SSL VPN——VPN的“神秘”通道
网络设备
凡是看过曾经热播的美国电视连续剧《反恐24小时》的朋友,应该记得为了防止被监听,美国反恐局的技术人员与Jack的手机间有一个“通道”,在该“通道”内可进行语音通讯或数据传输服务,局外人无法侦听或侦测到“通道”中的具体内容,这个通道就是VPN。
而在其他影片中,我们也同样能够看到主角会打开一台公共场合的电脑,在网络浏览器中输入网址以及账号和密码后,便能进入某公司局域网内部的某台计算机,进行数据调用、浏览文档等操作,这其实也是一个VPN的应用。
什么是VPN
VPN的英文全称是“Virtual Private Network”,即“虚拟专用网络”。我们可以把它理解成是虚拟出来的企业内部专线。简单地说,用户无须在两个用户端铺设物理的专用网络连接线,可以依靠现有的公用网络建立一条连接用户的安全、稳定的专用数据通信“隧道”,从而让用户在Internet上建立起安全的专用虚拟网络,这样能使用户节省大量租用专线的费用。
目前交换机、防火墙设备或Windows 2000、Windows 2003等系统都支持VPN功能,用户借助它们能创建出一条专属自己与对方联系的VPN通路。
“神秘”的SSL VPN
其实上述“隧道”式的VPN又可以看作是IPSec VPN,在使用该项服务时需要硬件IPSec VPN客户端设备或软件IPSec VPN客户端的支持。比如在《反恐24小时》中,Jack的智能手机便可以通过安装IPSec VPN客户端的方式,与总部的VPN网关服务器建立通道,以完成机密数据的传输。
不过,一旦使用者换了一台主机或网络环境发生了变化,那么就需要重新安装IPSec VPN客户端或对原有客户端的配置进行修改。这样对于普通用户而言,工作流程便非常复杂,维护工作也需要做很多,不便于普通用户日常应用。
为此,一种名为SSL VPN的技术浮出水面。由于SSL(Secure socket Layer)安全套接层协议技术目前已经被广泛应用在各种主流网络浏览器中,SSL防火墙通常都是打开的,不需要重新配置就能够提供接入服务。所以SSL VPN的实现不用像传统的IPSec VPN一样必须为每一台客户机安装客户端软件,用户只要在Web浏览器中输入连接目标的网址,然后输入正确的账号和密码,就能方便地建立SSL VPN连接,并获得相应的权限进入内部局域网的某台机器,从而进一步得到需要的数据或进行各种应用。
因为SSL VPN网关具备代理Web页面功能,它可以将浏览器采用HTTPS协议送出的加密请求转发给局域网内部服务器,然后将服务器的响应回传给终端用户。同时,对于非Web类型的应用,如FTP服务、视频语音服务等,SSL VPN也可对它们进行应用转换,转换为HTTPS协议和HTML格式后,使之成为Web应用的“模仿秀”,令这些服务得以顺利完成。
SSL VPN的优点
1.移动性更强
与IPSec VPN相比,SSL VPN的最大优点便是移动性极强。只要能连接互联网并且操作系统中带有网络浏览器,那么用户就可以在任何地方运用VPN技术,连接到不同防火墙背后的局域网中。与之相比,常用的IPSec不容易穿越防火墙,所以当移动办公人员需要在不同地点连接企业内部网络时就显得麻烦颇多了。
2.更安全
在安全方面,SSL VPN要比传统VPN技术安全许多。在使用IPSec VPN这类传统VPN技术时,它们往往只认证虚拟通道两端用户的身份,权限划分不够细致,存在企业内部网数据被使用VPN客户端的用户窃取、破坏的可能;同时因无法验证传输的数据,容易造成病毒跨网传播。
SSL VPN可以根据不同的应用,给用户或组赋予不同的权限,并对相关访问进行审核。这样,不同权限的用户所访问的资源对象也会有所不同;同时,对传输的数据内容可进行完整性检验,防止数据被病毒、木马等恶意程序窜改,确保企业内部网的安全。
3.更稳定
作为处于应用层和TCP/UDP层之间的一种安全协议,基于SSL的SSL VPN连接比IPSec VPN更加稳定,确保了数据传输时的稳定、高效。
通过上述介绍,我们可以知道,SSL VPN凭借移动性强、使用方便、安全性较高等特点,能够实现诸多远程访问服务。
目前很多国家都在推广这一技术,很多企业用户采用了该技术确保网内专线通信的安全。例如,特定的用户可借助相应的权限、账户,通过互联网进入企业内部网访问或获取特定的资料;用户可以远程访问企业内部的电子邮件系统,并通过SSL VPN建立的安全通道进行邮件收发;远程用户能轻松方便地与本地局域网中的某个用户建立语音/视频对话通道……
总之,SSL VPN与传统的IPSec VPN相比,优势更为明显。随着Web应用以及远程接入需求的增多,我们有理由相信,SSL VPN一定能获得更多企业用户甚至普通用户的青睐。