随着移动数据技术的进步和商务模式的发展,选择远程办公的人越来越多。据统计2003年全美就有54%的雇员平时在家时通过远程接入的方式来办公,这个比例在未来的两年内将会上升到80%。而在中国,这种远程接入办公的趋势也同样越来越明显。

过去,大多数公司都是使用传统的IPSec VPN来解决远程接入的问题。但是IPSec VPN最初是为了解决Lan To Lan(网对网)的安全问题而制定的协议,因此在此基础上建立的远程接入方案在面临越来越多的End To Lan(点对网)应用情况下已经力不从心。

首先是客户端配置问题:在每个远程接入的终端都需要安装相应的IPSec客户端,并且需要做复杂的配置,随着这种远程接入客户端数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题,但是还是无法避免在每个终端上安装客户端的麻烦,而且即使这些客户端很少出问题,但随着用户数量的增多,每天需要维护的客户端绝对数量也不少。

其次是IPSec VPN自身安全问题:往往传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题,这样就为病毒传播和黑客入侵提供了很多可能的途径(深信服科技的IPSec VPN已经比较好的解决了这个问题)。如果仅仅在受控的电脑上,比如员工办公电脑上使用IPSec客户端则可以通过部署统一的安全策略来解决该问题,但如果要让合作伙伴或者客户的电脑接入,就难以控制了。

然后是对网络的支持问题:传统的IPSec VPN在网络适应性上都存在一些问题,虽然一些领导厂商已经或正在解决网络兼容性问题,但由于IPSec VPN对防火墙的安全策略的配置较为复杂(往往要开放一些非常用端口),因此客户端的网络适应性还是不能做到百分之百完美。

最后是移动设备支持问题:随着未来通讯技术的发展,移动终端的种类将会越来越多,IPSec 客户端需要有更多的版本来适应这些终端,但随着终端种类的爆炸性增长,这几乎是不可能的。

因此,SSL VPN技术孕育而生。SSL VPN的突出优势在于Web安全和移动接入,它可以提供远程的安全接入,而无需安装或设定客户端软件。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,可以适用于任何的终端及操作系统。

但SSL VPN并不能取代IPSec VPN。因为,这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSec VPN是在两个局域网之间通过Internet建立的安全连接,保护的是点对点之间的通信,并且,IPSec工作于网络层,不局限于Web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。

一、 SINFOR SSL VPN安全网关简介
为了便于用户既能很好的解决网间互连,又能便捷的实现移动办公应用,深信服科技推出了IPSec/SSL一体化的VPN安全网关——SINFOR SSL VPN硬件网关。该系列产品最大的特点是在一台安全网关里面实现了IPSec和SSL 两套主流VPN技术的完美结合。目前该系列产品有四款产品:M5100-S、M5400-S、M5600-S、M5800-S。

1、IPSec VPN功能

SINFOR SSL VPN安全网关集成了IPSec VPN功能,具备有SINFOR IPSec VPN的全部功能和技术特点,并集成了企业级的状态防火墙,有效保证了企业内网安全。SINFOR SSL VPN安全网关的IPSec VPN功能采用了深信服科技VPN领域的四项发明专利,即:WebAgent动态IP寻址技术,HARDCA硬件认证,多线路绑定的VPN系统,即插即用、随身携带的VPN客户端。

SINFOR SSL VPN安全网关的IPSec VPN功能可以和深信服科技IPSec VPN产品:P5100、S5100、M5100、M5400、M5600、M5800等VPN硬件网关以及DLAN系列软件VPN产品实现互连互通,方便用户根据自身实际环境按需选择产品模块,构建量身定制的VPN网络。

2、SSL VPN功能

SINFOR SSL VPN安全网关使用安全套接层(SSL协议)提供数据加密,保证数据在公网上传输的安全。由于SSL 协议属于高层安全机制,因而广泛应用于Web 浏览程序和Web 服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议,因而企业员工、合作伙伴、移动办公人员可以通过任何标准的浏览器实现远程安全接入。

