宋文軒　劉立

【摘要】 文章簡(jiǎn)要地概述了SSL VPN技術(shù)，針對(duì) SSL VPN網(wǎng)絡(luò)技術(shù)在企業(yè)信息系統(tǒng)中的應(yīng)用進(jìn)行了分析與研究，旨在為了利用SSL VPN技術(shù)來(lái)解決大中型網(wǎng)絡(luò)應(yīng)用中存在的不足，以確保企業(yè)信息系統(tǒng)的安全。

【關(guān)鍵詞】 SSL VPN 網(wǎng)絡(luò)技術(shù) 企業(yè) 接入方案

一、引言

VPN（Virtual Private Network），虛擬專用網(wǎng)絡(luò)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。近些年來(lái)，隨著計(jì)算 機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，越來(lái)越多的人也需要用到 VPN 來(lái)解決遠(yuǎn)程訪問(wèn)內(nèi)部資源的問(wèn)題。VPN網(wǎng)絡(luò)技術(shù)主要是為企業(yè)提供易用、低成本、高性能的 安全遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)方式，同時(shí)也具有優(yōu)異的性能，該技術(shù)可以支持大量網(wǎng)絡(luò)用戶的并發(fā)訪問(wèn)，而且可以適應(yīng)于各種異構(gòu)的網(wǎng)絡(luò)環(huán)境，具有很好的技術(shù)兼容性。

二、SSL VPN技術(shù)概述

SSL VPN 是解決遠(yuǎn)程用戶訪問(wèn)敏感公司數(shù)據(jù)最簡(jiǎn)單 最安全的解決技術(shù)。SSL（安全套接層）協(xié)議是一種在互聯(lián)網(wǎng)上保證發(fā)送信息安全的通用協(xié)議，采用B/S結(jié)構(gòu)（瀏覽器/服務(wù)器模式）。它處在應(yīng)用層，SSL用公鑰加密通過(guò)SSL連接傳輸?shù)臄?shù)據(jù)來(lái)工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議和TCP/IP 之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為T(mén)CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選擇的客戶機(jī)認(rèn)證。只要計(jì)算機(jī)安裝上SSL VPN就可以進(jìn)行虛擬專用網(wǎng)的應(yīng)用，那是因?yàn)镾SL里面內(nèi)嵌在瀏覽器中，所以不需要安裝客戶端，以方便的通信。

SSL協(xié)議可分為兩層：一層是 SSL記錄協(xié)議：它建立在可靠的傳輸協(xié)議之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓 縮、加密等基本功能的支持。另外一層是SSL握手協(xié)議：它建立在SSL記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開(kāi)始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。SSL協(xié)議的安全特性包括以下幾個(gè)方面：（1）傳輸過(guò)程安全。傳輸?shù)倪^(guò)程加密強(qiáng)度是決定了網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)不被黑客所截獲。數(shù)據(jù)在傳輸過(guò)程加密強(qiáng)度越高，傳輸安全性就越有保障。（2）用戶身份驗(yàn)證。傳統(tǒng)的用戶名密碼認(rèn)證比較簡(jiǎn)單，不是很安全，SSL協(xié)議利用 PKI 體系進(jìn)行加密，效果比較好。（3）客戶端設(shè)備的安全性?？蛻舳擞?jì)算機(jī)需要安裝殺毒軟件，防火墻等，來(lái)防止SSL VPN 的密碼被木馬盜走，所以SSL VPN 需要對(duì)客戶端進(jìn)行檢測(cè)。（4）服務(wù)端的日志跟蹤。SSL VPN 服務(wù)器應(yīng)該提供訪問(wèn)統(tǒng)計(jì)和跟蹤功能，網(wǎng)絡(luò)管理員可以通過(guò)服務(wù)端日志來(lái)了解系統(tǒng)訪問(wèn)的具體情況，所以對(duì)于服務(wù)器來(lái)說(shuō)也是提供了多一種安全保障的方法。

