VPN基本原理之二(SSL VPN的基本原理分析)

原创 2004年12月31日 10:07:00
从简单而言, SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。

几乎所有的主流商业浏览器都集成了SSL,实施SSL VPN不需要再安装额外的软件。绝大多数SSL VPN的生产厂商都通过“signed plugins”提供其他的功能,“signed plugins”可以跟随浏览器自动传输给客户端。

SSL实现了客户端0安装,0配置。因此其功能和应用也受到限制。它适合PC-Web Server模式,就是大量的移动用户通过浏览器访问Web服务器,有的SSL VPN还对ftp、telnet等进行了扩充,增强了其可用性,即便如此,充其量是实现了PC-to-Lan的功能。适用于数据库-应用服务器-Web服务器-浏览器这一种模式。在保护范围、认证方式、应用程序类型上限制很多。而IPsec VPN则提供第三层IP的可达性,可以保证任何基于tcp/ip的程序运行。

如果就网络联通而言,即使不使用SSL VPN,企业也能够实现Web应用,大不了我直接把服务器放置在Internet上,其他用户明文直接访问好了。有了一个SSL VPN设备,相当于在服务器之前作了一个代理,客户端要和服务器连接,就要通过这个代理的认证,而且从客户端到SSL VPN之间,数据是加密的。这样,internet上的黑客无法通过抓取数据包分析通讯信息。并且SSL VPN一般能够支持虚拟主机应用,这样,一个IP地址可以访问N个服务器。

SSL优点和缺点都很明显。
优点:
(1) 方便,实施SSL VPN只需要安装配置好中心网关即可。其余的客户端是免安装的,因此,实施工期很短,如果网络条件具备,连安装带调试,1-2天即可投入运营。
(2) 容易维护,SSL VPN维护起来也简单。出现问题,就维护网关就可以了。实在不行,换一台,如果有双机备份的话,备份机器启动就可以了。
(3) 安全,SSL 是一个安全协议,数据是全程加密传输的。另外,由于SSL网关隔离了内部服务器和客户端,只留下一个Web浏览接口,客户端的大多数病毒木马感染不到内部服务器。而IPsec VPN就不一样,实现的是IP级别的访问,远程网络和本地网络几乎没有区别。局域网能够传播的病毒,通过VPN一样能够传播。
当然,SSL VPN的缺点也是很明显的:
(1) 应用受限。一般都用于B/S模式。其他应用程序,象ftp/telnet等等有的SSL VPN能够支持。一般的C/S程序是不能直接应用的,因此SSL VPN市场始终没有火暴起来。这个缺点是致命的,所以现在很多SSL VPN也试图把IPsec 融入进去,通过客户端安装一个软件,虚拟一个VPN 的IP地址,实现PC-TO-Lan的IP级的连接。华盾公司(www.huadun.com.cn)也提供这样的产品,和美国array合作的。
(2) 只能实现星形的PC-SSL-SERVERs的应用模式。星形、树型结构都不能支持。
(3) 价格比较高。目前比较知名的高端SSL VPN,价格都在几十万以上。价格很低的国产VPN,在很多性能和应用可靠性上面,距离还比较大。
(4) 安全认证方式很单一,都是使用证书方式。,而且一般是单向认证。支持其它认证方式往往要进行长时间的二次开发。IPSec VPN认证方式更为灵活(口令、RADIUS、令牌等)。
(5) SSL VPN只能进行认证和加密,不能实施访问控制,建立隧道后,管理员对用户不能进行任何的限制。而集成防火墙的VPN则可以根据用户的身份和角色,在其访问内部资源(主机、数据库)进行访问控制和安全审计,这也是用户最为关心的一点。

为了克服以上的毛病,SSL开发商也作了很多工作,力图向IPSEC融合。兼容支持,而IPsec厂家也在后续的产品中间,陆续增加SSL的支持。我在公司下一代Ipsec产品规划的时候,已经把SSL的支持列入研究计划。

如果希望能够运行各种应用程序,并且建立LAN-to-Lan的VPN,IPsec还是主流的解决方案。我所在的华盾公司(www.huadun.com.cn),同时有SSL和IPsec产品线,结果大型用户无一例外全部使用IPSEC产品。SSL的销售额,目前为止还不能养活配套的销售和工程师。

什么是SSL VPN

SSL VPN 之RAP“遥访门”技术白皮书 远程访问办公室内部网络资源是各个公司的IT部门最头疼的一件事情,而且这样的头疼由来已久了。 每天都有成千上万的网络管理员会收到大量要求解决他们网络VP...
  • xjbclz
  • xjbclz
  • 2016年07月13日 21:35
  • 1247

在Linux下搭建ssl vpn,构建企业安全内网

OpenVPN 是一个强大、高度可配置、基于SSL的 VPN (Virtual Private Network)Open Source 软件。它具有多种的验证方式以及许多强大的功能。OpenVPN使用...
  • zhuifeng1024
  • zhuifeng1024
  • 2014年07月31日 13:50
  • 4106

技术点详解---SSL VPN

引用自http://www.h3c.com.cn/Service/Channel_Service/Operational_Service/ICG_Technology/201008/686807_30...
  • qq_35904259
  • qq_35904259
  • 2017年03月10日 12:56
  • 1372

SSL VPN和IPsec VPN的比较和选择

SSL VPN和IPsec VPN的比较和选择SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。这...
  • Poetic_Vienna
  • Poetic_Vienna
  • 2016年08月19日 14:45
  • 4866

实战开源OpenVPN 享受廉价SSL VPN

提起VPN,估计大多数人都会想到各大厂商的硬件设备。其实,VPN还有另外一大家族:软件VPN。通过软件的部署,实现Virtual Private Network的功能。 这篇文章将讲述如何利用Ope...
  • wangyong0921
  • wangyong0921
  • 2013年05月15日 15:07
  • 4698

强叔侃墙 VPN篇 Web代理、文件共享、端口转发三分天下,网络扩展惊鸿出世一统乾坤(上)

在SSL VPN开篇伊始,强叔说到SSL VPN提供了四种业务,Web代理、文件共享、端口转发和网络扩展。前面的贴子已经对前三种业务做了详尽的介绍,今天强叔就带着各位小伙伴一起来认识一下这第四种业务-...
  • nanfeng1686
  • nanfeng1686
  • 2015年05月15日 12:01
  • 1390

IPSec VPN基本原理(图解)

原文地址::http://sukhoi.blog.51cto.com/229761/1549430/ 相关文章 1、ipsec的简单介绍及应用----http://jiangkun08.b...
  • xqhrs232
  • xqhrs232
  • 2017年08月08日 16:25
  • 186

IPSec VPN基本原理

IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。 IPSec VPN应用场景 IPSec VPN的...
  • dolphin98629
  • dolphin98629
  • 2015年08月27日 11:11
  • 357

IPSec VPN基本原理(图解)

IPSec VPN基本原理(图解) 转载love23002014-09-05 17:04评论(0)59877人阅读 IPSec VPN是目前VPN技术中点击率非常高...
  • linaux_mctc
  • linaux_mctc
  • 2017年12月03日 15:29
  • 101

IPSec VPN基本原理

IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。 IPSec VPN应用场景 IPSec VPN的...
  • kissiey
  • kissiey
  • 2013年01月13日 22:05
  • 615
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:VPN基本原理之二(SSL VPN的基本原理分析)
举报原因:
原因补充:

(最多只允许输入30个字)