見的因特網(wǎng)環(huán)境，而且不限制使用者用的是Public IP或者是Private IP；再加上ActiveX也是常見的網(wǎng)頁語言之一，如果使用者要使用SSL VPN的話，MIS人員并不需要在使用者的計(jì)算機(jī)當(dāng)中安裝VPN Client應(yīng)用程序。只要事先設(shè)定好公司SSL VPN服務(wù)器的相關(guān)參數(shù)，當(dāng)使用者連接上來之后，SSL VPN服務(wù)器就會(huì)透過ActiveX自動(dòng)安裝所需程序，結(jié)束之后自動(dòng)移除，可說是相當(dāng)方便。
跟傳統(tǒng)走IPsec為主的VPN裝置來比較，SSL VPN在網(wǎng)絡(luò)穿通能力與跨平臺(tái)應(yīng)用上，兼容性要更高，而且透過SSL的加密方式，可以達(dá)到一定的安全效果，再加上不用事先安裝程序，簡(jiǎn)化MIS的人力支出，所以近來SSL VPN非常熱門。根據(jù)Infonetics Research在’04年第一季的研究報(bào)告指出，預(yù)計(jì)全球SSL VPN的市場(chǎng)規(guī)模會(huì)持續(xù)成長(zhǎng)，在’05年可達(dá)到360百萬美元，而’06年會(huì)達(dá)到497百萬美元，甚至在’07年可以有591百萬美金的規(guī)模。
SSL VPN設(shè)備應(yīng)用的網(wǎng)絡(luò)架構(gòu)
在既有網(wǎng)絡(luò)的架構(gòu)當(dāng)中，SSL VPN的應(yīng)用方式其實(shí)是很簡(jiǎn)單的，比起傳統(tǒng)IPsec VPN要容易許多。因?yàn)樗�所在的位置是在防火墻后方，MIS人員只需要針對(duì)SSL VPN裝置在防火墻當(dāng)中開啟單一設(shè)定，就完成安裝了，并不會(huì)像IPsec VPN一樣，需要針對(duì)不同用戶開啟不同的VPN Profile設(shè)定。因?yàn)檫h(yuǎn)程的使用者是利用瀏覽器連接到SSL VPN設(shè)備，然后透過IP封包轉(zhuǎn)譯的方式，由SSL VPN設(shè)備「模擬」遠(yuǎn)程使用者在「內(nèi)部」進(jìn)行數(shù)據(jù)存取，所以才有辦法突破各種網(wǎng)絡(luò)的限制，達(dá)到執(zhí)行各種ERP、CRM或者是特定應(yīng)用程序。
傳統(tǒng)使用VPN Client程序的架構(gòu)，由于使用者取得的是內(nèi)部IP位置，因此在執(zhí)行企業(yè)內(nèi)部專屬程序的時(shí)候，只要該程序所使用的連接協(xié)議是VPN裝置所支持，就沒有設(shè)定上的問題，但是SSL VPN的設(shè)計(jì)卻不一樣。
由于各家的SSL VPN在與內(nèi)部程序的連接上有不同的設(shè)計(jì)，所以在規(guī)劃使用的時(shí)候，必須要作事前測(cè)試。因?yàn)橐勒諒S商技術(shù)不同，有的是利用Adapter的方式作網(wǎng)絡(luò)封包轉(zhuǎn)譯，有的則是利用Port Forward的方式作介接，不同廠商所使用的技術(shù)差異不小，所以在使用前必須要作應(yīng)用程序兼容性測(cè)試。
除此之外，SSL VPN跟傳統(tǒng)VPN在費(fèi)用計(jì)算上最大的差異，是SSL VPN裝置需要使用到網(wǎng)絡(luò)認(rèn)證（Certificate），傳統(tǒng)的VPN裝置是不需要的，因此在產(chǎn)品的費(fèi)用計(jì)算上，您需要額外計(jì)算網(wǎng)絡(luò)認(rèn)證的費(fèi)用支出。
延伸閱讀：
全面認(rèn)識(shí)VPN設(shè)備
VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。
針對(duì)不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（Intranet VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（Extranet VPN），這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet（外部擴(kuò)展）相對(duì)應(yīng)。
