SSL VPN作为一@@项近两年发展起来的新技术@@,由于其无须安装客户端的便捷性和@@因此@@大幅降低的实施管理成本@@,在@@国内外得到了迅速的应用@@@@和@@发展@@。与@@IPSEC VPN相比@@,SSL VPN更加适用于客户端单机接入中心网络的应用@@@@要求@@(如@@移动办公@@),而@@IPSEC VPN则适用于两个网络之间构建安全通@@道@@。
目前@@阻碍@@SSL VPN在@@国内普及应用@@的因素@@,主要有以@@下三@@个方面@@:
一@@、 用户对@@SSL VPN安全性仍有疑虑@@
IPSEC VPN的每个客户端都必须安装@@IPSEC客户端软件@@、并有多种身份认证和@@数据@@加密方式@@,技术成熟@@、安全性得到了实际应用@@的证明@@。而@@SSL VPN首先就打破了安装专用客户端的传统@@,倡导的是@@“随时随地移动接入@@”的新概念@@,甚至在@@公共场合@@(如@@网吧@@)、都能够利用@@SSL VPN访问内网资源@@。这些现象给用户带来了一@@定的困扰@@:SSL VPN足够安全吗@@?
VPN系统的安全性主要包括三@@个层面@@:数据@@传输的安全@@、身份认证的安全@@、内网应用@@的安全@@。从协议@@上来说@@,SSL VPN采用标准的安全套接层@@(SSL)协议@@对传输中的数据@@包进行加密@@。SSL协议@@则是浏览器自带的@@,加密强度一@@般为@@128位@@,从应用@@的角度来说@@、完全能够满足数据@@传输层的安全需求@@。所有的@@SSL VPN产品@@在@@这一@@点上@@是相同的@@。
第二@@个层次@@是关于@@身份认证的安全@@@@。SSL VPN在@@这一@@点上@@也日趋成熟@@。以@@Sinfor SSL VPN为例@@,采取了多重身份认证机制@@。1、用户名密码的校验@@;2、数字证书@@,并支持@@第三@@方的@@PKI体系@@、能与@@@@CA中心集成@@;3、USB KEY的认证@@;4、动态短信发送密钥@@。这些认证方式可以@@有效的保障身份认证的安全@@@@。
对于内网应用@@的安全@@@@,其实@@SSL VPN更胜于@@IPSEC VPN。对标准的@@IPSEC VPN而@@言@@,并没有在@@内网安全上做进一@@步的要求@@,它只是打开了从分支到总部的通@@路@@、对于里面传什么数据@@是没有有效保证的@@。因此@@也造成了病毒在@@@@IPSEC VPN内部跨网传播等一@@系列@@安全隐患@@。Sinfor IPSEC VPN为了解决该问题@@,提出了@@“内网权限管理@@”的概念@@、在@@IPSEC VPN内部设定细致的内网访问权限@@,但并不是所有的@@@@IPSEC VPN都做到了这一@@点@@。
SSL VPN则不同@@,它本来就是基于应用@@层的@@VPN。只有开放了的应用@@@@才允许使用@@、并没有给接入的用户不受限制的访问权限@@。因此@@,从安全性角度来分析@@,SSL VPN完全能够满足移动用户的接入安全需求@@。
SSL VPN最大的便利在@@于不需安装任何客户端@@,这也使得它在@@一@@些特殊终端@@(如@@支持@@浏览器的@@PDA)、特殊场合@@(如@@不是使用自己电脑时@@、临时需要接入总部@@)具有@@IPSEC VPN不可比拟的优势@@。如@@果移动用户使用的是自己的笔记本电脑@@、SSL VPN的优势则不那么明显@@。因为@@IPSEC客户端也就是安装一@@次@@@@,配置也并不复杂@@。Sinfor DKEY的即插即用技术更做到了零配置@@。同时@@,对于用户来说往往不仅需要移动用户接入@@、还需要站点间的互联互通@@@@,如@@果需要用户部署两套设备@@(IPSEC、SSL各一@@套@@),无疑增加了成本和@@管理的复杂性@@。因此@@,深信服科技@@创新性的提出了@@@@“IPSEC/SSL二@@合一@@@@”的概念@@,在@@同一@@台设备中同时@@支持@@两种协议@@@@,便于客户规划整网的@@VPN。并且@@,IPSEC和@@SSL客户端授权可由用户自行分配@@。例如@@客户购买了@@100个客户端授权@@,可自己定义多少个用于@@@@IPSEC、多少个用于@@SSL,让用户在@@实际应用@@中选择最适合自己的@@VPN接入方式@@。
