隨著信息安全從單純關(guān)注網(wǎng)絡(luò)安全轉(zhuǎn)變?yōu)橹攸c(diǎn)關(guān)注以業(yè)務(wù)為核心的應(yīng)用安全，遠(yuǎn)程安全接入的重要性日益明顯，SSL VPN以無(wú)需客戶(hù)端軟件，保護(hù)具體應(yīng)用，細(xì)粒度的訪問(wèn)控制，詳細(xì)的審計(jì)等特性，在易用性、安全性和管理性方面更勝一籌。因此，近幾年來(lái)SSL VPN的應(yīng)用范圍正在迅速擴(kuò)大。

關(guān)鍵技術(shù)

SSL VPN的關(guān)鍵技術(shù)包括：Web代理、端口轉(zhuǎn)發(fā)、應(yīng)用轉(zhuǎn)換、網(wǎng)絡(luò)連接(Network Connection, NC)，目前大部分的SSL VPN產(chǎn)品，都是以這幾項(xiàng)技術(shù)的一項(xiàng)或幾項(xiàng)為基礎(chǔ)研發(fā)實(shí)現(xiàn)的。那么，對(duì)國(guó)產(chǎn)SSL VPN產(chǎn)品而言，哪些技術(shù)尤其重要呢?

首先是Web代理技術(shù)。由于用戶(hù)需要訪問(wèn)內(nèi)網(wǎng)的Web應(yīng)用，而且希望訪問(wèn)方式盡量簡(jiǎn)便，而只有具備Web代理技術(shù)，SSL VPN產(chǎn)品才能做到100%零客戶(hù)端，才能為用戶(hù)提供最簡(jiǎn)便的接入方式，因此， Web代理技術(shù)對(duì)國(guó)產(chǎn)SSL VPN產(chǎn)品而言是一項(xiàng)必須技術(shù)，也是SSL VPN產(chǎn)品是否專(zhuān)業(yè)的重要標(biāo)準(zhǔn)之一。

除了Web代理技術(shù)，端口轉(zhuǎn)發(fā)技術(shù)的重要性也不容小覷。除了要訪問(wèn)除Web應(yīng)用外，用戶(hù)還需要經(jīng)常訪問(wèn)組織內(nèi)部的C/S架構(gòu)應(yīng)用，例如郵件、FTP、文件共享、數(shù)據(jù)庫(kù)、ERP等，這時(shí)，SSL VPN產(chǎn)品采用端口轉(zhuǎn)發(fā)技術(shù)實(shí)現(xiàn)對(duì)C/S應(yīng)用的處理，是再合適不過(guò)的了。

至于應(yīng)用轉(zhuǎn)換技術(shù)，目前國(guó)內(nèi)用戶(hù)需求并不迫切。由于SSL VPN產(chǎn)品需要把FTP、Email，SSH等應(yīng)用以Web的形式重新實(shí)現(xiàn)，實(shí)現(xiàn)起來(lái)比較復(fù)雜，還可能存在提供的功能不夠完整，界面不夠友好，不太符合用戶(hù)的操作習(xí)慣以及控件引用是不合法等一系列問(wèn)題。從另一個(gè)角度來(lái)看，用戶(hù)在沒(méi)有使用SSL VPN之前，都已經(jīng)習(xí)慣通過(guò)相應(yīng)的客戶(hù)端軟件對(duì)C/S應(yīng)用進(jìn)行訪問(wèn)，在使用SSL VPN后，仍然希望通過(guò)使用原來(lái)的客戶(hù)端軟件訪問(wèn)內(nèi)部的各種C/S應(yīng)用。由此看來(lái)，應(yīng)用轉(zhuǎn)換技術(shù)并不十分適應(yīng)于國(guó)內(nèi)的用戶(hù)，也并非是國(guó)產(chǎn)SSL VPN產(chǎn)品的必須功能。

