基于SSL VPN系統(tǒng)架構(gòu)網(wǎng)絡(luò)的應(yīng)用

2013-12-05 15:10:53 電力信息化　點擊量：評論 (0)

摘要：本文對實現(xiàn)VPN（Virtual Private Network）的幾種技術(shù)做了介紹，比較詳細(xì)地對IPSec VPN和SSL VPN進(jìn)行比較，從應(yīng)用、安全角度等考慮如何選擇合適的VPN技術(shù)，并且結(jié)合天津電力的應(yīng)用和安全需求，介紹了S

網(wǎng)絡(luò)環(huán)境。是一種比私有網(wǎng)和專線低成本的傳輸選擇，從而使企業(yè)可以利用Internet結(jié)構(gòu)，跨越地理分離的分支而實現(xiàn)網(wǎng)絡(luò)的快速擴(kuò)展。

IPSec VPN需要考慮的另外一個問題是實施和維護(hù)管理資源。所有的遠(yuǎn)程用戶和移動用戶，如果不屬于一個網(wǎng)絡(luò)節(jié)點，就必須在PC機(jī)上安裝客戶端軟件。對于百上千個移動用戶來說，實施、升級和管理這些客戶端將是非常費(fèi)時和昂貴的。

SSL(Secure Socket Layer) VPN的介紹

是利用瀏覽器內(nèi)建的Secure Socket Layer封包處理功能，用瀏覽器連回公司內(nèi)部SSL VPN服務(wù)器，然后透過網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，讓使用者可以在遠(yuǎn)程計算機(jī)執(zhí)行應(yīng)用程序，讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。它采用標(biāo)準(zhǔn)的安全套接層（SSL）對傳輸中的數(shù)據(jù)包進(jìn)行加密，從而在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。SSL VPN一般的實現(xiàn)方式是在企業(yè)的防火墻后面放置一個SSL代理服務(wù)器。如果用戶希望安全地連接到公司網(wǎng)絡(luò)上，那么當(dāng)用戶在瀏覽器上輸入一個URL后，連接將被SSL代理服務(wù)器取得，并驗證該用戶的身份，然后SSL代理服務(wù)器將提供一個遠(yuǎn)程用戶與各種不同的應(yīng)用服務(wù)器之間連接。 SSL VPN使用SSL/HTTPS技術(shù)做為安全傳輸機(jī)制。這種機(jī)制在所有的標(biāo)準(zhǔn)Web瀏覽器上都有，不用額外的軟件實現(xiàn)。

使用SSL VPN，在移動用戶和內(nèi)部資源之間的連接通過應(yīng)用層的Web連接實現(xiàn)，而不是像IPSec VPN在網(wǎng)絡(luò)層開放的“通道”。SSL對大部分用戶來說是簡單易用的，已經(jīng)安裝到任何一臺可以通過標(biāo)準(zhǔn)Web瀏覽器訪問Internet的計算機(jī)上，獨立于操作系統(tǒng)，所以操作系統(tǒng)的變化并不需要對SSL進(jìn)行更新。而且因為SSL VPN在應(yīng)用層實現(xiàn)，也可以對應(yīng)用進(jìn)行更進(jìn)一步的細(xì)化控制，所以對移動員工和來自非安全點的用戶來說是特別理想的聯(lián)網(wǎng)方式。

四、選擇VPN接入技術(shù)的決策標(biāo)準(zhǔn)

1、網(wǎng)絡(luò)環(huán)境判斷分析

IT 環(huán)境： IPSec VPN SSL VPN

連接類型固定連接短暫連接

設(shè)備類型可管理的企業(yè)設(shè)備各種設(shè)備

接入類型站點間連接遠(yuǎn)程員工、業(yè)務(wù)合作伙伴、客戶

接入控制允許執(zhí)行接入管理策略

2、適于的用戶對象

用戶對象： IPSec VPN SSL VPN

遠(yuǎn)程辦事處員工 X X

IT 人員 X X

移動員工 X

加班人員 X

顧問 X

客戶 X

業(yè)務(wù)合作伙伴 X

3、客戶端網(wǎng)絡(luò)和設(shè)備

客戶端網(wǎng)絡(luò)和設(shè)備： IPSec VPN SSL VPN

設(shè)備類型企業(yè)擁有和管理不可管理的

網(wǎng)絡(luò)類型可信任不可信任的

特定用戶案例遠(yuǎn)程或分支辦事處賓館互聯(lián)網(wǎng)接入；公用終端（例如網(wǎng)吧）；客戶或業(yè)務(wù)合作伙伴的 PC；家庭網(wǎng)絡(luò)

4、應(yīng)用和內(nèi)容的比較

應(yīng)用和內(nèi)容： IPSec VPN SSL VPN

IP 話音 X X

整個子網(wǎng)，不要求應(yīng)用接入控制 X

網(wǎng)絡(luò)，包括內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)，要求接入控制 X

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