应用安全与网络安全的完美结合-SSL VPN

　　1 概述

　　虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的，即通过私有的隧道技术在公共数据网络上仿真一条点到点的专线。目前，IPSEC隧道是组建虚拟专用网最常用的技术，即通常所说的IPSEC VPN技术。　

　　IPSEC VPN技术

　　是网络层的VPN技术，它独立于应用程序，以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息。一旦IPSEC建立加密隧道后，就可以实现各种类型的连接，如Web、电子邮件、文件传输、VoIP等，每个传输直接对应到VPN网关之后的相关服务器上。IPSEC是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议，对应用层协议完全透明，这是IPSEC VPN的最大优点之所在。但是随着VPN应用的越来越广泛，IPSEC VPN的缺点也逐渐的显现出来：

　　其一，IPSEC VPN配置部署复杂，需要专门的客户端软件，而且不同提供商之间的设备很难完全兼容。

　　其二，网络适应性不佳，由于是IP层的协议，对于防火墙等访问控制设备不透明，对网络地址转换(NAT)和应用代理(Proxy)等穿透性差。

　　其三，应用层安全性不好。最多只能提供IP地址和传输层端口这种粒度的访问控制，对应用层协议的细粒度强访问控制无能为力，更谈不上入侵检测与防御、防病毒、抗攻击等深层次的安全功能。

　　SSL VPN技术

　　SSL VPN指的是基于安全套接层协议(Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术，其应用随着Web的普及和电子商务、远程办公的兴起而发展迅速。

　　SSL协议主要是由SSL记录协议和握手协议组成，它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议相对于IPSEC协议体系中的IKE(互联网密钥交换协议)协议，主要是用于服务器和客户之间的相互认证，协商加密算法和MAC(Message Authentication Code-消息认证码)算法，用于生成在SSL记录协议中使用的加密和认证密钥。SSL记录协议是为各种应用协议提供基本的安全服务，类似于IPSEC的传输模式，应用程序消息参照MTU(最大传输单元)被分割成可管理的数据块(可进行数据压缩处理)，并产生一个MAC信息，加密后插入新的报头，最后在TCP中加以传输；接收端将收到的数据解密，做身份验证(MAC认证)、解压缩、重组数据报然后交给应用协议进行处理。实际上就是在应用层和传输层之间加入了一个数据处理层，和传统的网络套接字模型在同一层次，这也就是安全套接层的由来。

　　SSL VPN和IPSEC VPN技术的对比

　　SSL VPN与IPSEC VPN相比主要有以下优点：

　　其一,简单灵活。在SSL VPN的架构下，不需要在客户端安装软件，用户只要使用浏览器进行安全Web访问(https)即可。这样只要是任何装有浏览器的装置，例如可以支持Web的手机或PDA，都可以应用SSL VPN做加密保护。而且对于大多数的操作系统，只要可以支持标准的浏览器，不论是Windows、Mackintosh、Unix或是Linux,都可以通过SSL VPN做加密保护。

　　其二，对网络设备透明。由于是在传输层之上进行安全处理，不存在穿越NAT等防火墙设备的问题。

　　其三,应用层安全性高。在应用层建立的通道可以防止病毒、蠕虫等经由网络层传输的威胁。另外，由于SSL VPN还可以起到代理服务器的作用，所有客户端的访问都是由SSL VPN网关转发，而不能直接访问应用服务器，从而使服务器

　　不易受到病毒、黑客等攻击，而且还可以提供细粒度的强访问控制和日志审计。如果远程用户以IPSEC VPN的方式与公司内部网络建立联机，内部网络所连接的应用系统，都可能暴露给黑客攻击。若采取SSL VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易探测出应用系统内部的网络机制，所受到的威胁也仅是所联机的应用系统，攻击机会相对减少许多。

　　中华卫士SSL VPN体系结构与技术特色

　　中华卫士SSL VPN是成都卫士通信息产业股份有限公司基于专用的ASIC加速芯片和完善的应用安全体系推出的应用安全网关，是中华卫士全系列安全产品线的重要组成部分，主要用于解决大型网站的电子商务安全以及中小企业的移动办公和企业虚拟内网的组建问题。

　　中华卫士SSL VPN是成都卫士通信息产业股份有限公司基于专用的ASIC加速芯片和完善的应用安全体系推出的应用安全网关，是中华卫士全系列安全产品线的重要组成部分，主要用于解决大型网站的电子商务安全以及中小企业的移动办公和企业虚拟内网的组建问题。