SINFOR SSL VPN安全网关内置了CA认证,用户可自建CA中心,也可支持第三方CA认证。除了支持常规的Local DB,LDAP/AD,Radius,Secur ID等认证以外,SINFOR SSL VPN安全网关还支持USB Dkey的双因素身份认证。通过将SSL加密隧道与USB Key认证相结合,结合客户端计算机安全检查功能,SINFOR SSL VPN安全网关为企业用户提供了完善的内部网络或应用程序的安全远程接入服务。对经常外出的移动办公人员,只要通过任何标准Web浏览器,就可以在任何场所、通过任何终端,无需安装任何客户终端软件就可以安全访问公司的任何资源。

由于采用了IPTunel技术,SINFOR SSL VPN安全网关实现了对应用程序的完整支持。包括:文件共享/打印、FTP、Outlook、SQL、Lotus Notes、Sybase、Oracle、Citrix等常用应用程序以及基于TCP、UDP以及ICMP协议层以上的所有应用程序的支持。对于网络维护人员而言,由于SSL 的易用性,无需部署和维护客户端软件,极大降低了企业的管理和维护成本。对于拥有众多的移动员工、远程用户以及合作伙伴的企业用户来说,SINFOR SSL VPN提供了性价比极高的远程接入解决方案,降低了企业的总体拥有成本。

目前针对国内存在的不同运营商之间VPN互连使用时带宽小、延迟大的问题,SINFOR SSL VPN安全网关创新性采用了多线路智能选路的专利技术。该技术结合了深信服科技原有的多线路复用技术(专利之一),在企业的数据中心采用多条上网线路,当VPN客户端在访问总部资源时,SINFOR SSL VPN安全网关会自动检测最优线路,使得使用不同运营商上网线路的VPN客户端访问企业数据总部时的速度大大提高。SINFOR SSL VPN安全网关的多线路智能选路功能,不仅解决了跨运营商部署VPN网络时的延迟问题,还实现了企业上网线路的带宽叠加和负载均衡,有效扩大了网络的出口带宽,保证了企业VPN网络的稳定性。

为了避免因SSL 的易用性,客户端的不安全因素通过SSL VPN登陆到企业内部网络而导致的安全问题,SINFOR SSL VPN安全网关集成了对客户端计算机安全性检查的功能。有效防止了不具备相应安全等级的终端用户通过SSL VPN登陆到企业总部带来的安全隐患,保证远程接入的安全性。并且,SINFOR SSL VPN安全网关除了支持多种常规安全认证以外,还增加了基于手机短信的动态身份认证功能。

当前,间谍软件、木马等安全威胁日益严重,传统的基于口令的认证方式容易被窃取,一旦泄漏将造成企业数据的安全隐患。SINFOR SSL VPN安全网关采用了基于手机短信的动态身份认证系统来消除该隐患。即使用户在登陆SSL VPN时所使用的计算机存在间谍软件、木马等泄密工具,由于无法获得用户每次登陆时通过其手机接受的短信认证码,因而有效防止口令泄漏,保证了用户使用SSL VPN访问总部资源时的安全性。

二、 SINFOR SSL VPN功能介绍
作为新一代的远程接入解决方案,深信服科技推出的IPSec/SSL一体化的SINFOR SSL VPN有以下多种功能和技术特色:

3.1 IPSec/SSL 一体化
传统的IPSec VPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端,并需要做复杂的配置(SINFOR IPSec VPN采用DKEY方式实现IPSec VPN零配置)。若企业的远程接入和移动办公数量增多,企业的维护成本将会成线性增加。而SSL VPN最大的好处之一就是不需要安装客户端程序,远程用户可以随时随地从任何浏览器上安全的接入到内部网络,安全地访问应用程序,无需安装或设定客户端软件,降低了企业的维护成本。因而,SSL在点对网互连方面,其易用性和安全性方面有着突出的优势。

然而,由于SSL VPN只适合点对网的连接,无法实现多个网络之间的安全互连。因而,在企业组建网对网方面,IPSec VPN就有着无可比拟的优势。而在点对网方面,由于IPSec VPN要求每个远程接入的终端都需要安装相应的IPSec客户端并需要配置,因而在易用性和维护成本上远远不如SSL VPN。

