解读SSL VPN技术(二)
2.SSL VPN的主要不足之处
上面介绍SSL VPN技术这么多优势,那么为什么现在不是所有用户都使用SSL VPN,且据权威调查机构调查显示目前绝大多部分企业仍采用IPSec VPN呢?SSL VPN的主要不足在哪里呢?
(1)必须依靠因特网进行访问:为了通过基于SSL VPN进行远程工作,当前必须与因特网保持连通性。因为此时Web浏览器实质上是扮演客户服务器的角色,远程用户的Web浏览器依靠公司的服务器进行所有进程。正因如此,如果因特网没有连通,远程用户就不能与总部网络进行连接,只能单独工作。
(2)对新的或者复杂的Web技术提供有限支持:基于SSL的VPN方案是依赖于反代理技术来访问公司网络的。因为远程用户是从公用因特网来访问公司网络的,而公司内部网络信息通常不仅是处于防火墙后面,而且通常是处于没有内部网IP地址路由表的空间中。反代理的工作就是翻译出远程用户Web浏览器的需求,通常使用常见的URL地址重写方法,例如,内部网站也许使用内部DNS服务器地址链接到其他的内部网链接,而URL地址重写必需完全正确地读出以上链接信息,并且重写这些URL地址,以便这些链接可以通过反代理技术获得路由,当有需要时,远程用户可以轻松地通过点击路由进入公司内部网络。对于URL地址重写器完全正确理解所传输的网页结构是极其重要的,只有这样才可正确显示重写后的网页,并在远程用户计算机浏览器上进行正确地操作。
(3)只能有限地支持Windows应用或者其它非Web系统:因为大多数基于SSL的VPN都是基Web浏览器工作的,远程用户不能在Windows,、UNIX、Linux、AS400或者大型系统上进行非基于Web界面的应用。虽然有些SSL提供商已经开始合并终端服务来提供上述非Web应用,但不管如何,目前SSL VPN还未正式提出全面支持,这一技术还有待讨论,也可算是一个挑战。
(4)只能为访问资源提供有限安全保障:当使用基于SSL协议通过Web浏览器进行VPN通信时,对用户来说外部环境并不是完全安全、可达到无缝连接的。因为SSL VPN只对通信双方的某个应用通道进行加密,而不是对在通信双方的主机之间的整个通道进行加密。在通信时,在Web页面中呈现的文件很难也基本上无法保证只出现类似于上传的文件和邮件附件等简单的文件,这样就很难保证其它文件不被暴露在外部,存在一定的安全隐患。
四、SSL VPN 与IPSec VPN之间的比较
要了解SSL VPN与IPSec VPN到底有哪些联系与区别,首先还是先来回顾一下传统的IPSec VPN方案。
IPSec的英文全名为“Internet Protocol Security”,中文名为“因特网安全协议”,这个安全协议是VPN的基本加密协议,它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方要建立IPSec通道,首先要采用一定的方式建立通信连接。因为IPSec协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式,这包括如加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而不管这些通道构建时所采用的安全和加密方法如何。
1. IPSec的主要不足
(1)安全性能高,但通信性能较低
因为IPSec安全协议是工作在网络层的,不仅所有网络通道都是加密的,而且在用户访问所有公司资源时,就像采用专线方式与公司网络直接物理连接一样。你可以或者不想让你的合作伙伴或者远程员工成为您的网络一部分,IPSec不仅使你正在通信的那一很小的部分通道加密,而是对所有通道进行加密。所以在在安全性方面比SSL VPN好,但整体通信性能却因安全性受到了影响,不过安全性方面始终高于性能的,这也是目前IPSec VPN仍为主流的原因之一。
(2)需要客户端软件
在IPSec VPN中需要在每一客户端安装特殊用途的客户端软件,用这些软件来替换或者增加客户系统的TCP/IP堆栈。在许多系统中,这就可能带来了与其他系统软件之间兼容性问题的风险,例如木马程序所带来的安全性风险,特别是在这些客户端软件是从网站上下载,而且不是经过专门的IT人员安装的情况下。解决IPSec协议的这一兼容性问题目前还缺乏一致的标准,几乎所有的IPSec客户端软件都是专有的,不能与其它兼容。
在一些情形中,IPSec安全协议是在运行在网络硬件应用中,在这种解决方案中大多数要求通信双方所采用的硬件是相同的,IPSec协议在硬件应用中同样存在着兼容性方面的问题。
并且,IPSec客户端软件在膝上电脑或者桌面系统中的应用受到限制。这种限制限制了用户使用的灵活性,在没有装载IPSec客户端系统的远程用户中用户不能与网络进行VPN连接。
(3)安装和维护困难
IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSecI安全协议进行的VPN远程访问提供服务。
(4)实际全面支持的系统比较少
虽然已有许多开发的操作系统提出对IPSec协议的支持,但是在实际应用是,IPSec安全协议客户的计算机通常只运行基于Windows系统,很少有运行其它PC系统平台的,如Mac、Linux、Solaris 等。
2. 为什么要用SSL,而不用IPSec VPN?