VPN網(wǎng)關(guān)是實(shí)現(xiàn)局域網(wǎng)（LAN）到局域網(wǎng)連接的設(shè)備。從字面上我們就能夠知道它可以實(shí)現(xiàn)兩大功能：VPN和網(wǎng)關(guān)。廣義上講，支持VPN（虛擬專用網(wǎng)）的路由器和防火墻等設(shè)備都可以算作VPN網(wǎng)關(guān)。目前常見的VPN網(wǎng)關(guān)產(chǎn)品可以包括單純的VPN網(wǎng)關(guān)、VPN路由器、VPN防火墻、VPN服務(wù)器等產(chǎn)品。
典型的VPN網(wǎng)關(guān)產(chǎn)品應(yīng)該具有以下性能：
一、它應(yīng)集成包過濾防火墻和應(yīng)用代理防火墻的功能
企業(yè)級(jí)VPN產(chǎn)品是從防火墻產(chǎn)品發(fā)展而來，防火墻的功能特性己經(jīng)成為它的基本功能集中的一部分。如果是一個(gè)獨(dú)立的產(chǎn)品，VPN與防火墻的協(xié)同工作會(huì)遇到很多難以解決的問題，有可能不同廠家的防火墻和VPN不能協(xié)同工作，防火墻的安全策略無法制定（這是由于VPN把IP數(shù)據(jù)包加密封裝的緣故）或者帶來性能的損失，如防火墻無法使用NAT功能等等。而如果采用功能整合的產(chǎn)品，則上述問題不存在或很容易解決。
二、VPN應(yīng)有一個(gè)開放的架構(gòu)
VPN部署在企業(yè)接入因特網(wǎng)的路由器之后，或者它本身就具有路由器的功能，因此，它己經(jīng)成為保護(hù)企業(yè)內(nèi)部資產(chǎn)安全最重要的門戶。阻止黑客入侵、檢查病毒、身份認(rèn)證與權(quán)限檢查等很多安全功能需要VPN完成或在同VPN與相關(guān)產(chǎn)品協(xié)同完成。因此，VPN必須按照一個(gè)開放的標(biāo)準(zhǔn)，提供與第三方安全產(chǎn)品協(xié)同工作的能力。
三、有完善的認(rèn)證管理
一個(gè)VPN系統(tǒng)應(yīng)支持標(biāo)準(zhǔn)的認(rèn)證方式，如RADIUS（Remote Authentication Dial In User Service，遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)）認(rèn)證、基于PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）的證書認(rèn)證以及逐漸興起的生物識(shí)別技術(shù)等等。對(duì)于一個(gè)大規(guī)模的VPN系統(tǒng)，PKI／KMI的密鑰管理中心，提供實(shí)體（人員、設(shè)備、應(yīng)用）信息的LDAP目錄服務(wù)及采用標(biāo)準(zhǔn)的強(qiáng)認(rèn)證技術(shù)（令牌、IC卡）是一個(gè)VPN系統(tǒng)成功實(shí)施和正常運(yùn)行必不可少的條件。
四、VPN應(yīng)提供第三方產(chǎn)品的接口
當(dāng)用戶部署了客戶到LAN的VPN方案時(shí)，VPN產(chǎn)品應(yīng)提供標(biāo)準(zhǔn)的特性或公開的API（應(yīng)用程序編程接口），可以從公司數(shù)據(jù)庫中直接輸入用戶信息。否則，對(duì)于一個(gè)有數(shù)千甚至上萬的SOHO人員和移動(dòng)辦公人員的企業(yè)來說，單獨(dú)地創(chuàng)建和管理用戶的權(quán)限是不可想像的。
VPN網(wǎng)關(guān)應(yīng)擁有IP過濾語言，并可以根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過濾。
數(shù)據(jù)包的性質(zhì)有目標(biāo)和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出棧和入棧網(wǎng)絡(luò)接口等。

標(biāo)簽： ssl ssl vpn 安全 包過濾防火墻 標(biāo)準(zhǔn) 防火墻 防火墻的功能 防火墻設(shè)備 服務(wù)器 公司服務(wù)器 企業(yè) 權(quán)限 數(shù)據(jù)庫 網(wǎng)絡(luò) 問題 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。