| 出版日期:2004-09-27 总期号:1351 本年期号:72 |
|
 |
从Socket层寻求突破
李兆星 SVPN技术还刚刚进入人们视野, 融合IPSec VPN优点的新一代SSL VPN又已悄悄显形 第一代SSL VPN 以CheckPoint为代表(主要在Nokia产品中),其安全程度、传输效率、防火墙/代理服务的穿透能力、移动方便性都胜出了传统的IPSec VPN,大有代替IPSec之势,然而,从本质来说,这一种SSL VPN是根本无法代替IPSec的,因为首先他只能加密某些特定的应用,并不能从根本上对整个操作系统的通讯进行加密;其次,目前这一代SSL VPN只对Web应用有效,而目前大多数企业应用并不在Web上。通常情况下,当应用第一代的SSL VPN时,我们可以不用安装相应的客户软件,这样摈弃了安装软件的麻烦,但是也增加了对应用的支持特性的不足。为什么我们不改良并开发具有Mini Client客户端的SSL VPN软件以充分增强其在GateWay-GateWay方式应用的特性并且利用IPSec的优良特性呢? 日前,有专家预测了新一代SSL VPN的发展趋势,且称之为第二代SSL VPN。该SSL VPN保留第一代SSL VPN的各种优点,弥补SSL VPN的不足之处,其原理是在第一代SSL VPN 加入IPSec的一些设计优点,采用虚拟网络设备技术在Socket层(IPSec是在网络层)进行拦截,并通过SSL加密隧道发送至对方,并进行解密和还原。其优点是在Socket层工作并且采用SSL进行加密认证传输,所以效率明显高于IPSec,克服了第一代SSL VPN无法对整个操作系统的通讯进行加密认证的缺点,同时也能兼容各种非Web应用程序,并且不存在VPN和防火墙/代理服务器的矛盾了。 因为结合了IPSec与SSL两者优秀的特性,我们可以看到,此SSL VPN可以实现更多优良特性,包括:任何B/S、C/S方式的应用都可无障碍地运行于安全的保护之中;支持更多的操作系统,Mini Client甚至可以被装入您的PDA中,以确保移动应用安全;更高的安全特性,使用SSL进行加密/认证以及传输,保证每个节点本身的安全/健壮特性,端点的安全性得以增强;权限集中管理,统一下发;安全穿透防火墙/代理服务器等,提供无障碍的远程访问连接;降低企业内部防病毒等方面的潜在威胁;GateWay-GateWay方式的安全通信因为Mini Client的使用也得到了充分的发挥 总的说来,SSL VPN的诞生并不代表着IPSec VPN的消亡,大多数安全专家都认为这两种技术必将相辅相成。 
新一代SSLVPN流程简要示意图 |
||||||||||||||||||||||||||||||