最后再看NC技術(shù)，由于NC技術(shù)可以實(shí)現(xiàn)SSL VPN與應(yīng)用無(wú)關(guān)的特性，因此客戶(hù)端通過(guò)SSL VPN訪問(wèn)內(nèi)部整個(gè)子網(wǎng)的需求仍然存在。然而，在使用該功能時(shí)，需要給客戶(hù)端配置虛擬IP地址，這樣一來(lái)，就會(huì)遇到地址規(guī)劃上的一些問(wèn)題，在配置和使用上也比較復(fù)雜。目前，國(guó)內(nèi)已經(jīng)有SSL VPN廠商注意到這個(gè)問(wèn)題，為了更好地滿足用戶(hù)對(duì)易用性的要求，采用了一種“網(wǎng)絡(luò)層代理”技術(shù)，客戶(hù)端通過(guò)SSL VPN產(chǎn)品訪問(wèn)內(nèi)部整個(gè)子網(wǎng)時(shí)，不需要借助虛擬IP地址，也不需要改變內(nèi)網(wǎng)服務(wù)器網(wǎng)關(guān)指向，有效地解決了NC功能配置和使用復(fù)雜的難題。但目前，“網(wǎng)絡(luò)層代理”技術(shù)還存在一個(gè)問(wèn)題，即無(wú)法處理TCP連接由內(nèi)向外發(fā)起的應(yīng)用，無(wú)法做到“與應(yīng)用無(wú)關(guān)”。如果有SSL VPN產(chǎn)品能夠同時(shí)具備N(xiāo)C和網(wǎng)絡(luò)代理功能，將會(huì)受到更多國(guó)內(nèi)用戶(hù)的青睞。

更貼心的功能

以上列舉的只是SSL VPN產(chǎn)品的幾項(xiàng)主要技術(shù)，為了更好地滿足國(guó)內(nèi)用戶(hù)的需求，SSL VPN產(chǎn)品還必須在功能上進(jìn)一步貼近需求，不斷豐富。那么，國(guó)產(chǎn)SSL VPN產(chǎn)品在功能上應(yīng)該如何“修煉內(nèi)功”呢?

豐富的認(rèn)證方式：國(guó)內(nèi)用戶(hù)類(lèi)型眾多，對(duì)認(rèn)證方式和安全性要求也不盡相同。除了基本的本地口令外，動(dòng)態(tài)口令、短信口令、口令+動(dòng)態(tài)附加密、證書(shū)+USBKEY、口令+證書(shū)+USBKEY等多因素認(rèn)證方式也越來(lái)越常見(jiàn)，成為對(duì)SSL VPN產(chǎn)品的基本要求。此外，隨著CA體系在中國(guó)不斷健全，越來(lái)越多的用戶(hù)從專(zhuān)業(yè)的CA企業(yè)購(gòu)買(mǎi)服務(wù)，因此國(guó)產(chǎn)SSL VPN產(chǎn)品能否很好地與標(biāo)準(zhǔn)第三方CA系統(tǒng)兼容，能否提供標(biāo)準(zhǔn)OSCP、CRL等證書(shū)校驗(yàn)接口，在一定程度上決定了該產(chǎn)品能否應(yīng)用到用戶(hù)現(xiàn)有環(huán)境中。

線路優(yōu)化：國(guó)內(nèi)用戶(hù)常常向不同的ISP申請(qǐng)了多個(gè)公網(wǎng)IP提供服務(wù)。如果SSL VPN產(chǎn)品能夠利用多個(gè)網(wǎng)口通過(guò)多個(gè)公網(wǎng)IP對(duì)外提供接入訪問(wèn)，并可以根據(jù)接入客戶(hù)端的ISP來(lái)源選擇最佳路徑，那么將可以大大提高訪問(wèn)效率，更好地適應(yīng)國(guó)內(nèi)的網(wǎng)絡(luò)環(huán)境。

單點(diǎn)登錄：在用戶(hù)的內(nèi)網(wǎng)中，OA系統(tǒng)通常都帶認(rèn)證功能，使用者需要提交用戶(hù)名及口令才可登錄。加上SSL VPN后，用戶(hù)就首先要登錄SSL VPN，然后再次提交認(rèn)證信息登錄OA，導(dǎo)致重復(fù)認(rèn)證過(guò)程。為了簡(jiǎn)化登陸程序，SSL VPN產(chǎn)品應(yīng)該能記錄用戶(hù)登錄SSL VPN時(shí)的認(rèn)證信息，在用戶(hù)訪問(wèn)OA時(shí)，代替用戶(hù)提交認(rèn)證，用戶(hù)不需要再次輸入用戶(hù)名和口令就可打開(kāi)登錄成功后的頁(yè)面。

