解讀SSLVPN技術(二)
2.SSL VPN的主要不足之處
上面介紹SSL VPN技術這麼多優勢,那麼為什麼現在不是所有使用者都使用SSL VPN,且據權威調查機構調查顯示目前絕大多部分企業仍採用IPSec VPN呢?SSL VPN的主要不足在哪裡呢?
(1)必須依靠因特網進行訪問:為了通過基於SSL VPN進行遠端工作,當前必須與因特網保持連通性。因為此時Web瀏覽器實質上是扮演客戶伺服器的角色,遠端使用者的Web瀏覽器依靠公司的伺服器進行所有程式。正因如此,如果因特網沒有連通,遠端使用者就不能與總部網路進行連線,只能單獨工作。
(2)對新的或者複雜的Web技術提供有限支援:基於SSL的VPN方案是依賴於反代理技術來訪問公司網路的。因為遠端使用者是從公用因特網來訪問公司網路的,而公司內部網路資訊通常不僅是處於防火牆後面,而且通常是處於沒有內部網IP地址路由表的空間中。反代理的工作就是翻譯出遠端使用者Web瀏覽器的需求,通常使用常見的URL地址重寫方法,例如,內部網站也許使用內部DNS伺服器地址連結到其他的內部網連結,而URL地址重寫必需完全正確地讀出以上鍊接資訊,並且重寫這些URL地址,以便這些連結可以通過反代理技術獲得路由,當有需要時,遠端使用者可以輕鬆地通過點選路由進入公司內部網路。對於URL地址重寫器完全正確理解所傳輸的網頁結構是極其重要的,只有這樣才可正確顯示重寫後的網頁,並在遠端使用者計算機瀏覽器上進行正確地操作。
(3)只能有限地支援Windows應用或者其它非Web系統:因為大多數基於SSL的VPN都是基Web瀏覽器工作的,遠端使用者不能在Windows,、UNIX、Linux、AS400或者大型系統上進行非基於Web介面的應用。雖然有些SSL提供商已經開始合併終端服務來提供上述非Web應用,但不管如何,目前SSL VPN還未正式提出全面支援,這一技術還有待討論,也可算是一個挑戰。
(4)只能為訪問資源提供有限安全保障:當使用基於SSL協議通過Web瀏覽器進行VPN通訊時,對使用者來說外部環境並不是完全安全、可達到無縫連線的。因為SSL VPN只對通訊雙方的某個應用通道進行加密,而不是對在通訊雙方的主機之間的整個通道進行加密。在通訊時,在Web頁面中呈現的檔案很難也基本上無法保證只出現類似於上傳的檔案和郵件附件等簡單的檔案,這樣就很難保證其它檔案不被暴露在外部,存在一定的安全隱患。
四、SSL VPN 與IPSec VPN之間的比較
要了解SSL VPN與IPSec VPN到底有哪些聯絡與區別,首先還是先來回顧一下傳統的IPSec VPN方案。
IPSec的英文全名為“Internet Protocol Security”,中文名為“因特網安全協議”,這個安全協議是VPN的基本加密協議,它為資料在通過公用網路(如因特網)在網路層進行傳輸時提供安全保障。通訊雙方要建立IPSec通道,首先要採用一定的方式建立通訊連線。因為IPSec協議支援幾種操作模式,所以通訊雙方先要確定所要採用的安全策略和使用模式,這包括如加密運演算法則和身份驗證方法型別等。在IPSec協議中,一旦IPSec通道建立,所有在網路層之上的協議在通訊雙方都經過加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而不管這些通道構建時所採用的安全和加密方法如何。
1. IPSec的主要不足
(1)安全效能高,但通訊效能較低
因為IPSec安全協議是工作在網路層的,不僅所有網路通道都是加密的,而且在使用者訪問所有公司資源時,就像採用專線方式與公司網路直接物理連線一樣。你可以或者不想讓你的合作伙伴或者遠端員工成為您的網路一部分,IPSec不僅使你正在通訊的那一很小的部分通道加密,而是對所有通道進行加密。所以在在安全性方面比SSL VPN好,但整體通訊效能卻因安全性受到了影響,不過安全性方面始終高於效能的,這也是目前IPSec VPN仍為主流的原因之一。
(2)需要客戶端軟體
在IPSec VPN中需要在每一客戶端安裝特殊用途的客戶端軟體,用這些軟體來替換或者增加客戶系統的TCP/IP堆疊。在許多系統中,這就可能帶來了與其他系統軟體之間相容性問題的風險,例如木馬程式所帶來的安全性風險,特別是在這些客戶端軟體是從網站上下載,而且不是經過專門的IT人員安裝的情況下。解決IPSec協議的這一相容性問題目前還缺乏一致的標準,幾乎所有的IPSec客戶端軟體都是專有的,不能與其它相容。
在一些情形中,IPSec安全協議是在執行在網路硬體應用中,在這種解決方案中大多數要求通訊雙方所採用的硬體是相同的,IPSec協議在硬體應用中同樣存在著相容性方面的問題。
並且,IPSec客戶端軟體在膝上電腦或者桌面系統中的應用受到限制。這種限制限制了使用者使用的靈活性,在沒有裝載IPSec客戶端系統的遠端使用者中使用者不能與網路進行VPN連線。
(3)安裝和維護困難
IPSec安全協議方案需要大量的IT技術支援,包括在執行和長期維護兩個方面。在大的企業通常有幾個專門的員工為通過IPSecI安全協議進行的VPN遠端訪問提供服務。
(4)實際全面支援的系統比較少
雖然已有許多開發的作業系統提出對IPSec協議的支援,但是在實際應用是,IPSec安全協議客戶的計算機通常只執行基於Windows系統,很少有執行其它PC系統平臺的,如Mac、Linux、Solaris 等。
2. 為什麼要用SSL,而不用IPSec VPN?