三、SSL VPN網(wǎng)絡(luò)技術(shù)在企業(yè)信息系統(tǒng)中的應(yīng)用

3.1 遠(yuǎn)程接入方案實(shí)例

使用SSL VPN設(shè)備安裝在企業(yè)的 DMZ 區(qū)上，IP地址是10.*.*.*，在防火墻上轉(zhuǎn)換成互聯(lián)網(wǎng)的IP地址：203.*.*.*，并開(kāi)放443號(hào)端口。遠(yuǎn)程用戶可以使用https：// 203.*.*.* 來(lái)訪問(wèn)企業(yè)內(nèi)部信息系統(tǒng)。針對(duì)企業(yè)的網(wǎng)絡(luò)特點(diǎn)，在實(shí)施時(shí)可以將企業(yè)的一些應(yīng)用，如郵件系統(tǒng)、OA 系統(tǒng)、文件共享系統(tǒng)等安裝到 SSL VPN上，同時(shí)可以通過(guò) Active Directory 進(jìn)行用戶身份的統(tǒng)一管理。

3.2 接入技術(shù)方案

3.2.1 安全接入

SSL VPN設(shè)備能夠檢測(cè)或評(píng)估客戶設(shè)備以確保它們遵從公司的安全策略，包括防火墻和防病毒軟件、操作系統(tǒng)和補(bǔ)丁、間諜軟件檢查、設(shè)備類(lèi)型以及網(wǎng)絡(luò)配置等，違規(guī)設(shè)備將被拒絕訪問(wèn)網(wǎng)絡(luò)，或被定向到軟件更新網(wǎng)站。

3.2.2 SSL VPN用戶認(rèn)證、授權(quán)

SSL VPN認(rèn)證對(duì)用戶來(lái)說(shuō)是一個(gè)簡(jiǎn)單的過(guò)程。所有的用戶申請(qǐng)都流經(jīng)一個(gè)專門(mén)的服務(wù)器：接入點(diǎn)、策略服務(wù)點(diǎn)和認(rèn)證服務(wù)點(diǎn)，然后返回用戶。但對(duì)于用戶來(lái)說(shuō)，Web瀏覽器是他們?cè)L問(wèn)資源的唯一接入點(diǎn)。

多種認(rèn)證方式。對(duì)于多個(gè)系統(tǒng)可實(shí)現(xiàn)單點(diǎn)登錄（Single Sign-On），支持身份聯(lián)盟：您可使用一個(gè)數(shù)字身份來(lái)訪問(wèn)多個(gè)部門(mén)甚至是整個(gè)企業(yè)的信息，可以有效降低管理負(fù)擔(dān)，方便使用。

訪問(wèn)規(guī)則旨在允許用戶訪問(wèn)資源。所有資產(chǎn)至少都與一個(gè)訪問(wèn)規(guī)則相對(duì)應(yīng)，包括認(rèn)證方法、日期或時(shí)間限制以及用戶群成員關(guān)系等內(nèi)容。SSL VPN還在內(nèi)部系統(tǒng)中與防火墻和訪問(wèn)控制機(jī)制一起實(shí)施訪問(wèn)控制。防火墻在用戶與系統(tǒng)互動(dòng)時(shí)使用，訪問(wèn)控制與防火墻提供相同的安全性，應(yīng)用在 IP和端口級(jí)別。

3.2.3 對(duì)應(yīng)用的全面支持

支持所有應(yīng)用，包括基于Web的應(yīng)用、客戶端/服務(wù)器、主機(jī)、終接服務(wù)器和雙向應(yīng)用（VoIP、在線協(xié)作工具）和文件服務(wù)器等。作為軟件解決方案，現(xiàn)有 SSL VPN設(shè)備可定制用于支持任何類(lèi)型的應(yīng)用。

3.3 SSL VPN 安全接入在應(yīng)用中的優(yōu)勢(shì)

通過(guò) SSL VPN 實(shí)現(xiàn)安全接入，可以“幫助企業(yè)提高生產(chǎn)力，改善用戶使用體驗(yàn)”。安全接入解決方案具有多種優(yōu)點(diǎn)。

