宋文軒　劉立

【摘要】 文章簡要地概述了SSL VPN技術(shù)，針對 SSL VPN網(wǎng)絡(luò)技術(shù)在企業(yè)信息系統(tǒng)中的應(yīng)用進行了分析與研究，旨在為了利用SSL VPN技術(shù)來解決大中型網(wǎng)絡(luò)應(yīng)用中存在的不足，以確保企業(yè)信息系統(tǒng)的安全。

【關(guān)鍵詞】 SSL VPN 網(wǎng)絡(luò)技術(shù) 企業(yè) 接入方案

一、引言

VPN（Virtual Private Network），虛擬專用網(wǎng)絡(luò)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。近些年來，隨著計算 機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，越來越多的人也需要用到 VPN 來解決遠程訪問內(nèi)部資源的問題。VPN網(wǎng)絡(luò)技術(shù)主要是為企業(yè)提供易用、低成本、高性能的 安全遠程網(wǎng)絡(luò)訪問方式，同時也具有優(yōu)異的性能，該技術(shù)可以支持大量網(wǎng)絡(luò)用戶的并發(fā)訪問，而且可以適應(yīng)于各種異構(gòu)的網(wǎng)絡(luò)環(huán)境，具有很好的技術(shù)兼容性。

二、SSL VPN技術(shù)概述

SSL VPN 是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單 最安全的解決技術(shù)。SSL（安全套接層）協(xié)議是一種在互聯(lián)網(wǎng)上保證發(fā)送信息安全的通用協(xié)議，采用B/S結(jié)構(gòu)（瀏覽器/服務(wù)器模式）。它處在應(yīng)用層，SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL協(xié)議指定了在應(yīng)用程序協(xié)議和TCP/IP 之間進行數(shù)據(jù)交換的安全機制，為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認證以及可選擇的客戶機認證。只要計算機安裝上SSL VPN就可以進行虛擬專用網(wǎng)的應(yīng)用，那是因為SSL里面內(nèi)嵌在瀏覽器中，所以不需要安裝客戶端，以方便的通信。

SSL協(xié)議可分為兩層：一層是 SSL記錄協(xié)議：它建立在可靠的傳輸協(xié)議之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓 縮、加密等基本功能的支持。另外一層是SSL握手協(xié)議：它建立在SSL記錄協(xié)議之上，用于在實際的數(shù)據(jù)傳輸開始前，通訊雙方進行身份認證、協(xié)商加密算法、交換加密密鑰等。SSL協(xié)議的安全特性包括以下幾個方面：（1）傳輸過程安全。傳輸?shù)倪^程加密強度是決定了網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)不被黑客所截獲。數(shù)據(jù)在傳輸過程加密強度越高，傳輸安全性就越有保障。（2）用戶身份驗證。傳統(tǒng)的用戶名密碼認證比較簡單，不是很安全，SSL協(xié)議利用 PKI 體系進行加密，效果比較好。（3）客戶端設(shè)備的安全性。客戶端計算機需要安裝殺毒軟件，防火墻等，來防止SSL VPN 的密碼被木馬盜走，所以SSL VPN 需要對客戶端進行檢測。（4）服務(wù)端的日志跟蹤。SSL VPN 服務(wù)器應(yīng)該提供訪問統(tǒng)計和跟蹤功能，網(wǎng)絡(luò)管理員可以通過服務(wù)端日志來了解系統(tǒng)訪問的具體情況，所以對于服務(wù)器來說也是提供了多一種安全保障的方法。

三、SSL VPN網(wǎng)絡(luò)技術(shù)在企業(yè)信息系統(tǒng)中的應(yīng)用

3.1 遠程接入方案實例

使用SSL VPN設(shè)備安裝在企業(yè)的 DMZ 區(qū)上，IP地址是10.*.*.*，在防火墻上轉(zhuǎn)換成互聯(lián)網(wǎng)的IP地址：203.*.*.*，并開放443號端口。遠程用戶可以使用https：// 203.*.*.* 來訪問企業(yè)內(nèi)部信息系統(tǒng)。針對企業(yè)的網(wǎng)絡(luò)特點，在實施時可以將企業(yè)的一些應(yīng)用，如郵件系統(tǒng)、OA 系統(tǒng)、文件共享系統(tǒng)等安裝到 SSL VPN上，同時可以通過 Active Directory 進行用戶身份的統(tǒng)一管理。

3.2 接入技術(shù)方案

3.2.1 安全接入

SSL VPN設(shè)備能夠檢測或評估客戶設(shè)備以確保它們遵從公司的安全策略，包括防火墻和防病毒軟件、操作系統(tǒng)和補丁、間諜軟件檢查、設(shè)備類型以及網(wǎng)絡(luò)配置等，違規(guī)設(shè)備將被拒絕訪問網(wǎng)絡(luò)，或被定向到軟件更新網(wǎng)站。

3.2.2 SSL VPN用戶認證、授權(quán)

SSL VPN認證對用戶來說是一個簡單的過程。所有的用戶申請都流經(jīng)一個專門的服務(wù)器：接入點、策略服務(wù)點和認證服務(wù)點，然后返回用戶。但對于用戶來說，Web瀏覽器是他們訪問資源的唯一接入點。

多種認證方式。對于多個系統(tǒng)可實現(xiàn)單點登錄（Single Sign-On），支持身份聯(lián)盟：您可使用一個數(shù)字身份來訪問多個部門甚至是整個企業(yè)的信息，可以有效降低管理負擔(dān)，方便使用。