雖然目前並不是所有,也不大多數使用者採用SSL代理方式進行VPN通訊,但是使用SSL VPN的使用者數卻在不斷增加,有些是原來一直採用IPSec VPN的,原因主要有以下幾個方面:
(1)不需要客戶端軟體和硬體需求
在SSL代理中的一個關鍵優勢就是不需要在客戶端安裝另外的軟體,而只需要在伺服器端安裝相應的軟體和硬體,然後通過伺服器向客戶端釋出。SSL代理可以使用於支援SSL技術的標準Web瀏覽器和email客戶中。
(2)容易使用,容易支援Web介面
在今天的工廠中,有許多Web瀏覽器和支援SSL的email客戶端,包括Windows、Macintosh、Linux/UNIX、PDAs,甚至到蜂窩電話都可以通過SSL協議進行通訊。因為這些都是人們已非常熟悉的,這樣就可以大大節省培訓費用。
(3)端到端 vs. 端到邊緣安全
IPSec安全協議的一個主要優勢就是隻需要在客戶和網路資源邊緣處建立通道。僅保護從客戶到公司網路邊緣連線的安全,不管怎樣,所有執行在內部網路的資料是透明的,包括任何密碼和在傳輸中的敏感資料。SLL安全通道是在客戶到所訪問的資源之間建立的,確保端到端的真正安全。無論在內部網路還是在因特網上資料都不是透明的。客戶對資源的每一次操作都需要經過安全的身份驗證和加密。
這兩種VPN方式的通道安全示意圖如圖1所示。
圖1
(4)90%以上的通訊是基於Web和Email的
近呼90%的企業利用VPN進行的內部網和外部網的聯接都只是用來進行因特網訪問和電子郵件通訊,另外10%的使用者是利用諸如x11、聊天協議和其它私有客戶端應用,屬非因特網應用。
3. SSL VPN與IPSec VPN的比較列表
下表是SSL VPN與IPSec VPN主要效能比較,從表中可以看出各自的主要優勢與不足。
|
選項
|
SSL VPN
|
IPSec VPN
|
|
身份驗證
|
·單向身份驗證
·雙向身份驗證
·數字證書
|
·雙向身份驗證
·數字證書
|
|
加密
|
·強加密
·基於Web瀏覽器
|
·強加密
·依靠執行
|
|
全程安全性
|
·端到端安全
·從客戶到資源端全程加密
|
·網路邊緣到客戶端
·僅對從客戶到VPN閘道器之間通道加密
|
|
可訪問性
|
選用於任何時間、任何地點訪問
|
限制適用於已經定義好受控使用者的訪問
|
|
費用
|
·低(無需任何附加客戶端軟體)
|
·高(需要管理客戶端軟體)
|
|
安裝
|
·即插即用安裝
·無需任何附加的客戶端軟、硬體安裝
|
·通常需要長時間的配置
·需要客戶端軟體或者硬體
|
|
使用者的易使用性
|
·對使用者非常友好,使用非常熟悉的Web瀏覽器
·無需終端使用者的培訓
|
·對沒有相應技術的使用者比較困難
·需要培訓
|
|
支援的應用
|
·基於Web的應用
·檔案共享
·E-mail
|
·所有基於IP協議的服務
|
|
使用者
|
客戶、合作伙伴使用者、遠端使用者、供應商等
|
更適用於企業內部使用
|
|
可伸縮性
|
容易配置和擴充套件
|
在伺服器端容易實現自由伸縮,在客戶端比較困難
|
五、SSL VPN的發展前景
SSL VPN的出現,使得原來基於IP安全的IPSec VPN廠商不得不重新思考它們的產品方略。我們知道基於IP安全協議的IPSec VPN已經佔領了很大一部分市場,成為VPN市場的主流。但是隨著SSL VPN技術的出現,基於IP協議的IPSec VPN正經受著一場前所未有的考驗。但是不是SSL VPN會取代現有的IPSec VPN成為主流呢?
