國(guó)產(chǎn)SSL VPN應(yīng)該具備的九大技術(shù)和功能
隨著信息安全從單純關(guān)注網(wǎng)絡(luò)安全轉(zhuǎn)變?yōu)橹攸c(diǎn)關(guān)注以業(yè)務(wù)為核心的應(yīng)用安全,遠(yuǎn)程安全接入的重要性日益明顯,SSL VPN以無(wú)需客戶端軟件,保護(hù)具體應(yīng)用,細(xì)粒度的訪問(wèn)控制,詳細(xì)的審計(jì)等特性,在易用性、安全性和管理性方面更勝一籌。因此,近幾年來(lái)SSL VPN的應(yīng)用范圍正在迅速擴(kuò)大。
關(guān)鍵技術(shù)
SSL VPN的關(guān)鍵技術(shù)包括:Web代理、端口轉(zhuǎn)發(fā)、應(yīng)用轉(zhuǎn)換、網(wǎng)絡(luò)連接(Network Connection, NC),目前大部分的SSL VPN產(chǎn)品,都是以這幾項(xiàng)技術(shù)的一項(xiàng)或幾項(xiàng)為基礎(chǔ)研發(fā)實(shí)現(xiàn)的。那么,對(duì)國(guó)產(chǎn)SSL VPN產(chǎn)品而言,哪些技術(shù)尤其重要呢?
首先是Web代理技術(shù)。由于用戶需要訪問(wèn)內(nèi)網(wǎng)的Web應(yīng)用,而且希望訪問(wèn)方式盡量簡(jiǎn)便,而只有具備Web代理技術(shù),SSL VPN產(chǎn)品才能做到100%零客戶端,才能為用戶提供最簡(jiǎn)便的接入方式,因此, Web代理技術(shù)對(duì)國(guó)產(chǎn)SSL VPN產(chǎn)品而言是一項(xiàng)必須技術(shù),也是SSL VPN產(chǎn)品是否專業(yè)的重要標(biāo)準(zhǔn)之一。
除了Web代理技術(shù),端口轉(zhuǎn)發(fā)技術(shù)的重要性也不容小覷。除了要訪問(wèn)除Web應(yīng)用外,用戶還需要經(jīng)常訪問(wèn)組織內(nèi)部的C/S架構(gòu)應(yīng)用,例如郵件、FTP、文件共享、數(shù)據(jù)庫(kù)、ERP等,這時(shí),SSL VPN產(chǎn)品采用端口轉(zhuǎn)發(fā)技術(shù)實(shí)現(xiàn)對(duì)C/S應(yīng)用的處理,是再合適不過(guò)的了。
至于應(yīng)用轉(zhuǎn)換技術(shù),目前國(guó)內(nèi)用戶需求并不迫切。由于SSL VPN產(chǎn)品需要把FTP、Email,SSH等應(yīng)用以Web的形式重新實(shí)現(xiàn),實(shí)現(xiàn)起來(lái)比較復(fù)雜,還可能存在提供的功能不夠完整,界面不夠友好,不太符合用戶的操作習(xí)慣以及控件引用是不合法等一系列問(wèn)題。從另一個(gè)角度來(lái)看,用戶在沒(méi)有使用SSL VPN之前,都已經(jīng)習(xí)慣通過(guò)相應(yīng)的客戶端軟件對(duì)C/S應(yīng)用進(jìn)行訪問(wèn),在使用SSL VPN后,仍然希望通過(guò)使用原來(lái)的客戶端軟件訪問(wèn)內(nèi)部的各種C/S應(yīng)用。由此看來(lái),應(yīng)用轉(zhuǎn)換技術(shù)并不十分適應(yīng)于國(guó)內(nèi)的用戶,也并非是國(guó)產(chǎn)SSL VPN產(chǎn)品的必須功能。
最后再看NC技術(shù),由于NC技術(shù)可以實(shí)現(xiàn)SSL VPN與應(yīng)用無(wú)關(guān)的特性,因此客戶端通過(guò)SSL VPN訪問(wèn)內(nèi)部整個(gè)子網(wǎng)的需求仍然存在。然而,在使用該功能時(shí),需要給客戶端配置虛擬IP地址,這樣一來(lái),就會(huì)遇到地址規(guī)劃上的一些問(wèn)題,在配置和使用上也比較復(fù)雜。目前,國(guó)內(nèi)已經(jīng)有SSL VPN廠商注意到這個(gè)問(wèn)題,為了更好地滿足用戶對(duì)易用性的要求,采用了一種“網(wǎng)絡(luò)層代理”技術(shù),客戶端通過(guò)SSL VPN產(chǎn)品訪問(wèn)內(nèi)部整個(gè)子網(wǎng)時(shí),不需要借助虛擬IP地址,也不需要改變內(nèi)網(wǎng)服務(wù)器網(wǎng)關(guān)指向,有效地解決了NC功能配置和使用復(fù)雜的難題。但目前,“網(wǎng)絡(luò)層代理”技術(shù)還存在一個(gè)問(wèn)題,即無(wú)法處理TCP連接由內(nèi)向外發(fā)起的應(yīng)用,無(wú)法做到“與應(yīng)用無(wú)關(guān)”。如果有SSL VPN產(chǎn)品能夠同時(shí)具備NC和網(wǎng)絡(luò)代理功能,將會(huì)受到更多國(guó)內(nèi)用戶的青睞。
更貼心的功能
以上列舉的只是SSL VPN產(chǎn)品的幾項(xiàng)主要技術(shù),為了更好地滿足國(guó)內(nèi)用戶的需求,SSL VPN產(chǎn)品還必須在功能上進(jìn)一步貼近需求,不斷豐富。那么,國(guó)產(chǎn)SSL VPN產(chǎn)品在功能上應(yīng)該如何“修煉內(nèi)功”呢?