二@@、SSL VPN对多种应用@@的透明支持@@@@
在@@这一@@点上@@,很多外行的报道误导了用户@@。关于@@SSL VPN的介绍文章中@@,到处充斥着@@“SSL VPN只支持@@@@WEB应用@@”这样的字眼@@。这完全是混淆了@@SSL协议@@和@@@@SSL VPN的概念@@。SSL VPN之所以@@不需要安装任何客户端@@,就是因为@@用户终端中只要有浏览器@@、就一@@定会有@@SSL协议@@。SSL VPN就是用到了系统已有的@@SSL协议@@来构建安全的通@@道@@,但并不等于@@SSL VPN只支持@@@@WEB应用@@。
Sinfor SSL VPN除了支持@@@@WEB应用@@之外@@,还能支持@@任何基于@@TCP的应用@@@@(如@@C/S应用@@软件@@)、支持@@Windows网上邻居@@、FTP等多种应用@@@@,该技术的实现原理是将所有其他非@@WEB的应用@@@@进行重定向@@、在@@客户端将所有数据@@转入@@SSL协议@@通@@道传输@@,在@@中心端进行恢复和@@还原@@。Sinfor SSL VPN近期进一@@步通@@过自主研发的@@IPTUNEL协议@@、支持@@了@@UDP应用@@,支持@@PING通@@,以@@实现对视频等更复杂应用@@的透明支持@@@@。对客户端来说@@,仍然不需安装任何客户端软件@@@@、只需在@@@@SSL用户登录时自动下载部分插件@@,保证了@@SSL VPN天然的易用性@@。
三@@、SSL VPN价格居高不下@@
SSL VPN和@@大多数@@IT新技术一@@样@@,是从国外@@流传到中国的新技术@@。目前@@SSL VPN的产品@@仍然以@@国外@@厂商为主@@,国内自主研发的@@SSL VPN产品@@屈指可数@@、并且@@在@@技术上还没有形成普遍的突破@@。这是导致@@SSL VPN价格高昂的主要原因@@。而@@IPSEC VPN由于技术成熟@@@@、普及时间长@@,国内厂商的进步等等@@,由市场将价格拉到了合适的水平@@。
深信服科技@@一@@贯坚持@@“高性价比@@”的定位@@@@,作为国内@@SSL VPN的排头兵@@、除了在@@技术上赶超国外@@品牌@@,同时@@通@@过不断的创新树立自身特色优势之外@@(深信服科技@@SSL VPN已经拥有了多线路自动选路@@、短信认证等发明专利和@@技术优势@@,并即将推出客户化定制页面@@@@、单点登录等多项优势功能@@),也要打破国外@@@@SSL VPN暴利的局面@@。目前@@,Sinfor SSL VPN的出货量已经占到了深信服科技@@@@M系列@@产品@@的@@50%、已经在@@与@@国外@@厂商的多次@@较量中获胜@@,在@@政府@@@@(如@@北京朝阳区@@、石景山区移动办公项目@@,上海嘉定区移动办公项目@@)、教育@@(华南师范大学@@、浙江林学院等数十所高校@@)、集团用户@@(重庆力帆集团@@、上海交运集团@@、中石化国际公司等@@)和@@邮政@@、气象@@、金融等重要网络中得到了广泛应用@@@@。
为了进一@@步推动@@SSL VPN应用@@普及@@,让更多@@的用户享受到新技术带来的便利@@,深信服科技@@将在@@全部的@@M系列@@VPN产品@@中缺省配有@@SSL VPN模块@@,用户只需以@@购买@@IPSEC VPN相同的价格@@、就可以@@同时@@拥有支持@@两种协议@@的@@VPN产品@@。而@@对所有的@@移动客户端授权@@,均可以@@由用户自主配置@@(例如@@用户购买了@@100个客户端授权@@,可以@@自己配置多少个用于@@@@IPSEC、多少个用于@@SSL),我们坚信@@、国外@@SSL VPN产品@@的暴利时代必将很快结束@@@@,SSL VPN也必将成为广大用户买得起@@、用得好的安全基础设施@@。
