SSL(平安套接层)VPN被视为IPSec VPN的互补性手艺,在实现移动办公和远程接入时,SSL VPN更可以作为IPSecVPN的庖代性方案。SSL和谈由网景公司提出,是一种基于WEB应用的平安和谈,搜罗处事器认证、客户认证(可选)、SSL链路上的数据完整性和数据保密性。所有尺度的WEB浏览器均已内建了SSL和谈。采用SSL和谈的设备并不等同于SSLVPN,除非它操作SSL和谈实现对WEB及各类使用静态或动态端口的处事做撑持。我们举个例子,看看SSLVPN是若何在组织中应用的。A是一家年夜型的国际集团,拥有3家上市子公司、7个研发中心和20余个出产基地,处事处和员工遍布全球。在A集团中心计心情房的处事器集群中部署了ERP系统、客户关系打点系统(CRM)、邮件系统、办公自动化系统、文件处事器,以及一些定制化的集团应用。集团规模不竭扩年夜,已有50%的人员分布在企业总部以外,而且这一比率还在不竭增添。人员在远离总部的同时,他们离中心计心情房中的各类应用也“越来越远”。集团总部的人员同样也在随时远离总部,在家、在会场、机场、酒店、甚至在亲友家中,他们试图操作各类设备,自己攒的兼容机、公司配备的标识表记标帜本、会场酒店供给的主机、自带的PDA、MSCE操作系统的移动电话、甚至是亲属家的电脑,接入到总部的内网。这些人不是IT专家,但营业的不成间断性激发了他们的移动办公需求。SSL VPN工作在传输层和应用层之间,使用了浏览器自带的SSL和谈,当集团的员工但愿毗连到总部收集时,可以尽情使用手头任何可接入Internet的设备。经由过程在浏览器中输入总部SSLVPN的收集地址,ActiveX控件会自动被下载并安装,操作打点员发布的帐号和密码,员工就可以随时接入到内网。传统的SSLVPN只撑持以web为基本的应用,而现在的SSLVPN取得了很年夜的前进,经由过程端口转发和应用重定向手艺,在客户端访谒常用的C/S应用已经垂手可得。有些SSLVPN产物走得更远,经由过程在客户端和总部成立全三层的地道实现了收集扩展,你甚至可以在手持设备上使用Voip,经由过程SSH和Telnet打点局域网的收集设备,年夜你隔邻办公室的电脑中下载其共享的mp3。如不美观员工是在公共场所使用SSL上岸,当客户端长时刻没有操作时,SSLVPN会自动注销其用户,避免主机被其他人操作。当客户端退出SSL后,其访谒的记实和保留在浏览器中的Cache也会被自动断根,使访谒不留痕迹。对于合作伙伴的接入,SSL VPN操作其地址收集层的优势,可以保证“端获得应用的平安”。在合作伙伴接入前,SSLVPN便启用了其端点平安性扫描功能,经由过程对远程终端操作系统、注册表、历程、防火墙和杀毒软件的检测,确保了终端的平安策略合适打点员的要求才可接入。此外,现在SSLVPN配备的丰硕认证功能已经带来了更好的接入矫捷性和不成伪造性,CA证书、USBKEY、动态令牌、短信密码,这些机制让正当用户的身份获得了最年夜水平的保障。对于A集团来说,其原料供给商、经销商、投资人需要访谒的应用系统各不不异,收集打点人员可以将分歧类型的合作伙伴归为分歧的用户组,再为各个用户组映射其需要访谒的资本。SSLVPN部署在防火墙等设备的内侧,经由过程把需要合作伙伴访谒的资阅暌钩射到SSLVPN,网关处只需要开放443端口(HTTPS)即可,而不用开放任何有关内部资本的端口。当外部受到抨击袭击时,黑客只能抨击袭击到SSLVPN为止,而内部应用对其来说是不成见的。