SSL VPN的优势分析:
是使用SSL VPN还是IPSEC VPN,这个话题大家已经普遍讨论过了,关于两者的比较,网上也已经很多相关文章,我们这里就简单介绍一下吧:
IPSec VPN的不足:
在通路本身安全性上,传统的IPSec VPN还是非常安全的,比如在公网中建立的通道,很难被人篡改。不过从另一方面考虑,就是在安全的通路两端存在不安全因素,比如A和B之间用IPsec VPN连接上了,A的安全措施严密,但B存在安全隐患,那么A和B的这种VPN连接就是存在安全风险的。
另外,采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。
最后还有一点,采用不同的通讯协议需要通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。因此,每开启一个通讯埠,就多一个黑客攻击机会,采用IPSec VPN联机就会有这个困扰和安全顾虑。
SSL VPN的优势:
SSL VPN的优势有以下几个方面:
1、不需要客户端软件和硬件需求。在SSL代理中的一个关键优势就是不需要在客户端安装另外的软件,而只需要在服务器端安装相应的软件和硬件,然后通过服务器向客户端发布。SSL代理可以使用于支持SSL技术的标准Web浏览器和E-mail客户中。
2、容易使用。有许多Web浏览器和支持SSL的E-mail客户端,包括Windows、Mac、Linux/Unix、PDA,甚至蜂窝电话都可以通过SSL协议进行通信。
3、端到端的安全。SSL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在互联网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
4、90%的重合。目前90%的IPSec VPN应用都可以用SSL VPN来实现,而SSL VPN更加容易配置和管理,实现成本要比IPSec VPN低很多。
方案和设备:
下面IT世界网络频道为您介绍一些比较有代表性的SSL VPN供应商及其设备方案:
SafeNet公司:
SafeNet是全球知名的网络安全解决方案提供商,其在数据加密方面拥有成熟的技术和较大的优势。
HighAssurance VPN 系列网关:
SafeNet HighAssurance系列网关通过出众的性能和可管理性,有效地降低用于网络安全的总体投资。High Assurance网关有效满足小型办公室、中型机构和企业级用户不断增长的需求,提供关键的安全和数据管理功能,包括IPSec VPN通道和网络地址解析,并且可以在高达1Gbps速率上以全双工方式工作。支持多达1024个IPSec通道和2048个使用DES或3DES的并发安全连接。
HighAssurance系列网关是专用的IPSec VPN硬件设备,以点对点和远程方式访问虚拟专用网(VPN)。HighAssurance系列网关通过优化安全策略、性能和互操作性,最大限度地节约在时间和金钱上的开销。帮助用户使用Internet进行商业通讯并降低费用,开拓机遇,并且安全地与员工、合作伙伴和客户通讯和交易。High Assurance网关是专用的安全设备,确保密码和安全操作与其他网络设备分开,这在采用网状和星型的体系结构设计高标准安全网络时尤其关键。
所有SafeNet HighAssurance安全设备都可以由SafeEnterprise Security Management Center (SMC)统一管理。SMC是一个可靠的用JavaTM开发的策略管理软件,提供安全、灵活和透明的基于SNMP的控制和管理功能。SMC还可以定义集成的安全策略,同时控制各个硬件设备和HighAssurance Remote VPN客户端软件。
对于这款VPN产品,IT 世界网络频道编辑咨询过专业系统集成商的技术人员,他们给予较高的评价。
主要性能:
·以高达1Gbps的任意速率提供全双工的采用DES和3DES的加密通讯。
·基于IPSec的编码、认证、数字证书和密钥管理。
·支持多达1024个IPSec通道和2048个并发安全连接。
·支持静态和动态NAT、RADIUS、XAUTH、使用DN的访问控制、和VLAN灵活的可扩展的网络设计。
