專家教你SSL VPN部署的注意事項，SSL VPN部署不當(dāng)就會出現(xiàn)掉線，斷流等等問題。深入了解SSL VPN部署配置中的細(xì)節(jié)問題對于我們而言是一件很重要的事情，接下來就要詳細(xì)地介紹相關(guān)知識。

幾年前，如果想把局域網(wǎng)擴(kuò)展到組織機(jī)房以外的區(qū)域，撥號/專線幾乎是唯一的選擇。隨著技術(shù)不斷的改進(jìn)，組織經(jīng)歷了Modem撥號、DDN、Frame Relay(幀中繼)、ATM和SDH的不斷演變，但專線的成本高昂和缺乏彈性的特點從未得到徹底改變。Internet的發(fā)展給我們帶來了虛擬專用網(wǎng)絡(luò)(VPN)，通過利用無所不在的互聯(lián)網(wǎng)，VPN把經(jīng)濟(jì)性和部署彈性發(fā)揮到了更高的水準(zhǔn)，成為了取代專線的首選方案。

在TCP的網(wǎng)絡(luò)層，IPSec協(xié)議通過預(yù)共享密鑰和高強(qiáng)度加密算法實現(xiàn)了局域網(wǎng)的安全互聯(lián)，讓組織的分支機(jī)構(gòu)融合到了總部的局域網(wǎng)，分支機(jī)構(gòu)可以根據(jù)其網(wǎng)絡(luò)規(guī)模和使用人數(shù)選擇和總部連接的方式，硬件VPN網(wǎng)關(guān)，或是VPN客戶端，前者部署在分支機(jī)構(gòu)的局域網(wǎng)，后者直接安裝在使用者的PC操作系統(tǒng)上。

然而，組織的成員不會永遠(yuǎn)安坐在辦公室，當(dāng)他們“移動”起來時，例如回到家中、參加會議、出差考察，環(huán)境的頻繁變化讓IPSec難以應(yīng)對。組織的外界環(huán)境迅速膨脹，合作伙伴、股東、審計部門、供應(yīng)商、經(jīng)銷商都被納入了組織的網(wǎng)絡(luò)外延，他們需要接入到組織的內(nèi)網(wǎng)，以訪問他們所關(guān)心的應(yīng)用資源和數(shù)據(jù)報表。

IPSec的部署問題會讓企業(yè)的網(wǎng)絡(luò)人員成為合作伙伴 “公用”的網(wǎng)管。IPSec客戶端不停的安裝、調(diào)試和維護(hù)將會成為網(wǎng)管人員生活中不可或缺的一部分，無論你是在工作時間還是8小時之外。

問題還遠(yuǎn)沒有結(jié)束，基于IPSec是網(wǎng)絡(luò)層協(xié)議的前提，當(dāng)遠(yuǎn)程設(shè)備從Internet接入后將被虛擬成局域網(wǎng)內(nèi)的一臺PC，也就是獲得了局域網(wǎng)的所有使用權(quán)限。這是相當(dāng)危險和難以控制的。如果這臺接入的設(shè)備攜帶了病毒、蠕蟲，局域網(wǎng)也會很快地受到感染，使網(wǎng)絡(luò)人員精心構(gòu)建的安全城墻在一瞬間灰飛煙滅。

SSL(安全套接層)VPN被視為IPSec VPN的互補(bǔ)性技術(shù)，在實現(xiàn)移動辦公和遠(yuǎn)程接入時，SSL VPN部署更可以作為IPSec VPN的取代性方案。SSL協(xié)議由網(wǎng)景公司提出，是一種基于WEB應(yīng)用的安全協(xié)議，包括服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、SSL鏈路上的數(shù)據(jù)完整性和數(shù)據(jù)保密性。

所有標(biāo)準(zhǔn)的WEB瀏覽器均已內(nèi)建了SSL協(xié)議。采用SSL協(xié)議的設(shè)備并不等同于SSL VPN部署，除非它利用SSL協(xié)議實現(xiàn)對WEB及各種使用靜態(tài)或動態(tài)端口的服務(wù)做支持。我們舉個例子，看看SSL VPN部署是如何在組織中應(yīng)用的。

A是一家大型的國際集團(tuán)，擁有3家上市子公司、7個研發(fā)中心和20余個生產(chǎn)基地，辦事處和員工遍布全球。在A集團(tuán)中心機(jī)房的服務(wù)器集群中部署了ERP系統(tǒng)、客戶關(guān)系管理系統(tǒng)(CRM)、郵件系統(tǒng)、辦公自動化系統(tǒng)、文件服務(wù)器，以及一些定制化的集團(tuán)應(yīng)用。

集團(tuán)規(guī)模不斷擴(kuò)大，已有50%的人員分布在企業(yè)總部以外，而且這一比率還在不斷增加。人員在遠(yuǎn)離總部的同時，他們離中心機(jī)房中的各種應(yīng)用也“越來越遠(yuǎn)”。集團(tuán)總部的人員同樣也在隨時遠(yuǎn)離總部，在家、在會場、機(jī)場、酒店、甚至在親友家中。

他們試圖利用各種設(shè)備，自己攢的兼容機(jī)、公司配備的筆記本、會場酒店提供的主機(jī)、自帶的PDA、MS CE操作系統(tǒng)的移動電話、甚至是親屬家的電腦，接入到總部的內(nèi)網(wǎng)。這些人不是IT專家，但業(yè)務(wù)的不可中斷性激發(fā)了他們的移動辦公需求。