SINFOR SSL VPN安全网关结合了IPSec和SSL 两套主流的VPN技术,实现了在一台安全网关设备上稳定高效运行两套VPN系统。利用两者的优势进行互补,避免了单一VPN设备存在的不足。对于企业或者事业单位的分支网络,可以使用IPSec VPN实现安全互连,而对于内部员工、合作伙伴、移动人员可利用SSL VPN的易用性实现安全接入。最大限度地发挥了IPSec /SSL VPN给企业带来的效益,节约了企业大量的管理成本和投入成本。

3.2 多线路技术实现智能选路和负载均衡(专利之一)
目前,大规模VPN网络往往都是跨运营商的。但是国内运营商间的带宽太小,严重影响了VPN的应用效果。作为国内领先的VPN和网络安全研发产商,深信服科技在IPSec VPN 中,创新性地采用了多线路智能选路功能,并成功应用到SINFOR SSL VPN安全网关中。

所谓多线路智能选路技术,即是指在企业数据中心网络的网关位置部署SINFOR SSL VPN安全网关,并申请多条运营商的上网线路连接Internet实现线路捆绑和带宽叠加。当远程的众多VPN客户端在使用不同运营商的上网线路访问总部资源时,SINFOR SSL VPN 网关会自动检测最优线路,使得采用不同运营商上网线路的VPN客户端访问企业数据总部时的速度大大提高,解决了用户在不同运营商网络之间部署VPN网络时存在延迟大、带宽小的瓶颈问题。

若采用其他方案来解决类似问题,则用户往往需要单独购买一个线路负载均衡器,才能实现多线路负载均衡的效果。而SINFOR SSL VPN的多线路技术,不仅解决了跨运营商部署VPN网络时的延迟问题,还实现了多条线路的带宽叠加和负载均衡,用户可根据自身情况选择主/备、平均分配以及动态适应这三种多线路负载均衡的策略模式。

SINFOR SSL VPN安全网关的多线路智能选路和负载均衡功能,减少了企业在IT部署的采购投入,降低了企业的总体拥有成本。

3.3 完整支持所有应用系统
目前对于大部分SSL VPN设备而言,所支持的应用类型是有限的,几乎仅限于支持Web等B/S的应用,而无法像IPSec VPN一样支持基于网络层以上的所有应用,因而也限制了SSL VPN的发展。

SINFOR SSL VPN安全网关通过html智能重构技术、应用转换技术和IPTunnel技术,实现了对目前所有网络层以上各种静态或者动态端口应用的完全支持,包括:网上邻居、文件共享、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等各种应用。并且提供了Web资源、

由于采用了IPTunel技术,SINFOR SSL VPN安全网关实现了对应用程序的完整支持,客户端在打开浏览器的SSL VPN登陆界面时,只需安装一个Active X控件,在客户端的机器上会生成一块专门用于SSL VPN通讯的虚拟网卡,因而SSL 远程登陆用户便可使用所有基于IP网络层以上的应用。若SINFOR SSL VPN在总部网络采用路由模式的部署方式,总部网络还能够实现与远程接入用户的双向访问。这种领先技术的应用,使得SINFOR SSL VPN能够支持任何复杂的各种B/S和C/S的应用。

3.4 客户端安全检查,保证接入安全
在用户通过计算机IE打开SSL 登陆界面时,SINFOR SSL VPN安全网关通过客户端计算机安全扫描功能,检查计算机系统是否打了补丁、是否安装有相应杀毒程序等,保证SINFOR SSL VPN接入安全,避免客户端计算机的不安全因素通过SSL VPN传输到企业内部网络产生的安全隐患。

3.5 集成多种认证方式,内置CA中心
SINFOR SSL VPN安全网关采用SSL协议加密建立安全的专用加密通道,除了使用RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外,还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。这种USB DKEY可以同时支持两套VPN(IPSec和SSL)系统,安全方便。

SINFOR SSL VPN安全网关内置了CA中心,企业或者事业单位可自建CA中心,用户可不必购买单独的CA认证体系,为企业减少了投入成本。同时,SINFOR SSL VPN。


评论

该日志第一篇评论

发表评论

评论也有版权!