摘要:本文总结了SSLVPN的基本原理,研究了SSLVPN的安全性,并与IPSecVPN做了相关比较。

关键字:SSLVPN;IPSecVPN;网络安全

VPN是一项非常实用的技术,它可以扩展企业的内部网络,近期,传统的IPSecVPN出现了客户端不易配置等问题,相对而论文网言,SSLVPN作为一种全新的技术正在被广泛关注,SSL利用内置在每个Web浏览器中的加密和验证功能,并与安全网关相结合,提供安全远程访问企业应用的机制,这样,远程移动用户可以轻松访问公司内部B/S和C/S应用及其他核心资源。

1什么是SSLVPN

SSLVPN是指应用层的VPN,HTTPS来访问受保护的应用。目前常见的SSLVPN方案有两种:直路方式和旁路方式。直路方式中,当客户端需要访问一应用服务器时,首先,客户端和SSLVPN网关通过证书互相验证双方;其次,客户端和SSLVPN网关之间建立SSL通道;然后,SSLVPN网关作为客户端的代理和应用服务器之间建立TCP连接,在客户端和应用服务器之间转发数据。旁路方式与直路不同的是,为了减轻在进行SSL加解密时的运行负担,也可以独立出SSL加速设备,在SSLVPNServer接收到HTTPS请求时将SSL加密的过程交给SSL加速设备来处理,当SSL加速设备处理完之后再将数据转发给SSLVPNServer。

2SSLVPN的安全性

保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。由于使用的是SSL协议,该协议是介于HTTP层及TCP层的安全协议。传输的内容是经过加密的。SSLVPN通过设置不同级别的用户,设置不同级别的权限来屏蔽非授权用户的访问。用户的设置可以有设置帐户。使用证书。Radius机制等不同的方式。SSL数据加密的安全性由加密算法来保证,各家公司的算法可能都不一样。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。

完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。由于SSLVPN一般在GATEWAY上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSLVPN上,这样对于GATEWAY来讲,需要开通443这样的端口到SSLVPN即可,而不需要开通所有内部的应用的端口,如果有黑客发起攻击也只能到SSLVPN这里,攻击不到内部的实际应用。

可用性就是保证信息及信息系统确实为授权使用者所用。前面已经提到,对于SSLVPN要保护的后台应用,可以为其设置不同的级别,只有相应级别的用户才可以访问到其对应级别的资源,从而保证了信息的可用性。

可控性就是对信息及信息系统实施安全监控。SSLVPN作为一个安全的访问连接建立工具,所有的访问信息都要经过这个网关,所以记录日志对于网关来说非常重要。不仅要记录日志,还要提供完善的超强的日志分析能力,才能帮助管理员有效地找到可能的漏洞和已经发生的攻击,从而对信息系统实施监控。

[1][2]下一页