科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>SSL VPN网站守护神 SSL VPN接入保障

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

基于SSL(安全套接层)VPN(虚拟专用网)的远程安全访问机制解决了门户网站的特殊安全需求。作为一种接入安全保障机制,它无疑充当着网站守护神的作用。

来源:赛迪网技术社区 2007年10月11日

关键字:客户端 接入方式 ssl协议 vpn技术

基于SSL(安全套接层)VPN(虚拟专用网)的远程安全访问机制解决了门户网站的特殊安全需求。作为一种接入安全保障机制,它无疑充当着网站守护神的作用。

门户系统不同于其他业务系统,它涉及企业内部信息以及客户的隐私和安全性问题较多,系统部分或全部暴露于Internet公网之上,安全问题显得尤为重要。

在实现基于Internet的接入时必须考虑数据传输的安全性和访问的合法性。建设统一门户平台时,存在以下几个安全方面的需求, 保障数据在Internet上传输的安全性,检查各系统间访问的合法性和操作合法性, 记录用户的操作,便于查询和核实; 保护网站平台的安全性,避免恶性攻击或者病毒感染; 能及时进行系统缺陷更新服务和病毒库升级服务。

SSL VPN接入安全保障

为了保障内外门户松耦合机制、延伸内部人员办公区域、提高工作效率,在解决安全访问的需求时,必须考虑以下几个问题:

提供易于操作的界面,便于使用者迅速上手;

对用户侧没有预安装客户端软件的要求,能方便实用地迅速解决;

在外工作时必须能穿透各种类型网络的Firewall或者Proxy设备;

因此最适合以上需求的解决方案是基于SSL VPN(安全套接层,Security Socket Layer)的远程安全访问解决方案,该方案具有以下几个特点:

可以实现128位数据加密,保护数据在传输过程中不被窃取;

支持客户端证书的认证,并可以和USB Key结合使用,惟一地鉴定每一客户的合法性;

支持多种认证方式,提供对客户访问的合法性检查;

支持多种授权方式,保护客户的私密数据只能被“正确”的用户访问;

支持多层安全控制机制,保护后台服务器的安全性;

不需要安装任何客户端程序,所有访问操作都通过浏览器实现,因此非常方便用户使用;

可以穿透Firewall或者Proxy设备;

当然, IPSec也是部署VPN所采用的主要技术。附表对两种技术的实现方式做了技术和应用的对比,通过两种技术的优劣对比,选取更加适合门户系统的VPN技术。

系统部署

使用SSL VPN安全解决方案来保障系统的接入安全,还可以和公司安全认证系统相结合,通过建立PKI认证系统,确保各种人员、资源的身份,防止网络欺诈行为和抵赖行为。充分利用SSL协议做安全接入,可以统一为门户的客户端接入提供一种安全接入方式。

企业的业务系统一般已经部署了防火墙、防病毒、IDS/IPS等安全系统,SSL VPN系统可以和原有的安全设施结合起来,共同提高系统的安全性。它一般部署在防火墙的后面,以利用防火墙强大的防护功能。在认证方面,SSL VPN和内部的安全认证系统结合起来,通过PKI认证系统,可以确保各种人员、资源的身份。

通常在系统的网络边缘部署SSL VPN网关,SP(Service Provider)放在路由器和防火墙的后面,提供SSL VPN 接入。SP产品作为统一门户系统通过一个门户(portal)页面将各系统的对外接口纳入统一管理系统,对外通过Internet利用SSL加密技术安全地向公众开放统一的门户界面,对用户而言访问后台应用是完全透明的。SP在用户与后台WEB服务器之间起到了一个加密隧道的服务形式,所有的数据流通过SSL加密技术在SP上进行中转,用户与后台之间的数据交流完全保密。SSL VPN将实现与内部业务系统的高效无缝集成,能够节省公司的总成本,使网站维护成本降低,信息发布时间缩短。

统一门户系统需要一个操作实施简单、管理维护容易、不需要改变网络结构、运营成本低廉的方案。SSL VPN是以SSL 协议为基础的VPN技术,最大的好处就是不需要安装客户端程序,远程用户基本上不需要IT部门的支持就可以随时随地从任何安装了支持SSL协议浏览器的客户端安全地访问统一门户系统,从而最大限度地减少分发和管理客户端软件的麻烦。

SSL VPN通过TCP 443端口作为惟一的传输通道,因此管理员不需要在防火墙Proxy设备上做复杂设置,也不会因为不同系统的需求修改防火墙上的设定,降低了系统部署成本和IT部门日常性的管理支持工作费用。

SSL VPN检查策略

SSL VPN由于采用了SSL 技术,可以方便地通过数字证书认证享有PKI的高安全特性。通常选择安装客户端证书进行验证,给每个需要访问SSL VPN的人员分配个人证书,上面可以存放个人的一些信息,包括姓名、单位、部门、地址、EMAIL地址等。当客户端通过标准浏览器访问SSL VPN门户站点时,SSL VPN门户网关SP检查客户端的证书,这里的检查可以分为以下几种验证方法:

客户端证书+用户名/口令验证:在检查客户端证书的同时,仍需要客户输入其SSL VPN账号和口令,这样可以达到更高的安全性。

客户端+动态密码认证:支持动态密码认证,如RSA SecrueID、SecureComputing等,提供更高的安全性。

客户端证书+USB/智能卡验证:客户端证书存放在USB KEY或智能卡里面,只有具有这些硬件介质的用户才能登录SSL VPN。

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题