虽然目前并不是所有,也不大多数用户采用SSL代理方式进行VPN通信,但是使用SSL VPN的用户数却在不断增加,有些是原来一直采用IPSec VPN的,原因主要有以下几个方面:
(1)不需要客户端软件和硬件需求
在SSL代理中的一个关键优势就是不需要在客户端安装另外的软件,而只需要在服务器端安装相应的软件和硬件,然后通过服务器向客户端发布。SSL代理可以使用于支持SSL技术的标准Web浏览器和email客户中。
(2)容易使用,容易支持Web界面
在今天的工厂中,有许多Web浏览器和支持SSL的email客户端,包括Windows、Macintosh、Linux/UNIX、PDAs,甚至到蜂窝电话都可以通过SSL协议进行通信。因为这些都是人们已非常熟悉的,这样就可以大大节省培训费用。
(3)端到端 vs. 端到边缘安全
IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全,不管怎样,所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
这两种VPN方式的通道安全示意图如图1所示。
图1
(4)90%以上的通信是基于Web和Email的
近呼90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信,另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用,属非因特网应用。
3. SSL VPN与IPSec VPN的比较列表
下表是SSL VPN与IPSec VPN主要性能比较,从表中可以看出各自的主要优势与不足。
五、SSL VPN的发展前景
SSL VPN的出现,使得原来基于IP安全的IPSec VPN厂商不得不重新思考它们的产品方略。我们知道基于IP安全协议的IPSec VPN已经占领了很大一部分市场,成为VPN市场的主流。但是随着SSL VPN技术的出现,基于IP协议的IPSec VPN正经受着一场前所未有的考验。但是不是SSL VPN会取代现有的IPSec VPN成为主流呢?
虽然SSL VPN有许多相对IPSec VPN的优点,但这些对于主流应用VPN的客户——大、中型企业来说这些优点就显得不是很重要了。
据有关网络安全专家认为这就目前的SSL VPN技术来讲是不可能的。主要体现在目前的SSL VPN应用非常有限,仅适用于基于Web的应用。SSL的支持者认为,当企业工作人员需要远程访问Web应用如电子邮件或者接入企业内网的时(因为SSL可以绕过防火墙和代理服务器)才应用,SSL只不过是一种更低廉而且更容易部署的选择而已。况且目前,传统的IPSec VPN厂商为了满足这部分用户的需求,正在匆忙地为其产品增加SSL性能,这样只能单独提供SSL性能的VPN产品就可能大受冷落了。
市场研究家们预计在今后几年中,SSL VPN设备的全球销售将会出现持续增长,但同时也表明IPSec VPN设备不会因SSL VPN设备的增长而受到大的影响,相反也会技术快速增长,因为整个VPN市场将在近几来得到极快的增长。Infonetics研究公司预测,SSL VPN市场将会从2002年的5600万美元增长到2005年的8.4亿美元。IPSec VPN设备也将从2002年的15亿美元增长到2005年的25亿美元。
随着基于Web的应用越来越多,以及远程接入需求的增长,SSL可能会成为一个热门市场,成为传统IPSec VPN设备厂商需要考虑的一个发展方向。 Check Point公司就曾于去年7月发布过一款SSL VPN产品,它认为SSL对于需要通过Extranet与业务合作伙伴交换数据但又不想安装VPN客户端的企业来说非常理想。其他IPSec VPN厂商像北电网络和SonicWall都持此观点。北电网络于去年9月发布了Alteon SSL设备;SonicWall则在两年以前收购Phobos的时候就开始提供SSL产品了。
其他IPSec VPN支持者,如赛门铁克,正在计划如何将SSL安全技术集成进它的产品中。另外一些小厂商,如Aspelle、Air Gap、Aventail、Neoteris和Whale等通信公司都已经意识到SSL VPN市场需求增长。
|
茶乡浪子
博客统计信息
热门文章
最新评论