当合作伙伴接入后,只能访谒打点员授权的应用。而经由过程IPSec接入,整个集团的内网将吐露在合作伙伴的屏幕上,无非给抨击袭击和内容泄露敞开了年夜门。对于打点员来说,具体的日志功能是必不成少的。作为集团应用的部署和维护者,系统打点员有权知道有哪些人在何时上岸了VPN又是年夜何时注销的,这些人访谒了何种资本,哪些资本的访谒量最年夜。而一个完美的SSLVPN日志系统将辅佐打点员可以做到记实和审计工作,这搜罗完整的用户、打点员上岸信息统计,以及经由过程这些统计获得的图形化报表,用来辅佐打点员剖析用户访谒内部资本的纪律和趋向。除了实现平安接入和移动办公外,SSLVPN还有新的用武之地,其中之一是对专线内资本的呵护。因为专网内往往存在分歧的组织和部门,统一部门的资本并不但愿被其他部门所访谒或窃取。可是这很难办到。无论是数据传输中的加密仍是对访谒者的身份认证,传统的平安策略都裂痕百出。例如应用系统的访谒根基都经由过程系统自己的认证来实现,如传统的用户名和密码。静态的口令轻易泄露,经由过程窃取到的密码来假充正当用户的身份进入系统,未授权的用户将会等闲的获得敏感的数据,破损正常的营业流程,进而给组织带来重年夜的损失踪。我们可以把SSLVPN部署在处事器前端用来做访谒呵护,让SSLVPN成为任何人访谒应用系统和数据库的必经之路。连系CA系统,经由过程CA中心签发的证书做双向身份认证,有用地防止终局区重播、中心人欺诈等对身份认证的抨击袭击,保证了营业系统用户的正当身份;同时,操作SSLVPN的端点平安和地道加密手艺,保证了接入端的平安性,使系统的数据免遭平安隐患,而传输中的加密更可以保障应用交付过程中的数据加密,防止数据被专线内的不明身份者进取和破解。
SSL(平安套接层)VPN被视为IPSec VPN的互补性手艺,在实现移动办公和远程接入时,SSL VPN更可以作为IPSecVPN的庖代性方案。SSL和谈由网景公司提出,是一种基于WEB应用的平安和谈,搜罗处事器认证、客户认证(可选)、SSL链路上的数据完整性和数据保密性。所有尺度的WEB浏览器均已内建了SSL和谈。采用SSL和谈的设备并不等同于SSLVPN,除非它操作SSL和谈实现对WEB及各类使用静态或动态端口的处事做撑持。我们举个例子,看看SSLVPN是若何在组织中应用的。A是一家年夜型的国际集团,拥有3家上市子公司、7个研发中心和20余个出产基地,处事处和员工遍布全球。在A集团中心计心情房的处事器集群中部署了ERP系统、客户关系打点系统(CRM)、邮件系统、办公自动化系统、文件处事器,以及一些定制化的集团应用。集团规模不竭扩年夜,已有50%的人员分布在企业总部以外,而且这一比率还在不竭增添。人员在远离总部的同时,他们离中心计心情房中的各类应用也“越来越远”。集团总部的人员同样也在随时远离总部,在家、在会场、机场、酒店、甚至在亲友家中,他们试图操作各类设备,自己攒的兼容机、公司配备的标识表记标帜本、会场酒店供给的主机、自带的PDA、MSCE操作系统的移动电话、甚至是亲属家的电脑,接入到总部的内网。这些人不是IT专家,但营业的不成间断性激发了他们的移动办公需求。SSL VPN工作在传输层和应用层之间,使用了浏览器自带的SSL和谈,当集团的员工但愿毗连到总部收集时,可以尽情使用手头任何可接入Internet的设备。经由过程在浏览器中输入总部SSLVPN的收集地址,ActiveX控件会自动被下载并安装,操作打点员发布的帐号和密码,员工就可以随时接入到内网。