[原创] SSL VPN技术特点及原理...

 

     先来了解一下VPN

 

     VPN（Virtual Private Network：虚拟专用网）是一种以公用网络，尤其是Internet为基础通道，综合运用隧道封装、认证、加密、访问控制等多种网络和安全技术，实现企业总部、分支机构、合作伙伴及远程和移动办公人员之间互连互通和资源共享的方法。VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段，以替代传统的长途（租用）专线连接和远程拨号连接；但同时由于VPN需要借道公用网络，就必须解决因此而带来的网络安全问题。因此，VPN技术概括地说就是：实现低成本的安全互连。

 

      有许多可以实现VPN的技术途径，区别主要看该技术是在OSI参考模型的哪一层实现，如在应用层实现的SSL，在会话层实现的SocksV5，在网络层实现的IPSec和在数据链层实现的PPTP/L2TP等。VPN技术的多样性和似乎高深的专业术语很容易使一般用户不知所措，此时你不妨听听我们的建议：如果你需要安全地访问互联网上的某个站点，那么SSL VPN是一种不错的选择；如果你想将通过互联网访问公司内网中的某个服务器，或需要将两个处于不同地域的局域网基于互联网安全通连，那么IPSec 几乎就是一种必然的选择。

对比项	IPsec VPN	SSL VPN
工作机制	网络层	应用层
子网到子网通信	支持	不支持
单机到子网通信	支持	支持
支持的网络应用范围	全部支持	部分支持
客户端安装	需安装单独软件	无需单独安装软件
大量远程用户推广	较简单	非常简单
网络安全等级	高	高
与应用系统整合	简单	简单
用户端使用便利性	简单	更简单

?         总体比较

–     IPSec VPN 更适合子网－子网（网关－网关）的应用环境

–     SSL VPN  更适合单机－子网（客户端－网关)的应用环境

?         关系

–     互补而非竞争

 

SSL VPN的原理

 

      SSL（安全套接层）协议是一种在Internet上保证发送信息安全的通用协议。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议（如HTTP、Telnet和FTP等）和 TCP/IP协议之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。 警告协议用于在发生错误时终止两个主机之间的会话。实现认证、授权、访问控制、 通信安全。

 

 

SSL VPN的特点

 

?          免客户端安装

?          基于角色的授权

?          保持用户习惯

?          客户端安全策略

?          实时监控

 

简单的客户端安装

 

?          基于浏览器的安装

?          实施方便

?          支持多种客户端认证方式

 

基于组的授权

 

?          可以通过用户进行授权

?          可以通过组进行授权

?          用户和组结合授权

 

保持用户习惯

 

     每个企业都根据自己的实际需要定制开发一些应用系统，或者部署一些知名的服务来满足自己的需要，比如使用Outlook的日历安排的功能来安排会议；为不同分支机构的工程师部署集中的终端服务来共享设计仿真资源等。员工主要的工作时间都是在企业内部使用这些特定的应用，因此员工在家里或者酒店需要访问这些企业资源时候也希望保持在公司局域网中的使用习惯，不希望变换应用客户端软件，也不希望改变应用客户端的配置。

 

客户端安全策略

      一旦有用户接入到企业内部网络中，那么远端用户的计算机就成了企业网络的边缘。因此IT管理人员需要确保远端用户的计算机满足企业的安全策略要求，包括检验客户端是否安装制定杀毒软件及防护软件等。

 

实时监控

 

      提供SSL VPN准确的状态信息能帮助管理员设计及实现有效的安全策略。实时监控系统的各个状态有助于管理员预测可能发生的危害，和及时做出适当的反应。

 

华盾SSL VPN产品－基础功能

 

?         免安装客户端软件，直接通过浏览器安装和访问

?         个性化定制用户界面

?         安全关联应用

?         支持丰富的TCP/UDP应用服务

?         Web方式的文件共享

?         支持RADIUS/AD/LDAP认证机制

?         支持PKI /RSA /SecurID /iKey /附加码用户认证

?         提供基于组的数据访问控制

 

华盾SSL VPN产品特点

 

?         华盾SSLVPN产品满足的需求：使员工、合作伙伴和分公司等可以通过不安全的网络环境安全、快捷、轻松的访问公司内的资源。

?         华盾SSLVPN产品的特点：

–     基于Web的管理和访问方式，简单易用

–     基于角色的用户管理机制，资源访问控制更加灵活，逻辑更加清晰

–     提供多种功能满足用户对各种应用的需求

–     支持IE、OPERA8.0、FireFox等多种浏览器

–     采用128位加密技术，数据安全可以得到保障

 

华盾SSL VPN产品优势

 

提供了端点安全功能，即用户退出VPN后自动清除浏览器历史纪录，为在网吧等不安全场所应用SSL VPN提供了保障。

–     不但提供了本地认证方式，而且还提供了多种第三方认证，如AD、TACACS、LDAP和Domain认证。比其他厂商产品更加丰富。

–     端口转发支持UDP协议，这是别的厂商很少支持的。

–     专门提供了文件共享功能，这也是别的厂商所没有的。

–     提供了详细日志记录功能

 

有问题大家一起沟通

 

QQ71410261

 

MSN：bear1234739@yahoo.com.cn

好。谢谢

学习了，受用了

谢谢楼主发帖，下载要好好学习！

讲解的很透彻，谢谢分享。

讲解的很透彻，谢谢分享。

谢谢楼主，很好的东西

前半段还不错  后面怎么感觉像广告了

呵呵 LZ半扫盲 版广告

看起来就是一个产品的白皮书啊，呵呵～

不过ssl vpn是未来发展的一个趋势，能更紧的与客户的应用相结合，可以针对网络不同的应用划分权限，管理上更方便；使用和维护方面也的确比ipsec vpn要来的方便，而且现在好一点的ssl vpn厂商都支持site to site的架构方式，如果不考虑价格成本因素，完全可以取代ipsec vpn；另外，国内很多ssl vpn产品或者是oem外国厂商的产品，或者是由ipsec vpn改装而来，技术细节上还有较多的提高空间～

同样楼主的观点

 不错，多谢LZ

学习了   谢谢  不过后来怎么变产品推广了

很好很强大！