雖然SSL VPN有許多相對IPSec VPN的優點,但這些對於主流應用VPN的客戶——大、中型企業來說這些優點就顯得不是很重要了。
據有關網路安全專家認為這就目前的SSL VPN技術來講是不可能的。主要體現在目前的SSL VPN應用非常有限,僅適用於基於Web的應用。SSL的支持者認為,當企業工作人員需要遠端訪問Web應用如電子郵件或者接入企業內網的時(因為SSL可以繞過防火牆和代理伺服器)才應用,SSL只不過是一種更低廉而且更容易部署的選擇而已。況且目前,傳統的IPSec VPN廠商為了滿足這部分使用者的需求,正在匆忙地為其產品增加SSL效能,這樣只能單獨提供SSL效能的VPN產品就可能大受冷落了。
市場研究家們預計在今後幾年中,SSL VPN裝置的全球銷售將會出現持續增長,但同時也表明IPSec VPN裝置不會因SSL VPN裝置的增長而受到大的影響,相反也會技術快速增長,因為整個VPN市場將在近幾來得到極快的增長。Infonetics研究公司預測,SSL VPN市場將會從2002年的5600萬美元增長到2005年的8.4億美元。IPSec VPN裝置也將從2002年的15億美元增長到2005年的25億美元。
隨著基於Web的應用越來越多,以及遠端接入需求的增長,SSL可能會成為一個熱門市場,成為傳統IPSec VPN裝置廠商需要考慮的一個發展方向。 Check Point公司就曾於去年7月釋出過一款SSL VPN產品,它認為SSL對於需要通過Extranet與業務合作伙伴交換資料但又不想安裝VPN客戶端的企業來說非常理想。其他IPSec VPN廠商像北電網路和SonicWall都持此觀點。北電網路於去年9月釋出了Alteon SSL裝置;SonicWall則在兩年以前收購Phobos的時候就開始提供SSL產品了。
其他IPSec VPN支持者,如賽門鐵克,正在計劃如何將SSL安全技術整合進它的產品中。另外一些小廠商,如Aspelle、Air Gap、Aventail、Neoteris和Whale等通訊公司都已經意識到SSL VPN市場需求增長。
本文轉自王達部落格51CTO部落格,原文連結http://blog.51cto.com/winda/13566如需轉載請自行聯絡原作者
茶鄉浪子
相關文章
- Cube 技術解讀 | Cube 小程式技術詳解
- Cube 技術解讀 | Cube 卡片技術棧詳解
- 呼叫鏈系列二:解讀UAVStack中的呼叫鏈技術
- Cloud + TiDB 技術解讀CloudTiDB
- 從技術角度解讀《資料安全法(草案)》二審稿
- Ceph分散式儲存技術解讀分散式
- Tair持久儲存系列技術解讀AI
- Qtum量子鏈關鍵技術解讀QT
- 解讀圖資料庫技術路線資料庫
- PCIe SSD韌體簽名技術解讀
- 【Laravel】Laravel 框架關鍵技術解析·讀書筆記(二)Laravel框架筆記
- 世上最汙技術解讀,我竟然秒懂了。
- 陽振坤:OceanBase 4.0 核心技術解讀
- 解讀什麼是遠端訪問技術
- 分散式儲存技術解讀系列之GFS分散式
- 全面解讀工業物聯網及其技術
- 驗證碼防薅羊毛技術的解讀
- 雲端計算8項核心技術全解讀
- 解讀分散式防火牆之――技術篇(轉)分散式防火牆
- 技術貢獻解讀 浪潮雲海OpenStack X版本技術貢獻中國第一
- 以太坊創始人V神用中文對Rollup二層技術全解讀 - 幣乎
- 雲原生資料中臺技術與趨勢解讀
- 史上最汙技術解讀,老司機瞬間開車!
- Cube 技術解讀 | Cube 渲染設計的前世今生
- 技術解讀:美團外賣Android Crash治理之路!Android
- 技術架構解讀:直播答題如何組隊架構
- 深入解讀Service Mesh 背後的技術細節
- 必讀技術書籍
- 系列解讀 SMC-R (二):融合 TCP 與 RDMA 的 SMC-R 通訊 | 龍蜥技術TCP
- 賽事直播解說+連麥,技術架構難點解讀架構
- 容器技術之Dockerfile(二)Docker
- javascript之DOM技術(二)JavaScript
- AISecOps白皮書精華解讀之技術體系篇AI
- 深度乾貨 | OceanBase 主動切主技術解讀
- 深度解讀:數字技術適老化發展報告
- 技術解讀:Hadoop、PostgreSQL與Storm正面比拼報告!HadoopSQLORM
- 第二章 jQuery技術解密 (二)jQuery解密
- 虛擬化解決方案 virtio 的技術趨勢與 DPU 實踐解讀 | 龍蜥技術