VPN工作在傳輸層和應(yīng)用層之間，使用了瀏覽器自帶的SSL 協(xié)議，當(dāng)集團(tuán)的員工希望連接到總部網(wǎng)絡(luò)時，可以盡情使用手頭任何可接入Internet的設(shè)備。通過在瀏覽器中輸入總部SSL VPN部署的網(wǎng)絡(luò)地址，ActiveX控件會自動被下載并安裝，利用管理員發(fā)布的帳號和密碼，員工就可以隨時接入到內(nèi)網(wǎng)。

傳統(tǒng)的SSL VPN部署只支持以web為基礎(chǔ)的應(yīng)用，而如今的SSL VPN部署取得了很大的進(jìn)步，通過端口轉(zhuǎn)發(fā)和應(yīng)用重定向技術(shù)，在客戶端訪問常用的C/S應(yīng)用已經(jīng)輕而易舉。有些SSL VPN部署產(chǎn)品走得更遠(yuǎn)，通過在客戶端和總部建立全三層的隧道實現(xiàn)了網(wǎng)絡(luò)擴(kuò)展，你甚至可以在手持設(shè)備上使用Voip，通過SSH和Telnet管理局域網(wǎng)的網(wǎng)絡(luò)設(shè)備。

從你隔壁辦公室的電腦中下載其共享的mp3。如果員工是在公共場所使用SSL登陸，當(dāng)客戶端長時間沒有操作時，SSL VPN會自動注銷其用戶，避免主機(jī)被其他人利用。當(dāng)客戶端退出SSL后，其訪問的記錄和保存在瀏覽器中的Cache也會被自動清除，使訪問不留痕跡。

對于合作伙伴的接入，SSL VPN部署利用其所在網(wǎng)絡(luò)層的優(yōu)勢，可以保證“端點到應(yīng)用的安全”。在合作伙伴接入前，SSL VPN便啟用了其端點安全性掃描功能，通過對遠(yuǎn)程終端操作系統(tǒng)、注冊表、進(jìn)程、防火墻和殺毒軟件的檢測，確保了終端的安全策略符合管理員的要求才可接入。

另外，如今SSL VPN部署的豐富認(rèn)證功能已經(jīng)帶來了更好的接入靈活性和不可偽造性，CA證書、USB KEY、動態(tài)令牌、短信密碼，這些機(jī)制讓合法用戶的身份得到了最大程度的保障。對于A集團(tuán)來說，其原料供應(yīng)商、經(jīng)銷商、投資人需要訪問的應(yīng)用系統(tǒng)各不相同。

網(wǎng)絡(luò)管理人員可以將不同類型的合作伙伴歸為不同的用戶組，再為各個用戶組映射其需要訪問的資源。SSL VPN部署在防火墻等設(shè)備的內(nèi)側(cè)，通過把需要合作伙伴訪問的資源映射到SSL VPN，網(wǎng)關(guān)處只需要開放443端口(HTTPS)即可，而不用開放任何有關(guān)內(nèi)部資源的端口。

當(dāng)外部受到攻擊時，黑客只能攻擊到SSL VPN為止，而內(nèi)部應(yīng)用對其來說是不可見的。當(dāng)合作伙伴接入后，只能訪問管理員授權(quán)的應(yīng)用。而通過IPSec接入，整個集團(tuán)的內(nèi)網(wǎng)將暴露在合作伙伴的屏幕上，無非給攻擊和內(nèi)容泄漏敞開了大門。

對于管理員來說，詳細(xì)的日志功能是必不可少的。作為集團(tuán)應(yīng)用的部署和維護(hù)者，系統(tǒng)管理員有權(quán)知道有哪些人在何時登陸了VPN又是從何時注銷的，這些人訪問了何種資源，哪些資源的訪問量最大。而一個完善的SSL VPN日志系統(tǒng)將幫助管理員可以做到記錄和審計工作，這包括完整的用戶、管理員登陸信息統(tǒng)計，以及通過這些統(tǒng)計得到的圖形化報表，用來幫助管理員分析用戶訪問內(nèi)部資源的規(guī)律和趨勢。

除了實現(xiàn)安全接入和移動辦公外，SSL VPN還有新的用武之地，其中之一是對專線內(nèi)資源的保護(hù)。由于專網(wǎng)內(nèi)往往存在不同的組織和部門，同一部門的資源并不希望被其他部門所訪問或竊取。但是這很難辦到。

無論是數(shù)據(jù)傳輸中的加密還是對訪問者的身份認(rèn)證，傳統(tǒng)的安全策略都漏洞百出。例如應(yīng)用系統(tǒng)的訪問基本都通過系統(tǒng)本身的認(rèn)證來實現(xiàn)，如傳統(tǒng)的用戶名和密碼。靜態(tài)的口令容易泄漏，通過竊取到的密碼來冒充合法用戶的身份進(jìn)入系統(tǒng)，未授權(quán)的用戶將會輕易的獲得敏感的數(shù)據(jù)，破壞正常的業(yè)務(wù)流程，進(jìn)而給組織帶來重大的損失。

我們可以把SSL VPN部署在服務(wù)器前端用來做訪問保護(hù)，讓SSL VPN成為任何人訪問應(yīng)用系統(tǒng)和數(shù)據(jù)庫的必經(jīng)之路。結(jié)合CA系統(tǒng)，通過CA中心簽發(fā)的證書做雙向身份認(rèn)證，有效地防止了街區(qū)重播、中間人欺詐等對身份認(rèn)證的攻擊。

保證了業(yè)務(wù)系統(tǒng)用戶的合法身份;同時，利用SSL VPN的端點安全和隧道加密技術(shù)，保證了接入端的安全性，使系統(tǒng)的數(shù)據(jù)免遭安全隱患，而傳輸中的加密更可以保障應(yīng)用交付過程中的數(shù)據(jù)加密，防止數(shù)據(jù)被專線內(nèi)的不明身份者截取和破解。