近年來，銷售VPN設備的廠商發(fā)現SSL VPN開始竄紅，因為不少客戶本來規(guī)劃VPN是為了點對點的辦公室連接（Site-to-Site），現有的VPN設備多辦公室網絡環(huán)境當中應用上沒有問題。但因為客戶的員工外出辦公情況增加，所以管理階層開始考慮到，希望行動工作者能夠透過VPN連回公司，以免發(fā)生員工在外無法控管的情況。雖然大部分的VPN設備都有Client端軟件讓使用者連回公司，但由于外界網絡環(huán)境相當復雜，并不是所有的因特網都能讓使用者透過IPsec VPN的方式連接回公司服務器。
為了解決這類問題，所以網絡設備廠商推出SSL VPN設備，讓使用者能夠透過SSL VPN的方式連接回公司，藉此達到行動工作者能夠達到與公司同事數據同步運作的效果。
SSL VPN運作原理與優(yōu)勢
所謂的SSL VPN，其實是VPN設備廠商為了與IPsec VPN區(qū)別所創(chuàng)造出來的名詞，指的是使用者利用瀏覽器內建的Secure Socket Layer封包處理功能，用瀏覽器連回公司內部SSL VPN服務器，然后透過網絡封包轉向的方式，讓使用者可以在遠程計算機執(zhí)行應用程序，讀取公司內部服務器數據。
實際上SSL VPN運作的方式是這樣，使用者開啟支持SSL功能的瀏覽器，輸入公司SSL VPN服務器網址，然后鍵入使用者賬號與密碼，遠程的SSL VPN服務器就會利用ActiveX的功能，自動在使用者端安裝特定程序，產生一個虛擬網絡界面。這個時候，使用者就可以點選服務器上面的應用程序畫面，然后該應用程序所需的相關數據，就會透過所建立的虛擬網絡界面進行轉換，將遠程公司服務器內部的數據，透過SSL加密的封包傳送到遠程計算機當中，讓遠程計算機使用者可以如同在公司內部般地讀寫數據。如果使用者要結束程序，只要關閉瀏覽器，所有的SSL VPN也會同步中斷。
由于SSL是網絡瀏覽器所內建的功能，因此SSL VPN的連接方式，能夠適用于常見的因特網環(huán)境，而且不限制使用者用的是Public IP或者是Private IP；再加上ActiveX也是常見的網頁語言之一，如果使用者要使用SSL VPN的話，MIS人員并不需要在使用者的計算機當中安裝VPN Client應用程序。只要事先設定好公司SSL VPN服務器的相關參數，當使用者連接上來之后，SSL VPN服務器就會透過ActiveX自動安裝所需程序，結束之后自動移除，可說是相當方便。
跟傳統(tǒng)走IPsec為主的VPN裝置來比較，SSL VPN在網絡穿通能力與跨平臺應用上，兼容性要更高，而且透過SSL的加密方式，可以達到一定的安全效果，再加上不用事先安裝程序，簡化MIS的人力支出，所以近來SSL VPN非常熱門。根據Infonetics Research在’04年第一季的研究報告指出，預計全球SSL VPN的市場規(guī)模會持續(xù)成長，在’05年可達到360百萬美元，而’06年會達到497百萬美元，甚至在’07年可以有591百萬美金的規(guī)模。
SSL VPN設備應用的網絡架構
在既有網絡的架構當中，SSL VPN的應用方式其實是很簡單的，比起傳統(tǒng)IPsec VPN要容易許多。因為它所在的位置是在防火墻后方，MIS人員只需要針對SSL VPN裝置在防火墻當中開啟單一設定，就完成安裝了，并不會像IPsec VPN一樣，需要針對不同用戶開啟不同的VPN Profile設定。因為遠程的使用者是利用瀏覽器連接到SSL VPN設備，然后透過IP封包轉譯的方式，由SSL VPN設備「模擬」遠程使用者在「內部」進行數據存取，所以才有辦法突破各種網絡的限制，達到執(zhí)行各種ERP、CRM或者是特定應用程序。
傳統(tǒng)使用VPN Client程序的架構，由于使用者取得的是內部IP位置，因此在執(zhí)行企業(yè)內部專屬程序的時候，只要該程序所使用的連接協(xié)議是VPN裝置所支持，就沒有設定上的問題，但是SSL VPN的設計卻不一樣。
由于各家的SSL VPN在與內部程序的連接上有不同的設計，所以在規(guī)劃使用的時候，必須要作事前測試。因為依照廠商技術不同，有的是利用Adapter的方式作網絡封包轉譯，有的則是利用Port Forward的方式作介接，不同廠商所使用的技術差異不小，所以在使用前必須要作應用程序兼容性測試。