豐富的認(rèn)證方式:國(guó)內(nèi)用戶類型眾多,對(duì)認(rèn)證方式和安全性要求也不盡相同。除了基本的本地口令外,動(dòng)態(tài)口令、短信口令、口令+動(dòng)態(tài)附加密、證書+USBKEY、口令+證書+USBKEY等多因素認(rèn)證方式也越來(lái)越常見,成為對(duì)SSL VPN產(chǎn)品的基本要求。此外,隨著CA體系在中國(guó)不斷健全,越來(lái)越多的用戶從專業(yè)的CA企業(yè)購(gòu)買服務(wù),因此國(guó)產(chǎn)SSL VPN產(chǎn)品能否很好地與標(biāo)準(zhǔn)第三方CA系統(tǒng)兼容,能否提供標(biāo)準(zhǔn)OSCP、CRL等證書校驗(yàn)接口,在一定程度上決定了該產(chǎn)品能否應(yīng)用到用戶現(xiàn)有環(huán)境中。
線路優(yōu)化:國(guó)內(nèi)用戶常常向不同的ISP申請(qǐng)了多個(gè)公網(wǎng)IP提供服務(wù)。如果SSL VPN產(chǎn)品能夠利用多個(gè)網(wǎng)口通過(guò)多個(gè)公網(wǎng)IP對(duì)外提供接入訪問(wèn),并可以根據(jù)接入客戶端的ISP來(lái)源選擇最佳路徑,那么將可以大大提高訪問(wèn)效率,更好地適應(yīng)國(guó)內(nèi)的網(wǎng)絡(luò)環(huán)境。
單點(diǎn)登錄:在用戶的內(nèi)網(wǎng)中,OA系統(tǒng)通常都帶認(rèn)證功能,使用者需要提交用戶名及口令才可登錄。加上SSL VPN后,用戶就首先要登錄SSL VPN,然后再次提交認(rèn)證信息登錄OA,導(dǎo)致重復(fù)認(rèn)證過(guò)程。為了簡(jiǎn)化登陸程序,SSL VPN產(chǎn)品應(yīng)該能記錄用戶登錄SSL VPN時(shí)的認(rèn)證信息,在用戶訪問(wèn)OA時(shí),代替用戶提交認(rèn)證,用戶不需要再次輸入用戶名和口令就可打開登錄成功后的頁(yè)面。
端點(diǎn)安全:安裝SSL VPN產(chǎn)品后,端點(diǎn)安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL VPN,在連接SSL VPN隧道后是否允許訪問(wèn)互聯(lián)網(wǎng),在SSL VPN客戶端注銷后,訪問(wèn)痕跡是否應(yīng)該清理,都是SSL VPN需要重點(diǎn)考慮的幾個(gè)安全問(wèn)題。目前,國(guó)內(nèi)很多SSL VPN產(chǎn)品也都有應(yīng)對(duì)措施。在客戶端主機(jī)接入之前,先檢測(cè)終端主機(jī)上是否具備管理員要求的某些特征,如操作系統(tǒng)版本、IE瀏覽器版本、是否運(yùn)行了殺毒軟件等等,如果不滿足安全策略,則拒絕連接。在建立隧道后,SSL VPN產(chǎn)品還可以禁止客戶端主機(jī)訪問(wèn)隧道以外的網(wǎng)絡(luò)以確保隧道安全;在終端用戶注銷后,還會(huì)自動(dòng)清除此次的訪問(wèn)痕跡,確保信息不被泄漏。此外,如果產(chǎn)品能實(shí)現(xiàn)帳號(hào)和客戶端主機(jī)特征綁定以及防偽造功能等,將可以進(jìn)一步提高客戶端的端點(diǎn)安全性。
應(yīng)用層防御:SSL VPN產(chǎn)品是以應(yīng)用為核心的安全接入產(chǎn)品,因此應(yīng)用層的安全防御必不可少。目前,防SQL注入,防跨站腳本和防非法URL訪問(wèn)等功能已經(jīng)出現(xiàn)在一些國(guó)內(nèi)品牌SSL VPN產(chǎn)品上。甚至有廠商還提供了基于賬號(hào)的最大并發(fā)上限控制功能,有效防止了一個(gè)賬號(hào)惡意產(chǎn)生大量連接的DoS攻擊行為,有效保障了應(yīng)用服務(wù)系統(tǒng)。
安全審計(jì):SSL VPN產(chǎn)品相對(duì)傳統(tǒng)VPN的優(yōu)勢(shì)之一就是審計(jì)更加詳細(xì)。相比而言,SSL VPN產(chǎn)品更關(guān)注賬號(hào)而不僅僅只是IP地址。在日志中應(yīng)該可以記錄哪個(gè)用戶、在什么時(shí)間,在什么地理位置通過(guò)哪個(gè)ISP登錄了SSL VPN,訪問(wèn)了什么服務(wù),訪問(wèn)了哪些Web頁(yè)面等等。另外,SSL VPN產(chǎn)品還應(yīng)該提供基于各種條件(如時(shí)間范圍、關(guān)鍵字等)的查詢功能,甚至可以根據(jù)時(shí)間范圍生成報(bào)表提供瀏覽和下載。
綜合以上所有因素來(lái)看,SSL VPN產(chǎn)品與其說(shuō)是一項(xiàng)技術(shù),不如視之為服務(wù)。誰(shuí)的SSL VPN產(chǎn)品能在上面所述各項(xiàng)技術(shù)和功能中做得更精細(xì),更人性化,更貼近用戶需要,誰(shuí)的產(chǎn)品就會(huì)在激烈的市場(chǎng)競(jìng)爭(zhēng)中取得勝利。
【編輯推薦】