传统的SSLVPN只撑持以web为基本的应用,而现在的SSLVPN取得了很年夜的前进,经由过程端口转发和应用重定向手艺,在客户端访谒常用的C/S应用已经垂手可得。有些SSLVPN产物走得更远,经由过程在客户端和总部成立全三层的地道实现了收集扩展,你甚至可以在手持设备上使用Voip,经由过程SSH和Telnet打点局域网的收集设备,年夜你隔邻办公室的电脑中下载其共享的mp3。如不美观员工是在公共场所使用SSL上岸,当客户端长时刻没有操作时,SSLVPN会自动注销其用户,避免主机被其他人操作。当客户端退出SSL后,其访谒的记实和保留在浏览器中的Cache也会被自动断根,使访谒不留痕迹。对于合作伙伴的接入,SSL VPN操作其地址收集层的优势,可以保证“端获得应用的平安”。在合作伙伴接入前,SSLVPN便启用了其端点平安性扫描功能,经由过程对远程终端操作系统、注册表、历程、防火墙和杀毒软件的检测,确保了终端的平安策略合适打点员的要求才可接入。此外,现在SSLVPN配备的丰硕认证功能已经带来了更好的接入矫捷性和不成伪造性,CA证书、USBKEY、动态令牌、短信密码,这些机制让正当用户的身份获得了最年夜水平的保障。对于A集团来说,其原料供给商、经销商、投资人需要访谒的应用系统各不不异,收集打点人员可以将分歧类型的合作伙伴归为分歧的用户组,再为各个用户组映射其需要访谒的资本。SSLVPN部署在防火墙等设备的内侧,经由过程把需要合作伙伴访谒的资阅暌钩射到SSLVPN,网关处只需要开放443端口(HTTPS)即可,而不用开放任何有关内部资本的端口。当外部受到抨击袭击时,黑客只能抨击袭击到SSLVPN为止,而内部应用对其来说是不成见的。当合作伙伴接入后,只能访谒打点员授权的应用。而经由过程IPSec接入,整个集团的内网将吐露在合作伙伴的屏幕上,无非给抨击袭击和内容泄露敞开了年夜门。对于打点员来说,具体的日志功能是必不成少的。作为集团应用的部署和维护者,系统打点员有权知道有哪些人在何时上岸了VPN又是年夜何时注销的,这些人访谒了何种资本,哪些资本的访谒量最年夜。而一个完美的SSLVPN日志系统将辅佐打点员可以做到记实和审计工作,这搜罗完整的用户、打点员上岸信息统计,以及经由过程这些统计获得的图形化报表,用来辅佐打点员剖析用户访谒内部资本的纪律和趋向。除了实现平安接入和移动办公外,SSLVPN还有新的用武之地,其中之一是对专线内资本的呵护。因为专网内往往存在分歧的组织和部门,统一部门的资本并不但愿被其他部门所访谒或窃取。可是这很难办到。无论是数据传输中的加密仍是对访谒者的身份认证,传统的平安策略都裂痕百出。例如应用系统的访谒根基都经由过程系统自己的认证来实现,如传统的用户名和密码。静态的口令轻易泄露,经由过程窃取到的密码来假充正当用户的身份进入系统,未授权的用户将会等闲的获得敏感的数据,破损正常的营业流程,进而给组织带来重年夜的损失踪。我们可以把SSLVPN部署在处事器前端用来做访谒呵护,让SSLVPN成为任何人访谒应用系统和数据库的必经之路。连系CA系统,经由过程CA中心签发的证书做双向身份认证,有用地防止终局区重播、中心人欺诈等对身份认证的抨击袭击,保证了营业系统用户的正当身份;同时,操作SSLVPN的端点平安和地道加密手艺,保证了接入端的平安性,使系统的数据免遭平安隐患,而传输中的加密更可以保障应用交付过程中的数据加密,防止数据被专线内的不明身份者进取和破解。
No comments:
Post a Comment