訪問規(guī)則旨在允許用戶訪問資源。所有資產(chǎn)至少都與一個訪問規(guī)則相對應(yīng)，包括認證方法、日期或時間限制以及用戶群成員關(guān)系等內(nèi)容。SSL VPN還在內(nèi)部系統(tǒng)中與防火墻和訪問控制機制一起實施訪問控制。防火墻在用戶與系統(tǒng)互動時使用，訪問控制與防火墻提供相同的安全性，應(yīng)用在 IP和端口級別。

3.2.3 對應(yīng)用的全面支持

支持所有應(yīng)用，包括基于Web的應(yīng)用、客戶端/服務(wù)器、主機、終接服務(wù)器和雙向應(yīng)用（VoIP、在線協(xié)作工具）和文件服務(wù)器等。作為軟件解決方案，現(xiàn)有 SSL VPN設(shè)備可定制用于支持任何類型的應(yīng)用。

3.3 SSL VPN 安全接入在應(yīng)用中的優(yōu)勢

通過 SSL VPN 實現(xiàn)安全接入，可以“幫助企業(yè)提高生產(chǎn)力，改善用戶使用體驗”。安全接入解決方案具有多種優(yōu)點。

3.3.1 提高信息安全性

（1）防止信息泄漏。由于客戶端與SSL VPN 網(wǎng)關(guān)之間實現(xiàn)高強度的加密信息傳輸，因此雖然信息傳輸是通過公網(wǎng)進行的，但是其安全性是可以得到保證的。第三方即使可以得到傳輸數(shù)據(jù)，但是卻無法得到隱藏到其中的明文信息。因此敏感的信息如業(yè)務(wù)賬號等被保護起來，杜絕了有效信的泄露。（2）杜絕非法訪問。SSL VPN的訪問要經(jīng)過認證和授權(quán)，充分保證用戶身份的合法性。SSL VPN只允許那些擁有相應(yīng)權(quán)限的用戶進行網(wǎng)絡(luò)連接。如果請求連接的用戶沒有合法身份，則 SSL VPN將拒絕其連接請求，從而限制了非法用戶對內(nèi)網(wǎng)的訪問。（3）保護信息的完整性。SSL VPN使用數(shù)字證書進行機密性與完整性參數(shù)的協(xié)商，它不僅能夠?qū)λ鶄鬏數(shù)臄?shù)據(jù)進行機密性的保護，同時也對其提供完整性保護。當(dāng)在傳輸過程中的數(shù)據(jù)被篡改之后，SSL VPN是可以檢測到的，如果檢測到數(shù)據(jù)被篡改，他們就會放棄所接收到的數(shù)據(jù)。

3.3.2 靈活的用戶管理和訪問控制

提供多種多樣的認證機制和授權(quán)訪問機制，存在本地用戶數(shù)據(jù)庫，可以配置在SSL VPN網(wǎng)關(guān)設(shè)備上。SSL VPN 組網(wǎng)方案是面向應(yīng)用的VPN 方案，可以做到基于應(yīng)用的精細控制，基于用戶和組賦予不同的應(yīng)用訪問權(quán)限，并對相關(guān)訪問操作進行審計。這是一般基于網(wǎng)絡(luò)的 VPN 所辦不到的。

3.3.3 降低管理和維護成本

SSL VPN方案是無客戶端的方案，由于客戶端采用標(biāo)準瀏覽器，SSL VPN的網(wǎng)關(guān)只需要在企業(yè)的數(shù)據(jù)中心部署，其他的維護操作都是在SP上面進行的，包括用戶的授權(quán)，訪問應(yīng)用的各種配置等操作。它的管理工作屬于集中管理和集中維護模式，可以極大地降低管理和維護成本。

四、結(jié)束語

由于現(xiàn)代化網(wǎng)絡(luò)技術(shù)的迅速擴展，針對遠程安全接入的需求也日益提升。VPN技術(shù)為企業(yè)用戶提供了一個低成本、高效率、高安全性的資源共享和互聯(lián)服務(wù)，是企業(yè)內(nèi)部網(wǎng)的擴展和延伸。SSL VPN繼承了IPSec VPN的遠程使用與內(nèi)網(wǎng)使用體驗一致、與應(yīng)用無關(guān)的優(yōu)點，避免了因有客戶端而導(dǎo)致的使用維護不便、某些網(wǎng)絡(luò)條件下無法接通、帶來大量病毒和蠕蟲的入侵、無法與企業(yè)現(xiàn)有認證服務(wù)器結(jié)合、無法審計等問題，從功能上有網(wǎng)絡(luò)訪問、網(wǎng)上應(yīng)用程序、Windows文件共享、移動電子郵件、應(yīng)用程序訪問、傳統(tǒng)主機、終端服務(wù)器等眾多功能。SSL VPN 技術(shù)在企業(yè)資源管理與配置、信息共享與交互、電子商務(wù)等方面都具有很高的應(yīng)用價值和推廣意義。

參 考 文 獻

[1] 張翠琴. VPN 技術(shù)在現(xiàn)代監(jiān)測網(wǎng)中的應(yīng)用 [J]. 光盤技術(shù)，2008（1）

[2] 王建良. 分布式網(wǎng)絡(luò)數(shù)據(jù)傳輸中VPN技術(shù)的研究[J]. 計算機與網(wǎng)絡(luò)，2003（13）