SSLVPN技術(shù)的六大特點
不同于IPSecVPN技術(shù),SSLVPN技術(shù)是基于應(yīng)用層和TCP層之間的技術(shù),SSLVPN技術(shù)更適合于應(yīng)用于遠程分散用戶的安全接入。了解SSLVPN技術(shù)可以使在企業(yè)部署安全防護上,能夠根據(jù)自身條件選擇適當?shù)腣PN架構(gòu)對企業(yè)安全進行升級。本篇文章將著重介紹SSLVPN技術(shù)的六大特點并區(qū)別SSLVPN技術(shù)與IPSecVPN技術(shù)的不同。
(1)客戶端支撐維護簡單
對于大多數(shù)執(zhí)行基于SSL協(xié)議的遠程訪問是不需要在遠程客戶端設(shè)備上安裝軟件,只需通過標準的Web瀏覽器連接因特網(wǎng),即可以通過網(wǎng)頁訪問到企業(yè)內(nèi)部的網(wǎng)絡(luò)資源。而IPSecVPN需要在遠程終端用戶一方安裝特定軟件以建立安全隧道。
(2)提供增強的遠程安全接入功能
IPSecVPN通過在兩站點間創(chuàng)建安全隧道提供直接(非代理方式)接入,實現(xiàn)對整個網(wǎng)絡(luò)的透明訪問;一旦隧道創(chuàng)建,用戶終端就如同物理地處于企業(yè)內(nèi)部局域網(wǎng)中,這會帶來很多安全風險,尤其是在接入用戶權(quán)限過大的情況下。SSLVPN提供安全、可代理連接。通常SSLVPN技術(shù)的實現(xiàn)方式是在企業(yè)的防火墻后面放置一個 SSL代理服務(wù)器。如果用戶希望安全地連接到公司網(wǎng)絡(luò)上,那么當用戶在瀏覽器上輸入一個URL后,連接將被SSL代理服務(wù)器取得,并驗證該用戶的身份,然后SSL代理服務(wù)器將連接映射到不同的應(yīng)用服務(wù)器上。
(3)提供更細粒度的訪問控制
SSLVPN能對加密隧道進行細分,使終端用戶能夠同時接入Internet和訪問內(nèi)部企業(yè)網(wǎng)資源。另外,SSLVPN技術(shù)還能細化接入控制功能,提供用戶級別的鑒權(quán),依據(jù)安全策略確保只有授權(quán)的用戶才能夠訪問特定的內(nèi)部網(wǎng)絡(luò)資源,這種精確的接入控制功能對遠程接入IPSecVPN來說幾乎是不可能實現(xiàn)的。
(4)能夠穿越NAT和防火墻設(shè)備
SSLVPN技術(shù)工作在傳輸層之上,因而能夠遍歷所有NAT設(shè)備和防火墻設(shè)備,這使得用戶能夠從任何地方遠程接入到公司的內(nèi)部網(wǎng)絡(luò)。而IPSecVPN工作在網(wǎng)絡(luò)層上,它很難實現(xiàn)防火墻和NAT設(shè)備的遍歷,并且無力解決IP地址沖突。
(5)能夠較好地抵御外部系統(tǒng)和病毒攻擊
SSL是一個安全協(xié)議,數(shù)據(jù)是全程加密傳輸?shù)摹A硗猓捎赟SL網(wǎng)關(guān)隔離了內(nèi)網(wǎng)服務(wù)器和客戶端,只留下一個Web瀏覽接口,客戶端的大多數(shù)木馬病毒感染不到內(nèi)網(wǎng)服務(wù)器。而傳統(tǒng)的IPSecVPN由于實現(xiàn)的是IP級別的訪問,一旦隧道創(chuàng)建,用戶終端就如同物理地處于企業(yè)內(nèi)部局域網(wǎng)中,內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng)都是可以偵測得到,這就為黑客攻擊提供了機會,并且使得局域網(wǎng)能夠傳播的病毒,通過VPN一樣能夠傳播。
(6)網(wǎng)絡(luò)部署靈活方便
IPSecVPN在部署時一般放置在網(wǎng)絡(luò)網(wǎng)關(guān)處,因而需要考慮網(wǎng)絡(luò)的拓撲結(jié)構(gòu),如果增添新的設(shè)備,往往要改變網(wǎng)絡(luò)結(jié)構(gòu)。而SSLVPN技術(shù)卻有所不同,它一般部署在內(nèi)網(wǎng)中防火墻之后,可以隨時根據(jù)需要,添加需要VPN保護的服務(wù)器,因此無需影響原有網(wǎng)絡(luò)結(jié)構(gòu)。
【編輯推薦】