除此之外，SSL VPN跟傳統(tǒng)VPN在費用計算上最大的差異，是SSL VPN裝置需要使用到網絡認證（Certificate），傳統(tǒng)的VPN裝置是不需要的，因此在產品的費用計算上，您需要額外計算網絡認證的費用支出。
延伸閱讀：
全面認識VPN設備
VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網絡”。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的企業(yè)內部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網絡建立虛擬私有網。
針對不同的用戶要求，VPN有三種解決方案：遠程訪問虛擬網（Access VPN）、企業(yè)內部虛擬網（Intranet VPN）和企業(yè)擴展虛擬網（Extranet VPN），這三種類型的VPN分別與傳統(tǒng)的遠程訪問網絡、企業(yè)內部的Intranet以及企業(yè)網和相關合作伙伴的企業(yè)網所構成的Extranet（外部擴展）相對應。
VPN網關是實現局域網（LAN）到局域網連接的設備。從字面上我們就能夠知道它可以實現兩大功能：VPN和網關。廣義上講，支持VPN（虛擬專用網）的路由器和防火墻等設備都可以算作VPN網關。目前常見的VPN網關產品可以包括單純的VPN網關、VPN路由器、VPN防火墻、VPN服務器等產品。
典型的VPN網關產品應該具有以下性能：
一、它應集成包過濾防火墻和應用代理防火墻的功能
企業(yè)級VPN產品是從防火墻產品發(fā)展而來，防火墻的功能特性己經成為它的基本功能集中的一部分。如果是一個獨立的產品，VPN與防火墻的協(xié)同工作會遇到很多難以解決的問題，有可能不同廠家的防火墻和VPN不能協(xié)同工作，防火墻的安全策略無法制定（這是由于VPN把IP數據包加密封裝的緣故）或者帶來性能的損失，如防火墻無法使用NAT功能等等。而如果采用功能整合的產品，則上述問題不存在或很容易解決。
二、VPN應有一個開放的架構
VPN部署在企業(yè)接入因特網的路由器之后，或者它本身就具有路由器的功能，因此，它己經成為保護企業(yè)內部資產安全最重要的門戶。阻止黑客入侵、檢查病毒、身份認證與權限檢查等很多安全功能需要VPN完成或在同VPN與相關產品協(xié)同完成。因此，VPN必須按照一個開放的標準，提供與第三方安全產品協(xié)同工作的能力。
三、有完善的認證管理
一個VPN系統(tǒng)應支持標準的認證方式，如RADIUS（Remote Authentication Dial In User Service，遠程認證撥號用戶服務）認證、基于PKI（Public Key Infrastructure，公鑰基礎設施）的證書認證以及逐漸興起的生物識別技術等等。對于一個大規(guī)模的VPN系統(tǒng)，PKI／KMI的密鑰管理中心，提供實體（人員、設備、應用）信息的LDAP目錄服務及采用標準的強認證技術（令牌、IC卡）是一個VPN系統(tǒng)成功實施和正常運行必不可少的條件。
四、VPN應提供第三方產品的接口
當用戶部署了客戶到LAN的VPN方案時，VPN產品應提供標準的特性或公開的API（應用程序編程接口），可以從公司數據庫中直接輸入用戶信息。否則，對于一個有數千甚至上萬的SOHO人員和移動辦公人員的企業(yè)來說，單獨地創(chuàng)建和管理用戶的權限是不可想像的。
VPN網關應擁有IP過濾語言，并可以根據數據包的性質進行包過濾。
數據包的性質有目標和源IP地址、協(xié)議類型、源和目的TCP/UDP端口、TCP包的ACK位、出棧和入棧網絡接口等。

標簽： ssl ssl vpn 安全 包過濾防火墻 標準 防火墻 防火墻的功能 防火墻設備 服務器 公司服務器 企業(yè) 權限 數據庫 網絡 問題 用戶

版權申明：本站文章部分自網絡，如有侵權，請聯系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯系。