端點(diǎn)安全：安裝SSL VPN產(chǎn)品后，端點(diǎn)安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL VPN，在連接SSL VPN隧道后是否允許訪問(wèn)互聯(lián)網(wǎng)，在SSL VPN客戶(hù)端注銷(xiāo)后，訪問(wèn)痕跡是否應(yīng)該清理，都是SSL VPN需要重點(diǎn)考慮的幾個(gè)安全問(wèn)題。目前，國(guó)內(nèi)很多SSL VPN產(chǎn)品也都有應(yīng)對(duì)措施。在客戶(hù)端主機(jī)接入之前，先檢測(cè)終端主機(jī)上是否具備管理員要求的某些特征，如操作系統(tǒng)版本、IE瀏覽器版本、是否運(yùn)行了殺毒軟件等等，如果不滿足安全策略，則拒絕連接。在建立隧道后，SSL VPN產(chǎn)品還可以禁止客戶(hù)端主機(jī)訪問(wèn)隧道以外的網(wǎng)絡(luò)以確保隧道安全;在終端用戶(hù)注銷(xiāo)后，還會(huì)自動(dòng)清除此次的訪問(wèn)痕跡，確保信息不被泄漏。此外，如果產(chǎn)品能實(shí)現(xiàn)帳號(hào)和客戶(hù)端主機(jī)特征綁定以及防偽造功能等，將可以進(jìn)一步提高客戶(hù)端的端點(diǎn)安全性。

應(yīng)用層防御：SSL VPN產(chǎn)品是以應(yīng)用為核心的安全接入產(chǎn)品，因此應(yīng)用層的安全防御必不可少。目前，防SQL注入，防跨站腳本和防非法URL訪問(wèn)等功能已經(jīng)出現(xiàn)在一些國(guó)內(nèi)品牌SSL VPN產(chǎn)品上。甚至有廠商還提供了基于賬號(hào)的最大并發(fā)上限控制功能，有效防止了一個(gè)賬號(hào)惡意產(chǎn)生大量連接的DoS攻擊行為，有效保障了應(yīng)用服務(wù)系統(tǒng)。

安全審計(jì)：SSL VPN產(chǎn)品相對(duì)傳統(tǒng)VPN的優(yōu)勢(shì)之一就是審計(jì)更加詳細(xì)。相比而言，SSL VPN產(chǎn)品更關(guān)注賬號(hào)而不僅僅只是IP地址。在日志中應(yīng)該可以記錄哪個(gè)用戶(hù)、在什么時(shí)間，在什么地理位置通過(guò)哪個(gè)ISP登錄了SSL VPN，訪問(wèn)了什么服務(wù)，訪問(wèn)了哪些Web頁(yè)面等等。另外，SSL VPN產(chǎn)品還應(yīng)該提供基于各種條件(如時(shí)間范圍、關(guān)鍵字等)的查詢(xún)功能，甚至可以根據(jù)時(shí)間范圍生成報(bào)表提供瀏覽和下載。

綜合以上所有因素來(lái)看，SSL VPN產(chǎn)品與其說(shuō)是一項(xiàng)技術(shù)，不如視之為服務(wù)。誰(shuí)的SSL VPN產(chǎn)品能在上面所述各項(xiàng)技術(shù)和功能中做得更精細(xì)，更人性化，更貼近用戶(hù)需要，誰(shuí)的產(chǎn)品就會(huì)在激烈的市場(chǎng)競(jìng)爭(zhēng)中取得勝利。

【編輯推薦】

1. SSL VPN-遠(yuǎn)程用戶(hù)接入技術(shù)簡(jiǎn)介
2. SSL VPN安全的協(xié)議以及功能