3.3.1 提高信息安全性

（1）防止信息泄漏。由于客戶端與SSL VPN 網(wǎng)關(guān)之間實(shí)現(xiàn)高強(qiáng)度的加密信息傳輸，因此雖然信息傳輸是通過(guò)公網(wǎng)進(jìn)行的，但是其安全性是可以得到保證的。第三方即使可以得到傳輸數(shù)據(jù)，但是卻無(wú)法得到隱藏到其中的明文信息。因此敏感的信息如業(yè)務(wù)賬號(hào)等被保護(hù)起來(lái)，杜絕了有效信的泄露。（2）杜絕非法訪問(wèn)。SSL VPN的訪問(wèn)要經(jīng)過(guò)認(rèn)證和授權(quán)，充分保證用戶身份的合法性。SSL VPN只允許那些擁有相應(yīng)權(quán)限的用戶進(jìn)行網(wǎng)絡(luò)連接。如果請(qǐng)求連接的用戶沒(méi)有合法身份，則 SSL VPN將拒絕其連接請(qǐng)求，從而限制了非法用戶對(duì)內(nèi)網(wǎng)的訪問(wèn)。（3）保護(hù)信息的完整性。SSL VPN使用數(shù)字證書(shū)進(jìn)行機(jī)密性與完整性參數(shù)的協(xié)商，它不僅能夠?qū)λ鶄鬏數(shù)臄?shù)據(jù)進(jìn)行機(jī)密性的保護(hù)，同時(shí)也對(duì)其提供完整性保護(hù)。當(dāng)在傳輸過(guò)程中的數(shù)據(jù)被篡改之后，SSL VPN是可以檢測(cè)到的，如果檢測(cè)到數(shù)據(jù)被篡改，他們就會(huì)放棄所接收到的數(shù)據(jù)。

3.3.2 靈活的用戶管理和訪問(wèn)控制

提供多種多樣的認(rèn)證機(jī)制和授權(quán)訪問(wèn)機(jī)制，存在本地用戶數(shù)據(jù)庫(kù)，可以配置在SSL VPN網(wǎng)關(guān)設(shè)備上。SSL VPN 組網(wǎng)方案是面向應(yīng)用的VPN 方案，可以做到基于應(yīng)用的精細(xì)控制，基于用戶和組賦予不同的應(yīng)用訪問(wèn)權(quán)限，并對(duì)相關(guān)訪問(wèn)操作進(jìn)行審計(jì)。這是一般基于網(wǎng)絡(luò)的 VPN 所辦不到的。

3.3.3 降低管理和維護(hù)成本

SSL VPN方案是無(wú)客戶端的方案，由于客戶端采用標(biāo)準(zhǔn)瀏覽器，SSL VPN的網(wǎng)關(guān)只需要在企業(yè)的數(shù)據(jù)中心部署，其他的維護(hù)操作都是在SP上面進(jìn)行的，包括用戶的授權(quán)，訪問(wèn)應(yīng)用的各種配置等操作。它的管理工作屬于集中管理和集中維護(hù)模式，可以極大地降低管理和維護(hù)成本。

四、結(jié)束語(yǔ)

由于現(xiàn)代化網(wǎng)絡(luò)技術(shù)的迅速擴(kuò)展，針對(duì)遠(yuǎn)程安全接入的需求也日益提升。VPN技術(shù)為企業(yè)用戶提供了一個(gè)低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù)，是企業(yè)內(nèi)部網(wǎng)的擴(kuò)展和延伸。SSL VPN繼承了IPSec VPN的遠(yuǎn)程使用與內(nèi)網(wǎng)使用體驗(yàn)一致、與應(yīng)用無(wú)關(guān)的優(yōu)點(diǎn)，避免了因有客戶端而導(dǎo)致的使用維護(hù)不便、某些網(wǎng)絡(luò)條件下無(wú)法接通、帶來(lái)大量病毒和蠕蟲(chóng)的入侵、無(wú)法與企業(yè)現(xiàn)有認(rèn)證服務(wù)器結(jié)合、無(wú)法審計(jì)等問(wèn)題，從功能上有網(wǎng)絡(luò)訪問(wèn)、網(wǎng)上應(yīng)用程序、Windows文件共享、移動(dòng)電子郵件、應(yīng)用程序訪問(wèn)、傳統(tǒng)主機(jī)、終端服務(wù)器等眾多功能。SSL VPN 技術(shù)在企業(yè)資源管理與配置、信息共享與交互、電子商務(wù)等方面都具有很高的應(yīng)用價(jià)值和推廣意義。

參 考 文 獻(xiàn)

[1] 張翠琴. VPN 技術(shù)在現(xiàn)代監(jiān)測(cè)網(wǎng)中的應(yīng)用 [J]. 光盤(pán)技術(shù)，2008（1）

[2] 王建良. 分布式網(wǎng)絡(luò)數(shù)據(jù)傳輸中VPN技術(shù)的研究[J]. 計(jì)算機(jī)與網(wǎng)絡(luò)，2003（13）