·高安全性,支持扩充的IKE命令、PFS(Perfect Forward Secrecy)和CRL(Certificate Revocation List)。
·方便地安装在现有的10/100Mbps局域网中,并支持DHCP。
·网状、星型和混合型网络的理想选择。
·使用SafeEnterprise Security Management Center (SMC)以图形用户界面提供集中的基于证书的策略和安全管理。
Juniper网络公司:
Juniper 网络公司提供全面的SSL VPN产品,在市场上处于领导地位。Juniper 的Secure Access 产品拥有各种机型和特性,可以满足各种规模公司的远程接入需求,包括从中小企业所需的远程/移动员工的接入访问,到大型,跨国企业所需的员工与外联网在统一平台上的接入访问。 Juniper网络公司SSL VPN基于即时虚拟外联网(IVE)平台而构建,该平台使用任何标准Web浏览器都支持的SSL安全协议。使用SSL使客户无需部署客户端软件、无需更改内部服务器,也无需提供成本高昂的长期维护服务和桌面系统支持。与传统的IPSec客户端解决方案相比,Juniper网络公司SSL VPN安全接入产品可提供更低的总拥有成本和独特的端到端安全特性。增强的接入方式使企业可以根据需要,安心的提供适当的访问权限。
Secure Access 2000:
Juniper 网络公司Secure Access 2000 (SA 2000) SSL VPN 使中小型企业可以部署经济高效的远程接入、外联网及内联网安全性。用户可从任何标准Web浏览器接入企业网络和应用。SA 2000 使用SSL作为安全接入传输机制,SSL是所有标准Web浏览器中使用的安全协议。使用SSL使客户无需部署客户端软件、无需更改内部服务器,也无需进行成本高昂的长期维护。Juniper 的Secure Access 设备还提供先进的合作伙伴/客户外联网特性,以控制用户或用户组的网络访问,无需更改基础设施、无需部署DMZ、也无需软件代理。这项功能还允许公司安全接入企业内联网,使管理员可以根据不同员工、承包商和访问者所需的资源来限制他们的接入权限。
SA 2000 的改进特性使企业能够实现远程的安全接入,基本的客户/合作伙伴外联网或安全内联网接入。高级版本还能提供更多先进的功能,通过不同的听众,用户案例以及Juniper 的Central Manager实现更加复杂的部署需求。
Secure Access 2000 主要特性与优势如下:
·端点客户端、设备、数据和服务器的分层安全性控制
·Juniper 网络公司Endpoint Defense Initiative(端点防御计划),用于提供最高的端点安全性
·可以根据用户组或角色、网络、设备及会话属性来规定基于用户身份的接入
·不需要部署客户端软件或更改服务器,几乎不需要长期维护
·从单一平台安全地远程接入内联网和外联网
·安全的外联网接入,无需构建DMZ、无需加固服务器、无需复制资源、或无需增加部署来添加应用或用户
·集中管理选项提供统一管理
·用户自助服务功能,可降低技术支持服务窗口的支持成本
·3种不同的接入方法,允许管理员根据具体目的来设置接入权限
·基于角色分配管理任务
·群集对部署选项,可为整个LAN和WAN提供高可用性
上海冰峰:
上海冰峰计算机网络技术有限公司(ICEFLOW SHANGHAI LIMITED简称ICEFLOW)是 由ICEFLOW CANADA在上海投资成立的一家高新科技公司。其专业从事VPN及防火墙设备研发和销售,致力于为全球范围内网络通讯运营商及企事业用户提供全面的网络解决方案。
ICEFLOW SSL:
上海冰峰公司推出的ICEFLOW SSL比一般的SSL VPN技术更有优势,是SSL VPN技术发展史上的一次创新 。Web式SSL VPN,免客户端安装; 独特的隧道式SSL VPN,又能兼顾所有网络程序应用,弥补了web式SSL难以“胜任”的C/S应用程序应用,功能又与IPSec VPN类似,如此,ICEFLOW SSL真正达到了“多能化”效果。
新的基于web式SSL协议的VPN,其突出优势在于web安全和移动接入,表现在以下几点:
·简单:远程访问更容易,网络配置管理更简单、成本更低。由于所有的部署工作和维护管理工作都在SSL VPN网关,属于集中部署、集中管理模式,对于VPN的部署和管理带来了极大的便捷。
·不用安装客户端:直接利用浏览器打开即可。通过任何一台可以上网的,安装了浏览器的接入设备,就可以使用SSL VPN 访问办公网,极大的简化IT管理员的工作负担,提高工作效率。
·兼容性好:可以适用于任何的终端及操作系统。
ICEFLOW SSL VPN目前主要针对于基于Web应用的客户,它可以设定不同的使用者,执行不同的应用系统,它能够更好的保证信息的保密性、真实性和完整性,必将成为web电子商务应用安全产品的首要选择。
·数据的私密性:在传输过程中可以使数据保持隐藏,不被非法查看;是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络物制,所受到的威胁也仅是所联机的这个应用系统,攻击机会相对就减少。另外,SSL VPN的联机,所感染的可能性,仅局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。
·数据的真实性和完整性:有关数字加密、安全协议有关的技术可以确保数据在传输过程中不被修改或者损坏。
·数据快速性:其采用SSL加速器技术,可分担服务器CPU的计算任务,通过加速后,一部只能完成接受每秒75个SSL连接的服务器,就可达到接受每秒800个以上连接的性能。
·连接的可靠性:在使用SSL协议的通信中,每一个应用是一个安全的独立体。要使用SSL协议进行VPN通信,则所进行的远程通信应用必须能识别SSL技术,这样可保证应用访问可靠进行。
深圳赛蓝:
CYLAN VPN SSL 620 设备网关适合应用于中小企业规模,满足其企业移动用户、分支机构、供应商、合作伙伴等企业资源(如基于Web的应用、企业邮件系统、文件服务器、C/S应用系统等)安全接入服务。企业利用自身的网络平台,创建一个增强安全性的企业私有网络。CYLAN SSL VPN客户端的应用是基于标准Web浏览器内置的加密套件与服务器协议出相应的加密方法,即经过授权用户只要能上网就能够通过浏览器接入服务器建立SSL安全隧道。
CYLAN SSL VPN利用三种客户端接入方式来协助用户在任何地方任何时间安全第访问公司的任何资源:
·远程桌面共享
·Web Browser 基于浏览器的接入(可以访问Web 应用程序和文件共享)
·即时下载的Java 小应用程序(可访问客户/服务器应用程序)
应用领域:
CYLAN SSL VPN提供下述情况的解决方案:企业需要通过互联网(笔记本型计算机、移动个人计算机、远程用户接入)达到广泛而全面性的信息存取。CYLAN SSL VPN能满足所有你的远程接入需要。CYLAN SSL VPN技术为你提供增强的灵活性,以便更好地配合你公司的安全性和基础结构需要,同时给你的用户一个统一的、容易的界面和一个简化的用户经验。CYLAN SSL VPN0还提供了高可用性,它具有可靠的冗余能力,排除了单点故障的可能性,减少系统停机时间,另外它还具有负载均衡的能力,提高系统的整体性能。
产品优势:
·安全性:客户对资源的每一次操作都需要经过安全的身份验证和加密,确保点到点的真正安全。因为是直接开启应用系统,并没在网络层上连接,攻击机会相对就减少。CYLAN SSL VPN还保护不同协议间的通信,增强安全性。
·经济性:使用CYLAN SSL VPN只需要在总部放置一台硬件设备,就可以实现所有用户的远程安全访问快速地接入服务。
·可扩展性:CYLAN SSL VPN一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。
·访问控制:如CYLAN SSL VPN可以根据用户的不同身份,给予不同的访问权限,还可以对访问人员的每个操作进行数字签名,保证每笔数据的不可否认性,为事后追踪提供了依据。
·部署与管理成本:CYLAN SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求。
小结:
另外,做VPN的厂商还有很多,比较著名的例如思科、国内起步较早的深信服和在安全领域非常有名的天融信,这里就不一一介绍了。
2001-2007 Comsenz Inc.