　　体系结构

　　图1 中华卫士SSL VPN体系架构

　　如图1所示，中华卫士SSL VPN具有清晰的层次结构，主要由3A(认证、授权、审计)、强访问控制、SSL及HTTP协议栈、硬件加速卡以及各种CS模式的应用协议解析器组成。在最底层采用了中华卫士防火墙的软硬件架构，内置IP防火墙功能，从而具备了全面多层次的安全保障能力。而一些计算密集型的操作如加解密和认证鉴别等都交由基于ASIC芯片的SSL硬件加速卡进行，提高了系统的整个处理性能。

　　技术特色

　　基于角色的访问控制架构

　　中华卫士SSL VPN采用RBAC(Role Based Access Control)即基于角色的访问控制架构实现了复杂的权限管理和对服务器资源的细粒度强访问控制。同时结合了SSO(单点登陆)和TCP连接状态检测技术提高整个访问控制系统的效率。

　　认证方式的多样性

　　中华卫士SSL VPN的认证服务为插件式模块，具有良好的可扩展性。支持多种认证方式和第三方认证服务器，如 OTP、CHAP、证书等认证方式以及Radius 、NT-Domain、LDAP等认证服务器，还可以扩展支持PAM、PAP、Kerberos等，同时还可以根据用户需要扩展新的认证方式。在基于公开密钥证书的认证方式上，中华卫士SSL VPN采用信任链表的方式实现了对多CA的支持。

　　中华卫士SSL VPN还提供了很有特色的图形附加码认证技术，这样用户可以不用购买硬件令牌而实现安全性较高的双因素认证。

　　SSL 硬件加速卡

　　很多SSL VPN都采用OpenSSL软件包来实现基本的SSL操作库。中华卫士SSL VPN采用具有自主知识产权的ASIC硬件加速卡来实现加解密、数据压缩、MAC计算、签名验证等基本的计算单元，将CPU解放出来进行更多的协议层面的处理，使得整个系统具有很高的效率和稳定性,而且能够有能力进行入侵检测和防病毒等深层次的安全功能处理。

　　多应用协议支持

　　中华卫士SSL VPN不仅能够很好的支持高安全性的Web应用，还能够为多种基于TCP/UDP的Client/Server结构的应用软件提供高强度的安全通道保护。通过透明代理技术的应用，对于大量通用的C/S应用，只需要配置相应的服务器端口即可。对于一些使用动态端口的应用协议，中华卫士SSL VPN通过动态加载不同的协议解析器来实现对动态端口的分析处理,具有很好的可扩展性。目前已经实现了对FTP、TFTP、Oracle、SQL Server等动态协议的支持，其他协议的支持可以实现在线升级。

　　性能评价

　　对于SSL VPN设备来说，衡量系统性能主要有并发用户数、TPS(每秒新建用户数)、响应时间、用户容量这四大指标。并发用户数类似于防火墙的并发连接数指标，从应用的角度上来讲主要针对C/S应用的，是指系统能够同时处理的SSL VPN虚拟通道的最大数量。TPS则是针对B/S应用的，由于B/S应用中浏览器和Web服务器是采用request/response的方式进行通讯,单位时间内事务量(Transaction)很大，在不使用通道复用技术的情况下，TPS是说明SSL VPN对B/S应用并发处理能力的一个重要指标。响应时间主要用来评估SSL VPN系统加入后对原有系统的性能影响的程度,这个指标对时间敏感的业务至关重要。用户容量是指SSL VPN能够支持认证的用户数量，这个指标与CA系统支持的用户数有关系，也与系统的数据库的容量和效率紧密相关，这个指标可以作为SSL VPN划分产品等级的一个重要指标。

　　中华卫士SSL VPN提供高中低全系列的产品，分别针对中小企业和大型商务网站提供相应安全强度和系统容量的应用级网关。

　　结束语

　　SSL VPN是基于网络层和应用层之间的安全网关类产品，具有良好的网络适应性和应用安全性，无客户端的特点使得其应用非常的灵活方便而发展迅速。中华卫士SSL VPN基于ASIC硬件加速卡，具有完善的认证、授权、审计和细粒度强访问控制功能，支持各种常见的C/S应用并具有很好的协议扩展性，是中小企业组建远程办公网络的最佳选择。