SSLVPN技術的六大特點
不同于IPSecVPN技術,SSLVPN技術是基于應用層和TCP層之間的技術,SSLVPN技術更適合于應用于遠程分散用戶的安全接入。了解SSLVPN技術可以使在企業部署安全防護上,能夠根據自身條件選擇適當的VPN架構對企業安全進行升級。本篇文章將著重介紹SSLVPN技術的六大特點并區別SSLVPN技術與IPSecVPN技術的不同。
(1)客戶端支撐維護簡單
對于大多數執行基于SSL協議的遠程訪問是不需要在遠程客戶端設備上安裝軟件,只需通過標準的Web瀏覽器連接因特網,即可以通過網頁訪問到企業內部的網絡資源。而IPSecVPN需要在遠程終端用戶一方安裝特定軟件以建立安全隧道。
(2)提供增強的遠程安全接入功能
IPSecVPN通過在兩站點間創建安全隧道提供直接(非代理方式)接入,實現對整個網絡的透明訪問;一旦隧道創建,用戶終端就如同物理地處于企業內部局域網中,這會帶來很多安全風險,尤其是在接入用戶權限過大的情況下。SSLVPN提供安全、可代理連接。通常SSLVPN技術的實現方式是在企業的防火墻后面放置一個 SSL代理服務器。如果用戶希望安全地連接到公司網絡上,那么當用戶在瀏覽器上輸入一個URL后,連接將被SSL代理服務器取得,并驗證該用戶的身份,然后SSL代理服務器將連接映射到不同的應用服務器上。
(3)提供更細粒度的訪問控制
SSLVPN能對加密隧道進行細分,使終端用戶能夠同時接入Internet和訪問內部企業網資源。另外,SSLVPN技術還能細化接入控制功能,提供用戶級別的鑒權,依據安全策略確保只有授權的用戶才能夠訪問特定的內部網絡資源,這種精確的接入控制功能對遠程接入IPSecVPN來說幾乎是不可能實現的。
(4)能夠穿越NAT和防火墻設備
SSLVPN技術工作在傳輸層之上,因而能夠遍歷所有NAT設備和防火墻設備,這使得用戶能夠從任何地方遠程接入到公司的內部網絡。而IPSecVPN工作在網絡層上,它很難實現防火墻和NAT設備的遍歷,并且無力解決IP地址沖突。
(5)能夠較好地抵御外部系統和病毒攻擊
SSL是一個安全協議,數據是全程加密傳輸的。另外,由于SSL網關隔離了內網服務器和客戶端,只留下一個Web瀏覽接口,客戶端的大多數木馬病毒感染不到內網服務器。而傳統的IPSecVPN由于實現的是IP級別的訪問,一旦隧道創建,用戶終端就如同物理地處于企業內部局域網中,內部網絡所連接的應用系統都是可以偵測得到,這就為黑客攻擊提供了機會,并且使得局域網能夠傳播的病毒,通過VPN一樣能夠傳播。
(6)網絡部署靈活方便
IPSecVPN在部署時一般放置在網絡網關處,因而需要考慮網絡的拓撲結構,如果增添新的設備,往往要改變網絡結構。而SSLVPN技術卻有所不同,它一般部署在內網中防火墻之后,可以隨時根據需要,添加需要VPN保護的服務器,因此無需影響原有網絡結構。
【編輯推薦】
