解讀SSL ×××技術(二)

 本文出自 “王達博客” 博客，轉載請與作者聯繫！

作者已授權本博客轉載

2．SSL ×××的主要不足之處

上面介紹SSL ×××技術這麼多優勢，那麼爲什麼現在不是所有用戶都使用SSL ×××，且據權威調查機構調查顯示目前絕大多部分企業仍採用IPSec ×××呢？SSL ×××的主要不足在哪裏呢？

（1）必須依靠因特網進行訪問：爲了通過基於SSL ×××進行遠程工作，當前必須與因特網保持連通性。因爲此時Web瀏覽器實質上是扮演客戶服務器的角色，遠程用戶的Web瀏覽器依靠公司的服務器進行所有進程。正因如此，如果因特網沒有連通，遠程用戶就不能與總部網絡進行連接，只能單獨工作。

（2）對新的或者複雜的Web技術提供有限支持：基於SSL的×××方案是依賴於反代理技術來訪問公司網絡的。因爲遠程用戶是從公用因特網來訪問公司網絡的，而公司內部網絡信息通常不僅是處於防火牆後面，而且通常是處於沒有內部網IP地址路由表的空間中。反代理的工作就是翻譯出遠程用戶Web瀏覽器的需求，通常使用常見的URL地址重寫方法，例如，內部網站也許使用內部DNS服務器地址鏈接到其他的內部網鏈接，而URL地址重寫必需完全正確地讀出以上鍊接信息，並且重寫這些URL地址，以便這些鏈接可以通過反代理技術獲得路由，當有需要時，遠程用戶可以輕鬆地通過點擊路由進入公司內部網絡。對於URL地址重寫器完全正確理解所傳輸的網頁結構是極其重要的，只有這樣纔可正確顯示重寫後的網頁，並在遠程用戶計算機瀏覽器上進行正確地操作。

（3）只能有限地支持Windows應用或者其它非Web系統：因爲大多數基於SSL的×××都是基Web瀏覽器工作的，遠程用戶不能在Windows,、UNIX、Linux、AS400或者大型系統上進行非基於Web界面的應用。雖然有些SSL提供商已經開始合併終端服務來提供上述非Web應用，但不管如何，目前SSL ×××還未正式提出全面支持，這一技術還有待討論，也可算是一個挑戰。

（4）只能爲訪問資源提供有限安全保障：當使用基於SSL協議通過Web瀏覽器進行×××通信時，對用戶來說外部環境並不是完全安全、可達到無縫連接的。因爲SSL ×××只對通信雙方的某個應用通道進行加密，而不是對在通信雙方的主機之間的整個通道進行加密。在通信時，在Web頁面中呈現的文件很難也基本上無法保證只出現類似於上傳的文件和郵件附件等簡單的文件，這樣就很難保證其它文件不被暴露在外部，存在一定的安全隱患。

四、SSL ××× 與IPSec ×××之間的比較

要了解SSL ×××與IPSec ×××到底有哪些聯繫與區別，首先還是先來回顧一下傳統的IPSec ×××方案。

IPSec的英文全名爲“Internet Protocol Security”，中文名爲“因特網安全協議”,這個安全協議是×××的基本加密協議，它爲數據在通過公用網絡（如因特網）在網絡層進行傳輸時提供安全保障。通信雙方要建立IPSec通道，首先要採用一定的方式建立通信連接。因爲IPSec協議支持幾種操作模式，所以通信雙方先要確定所要採用的安全策略和使用模式，這包括如加密運算法則和身份驗證方法類型等。在IPSec協議中，一旦IPSec通道建立，所有在網絡層之上的協議在通信雙方都經過加密，如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等，而不管這些通道構建時所採用的安全和加密方法如何。

1. IPSec的主要不足

（1）安全性能高，但通信性能較低

因爲IPSec安全協議是工作在網絡層的，不僅所有網絡通道都是加密的，而且在用戶訪問所有公司資源時，就像採用專線方式與公司網絡直接物理連接一樣。你可以或者不想讓你的合作伙伴或者遠程員工成爲您的網絡一部分，IPSec不僅使你正在通信的那一很小的部分通道加密，而是對所有通道進行加密。所以在在安全性方面比SSL ×××好，但整體通信性能卻因安全性受到了影響，不過安全性方面始終高於性能的，這也是目前IPSec ×××仍爲主流的原因之一。

（2）需要客戶端軟件

在IPSec ×××中需要在每一客戶端安裝特殊用途的客戶端軟件，用這些軟件來替換或者增加客戶系統的TCP/IP堆棧。在許多系統中，這就可能帶來了與其他系統軟件之間兼容性問題的風險，例如***程序所帶來的安全性風險，特別是在這些客戶端軟件是從網站上下載，而且不是經過專門的IT人員安裝的情況下。解決IPSec協議的這一兼容性問題目前還缺乏一致的標準，幾乎所有的IPSec客戶端軟件都是專有的，不能與其它兼容。

在一些情形中，IPSec安全協議是在運行在網絡硬件應用中，在這種解決方案中大多數要求通信雙方所採用的硬件是相同的，IPSec協議在硬件應用中同樣存在着兼容性方面的問題。

並且，IPSec客戶端軟件在膝上電腦或者桌面系統中的應用受到限制。這種限制限制了用戶使用的靈活性，在沒有裝載IPSec客戶端系統的遠程用戶中用戶不能與網絡進行×××連接。

（3）安裝和維護困難

IPSec安全協議方案需要大量的IT技術支持，包括在運行和長期維護兩個方面。在大的企業通常有幾個專門的員工爲通過IPSecI安全協議進行的×××遠程訪問提供服務。

（4）實際全面支持的系統比較少

雖然已有許多開發的操作系統提出對IPSec協議的支持，但是在實際應用是，IPSec安全協議客戶的計算機通常只運行基於Windows系統，很少有運行其它PC系統平臺的，如Mac、Linux、Solaris 等。

2.  爲什麼要用SSL，而不用IPSec ×××？

雖然目前並不是所有，也不大多數用戶採用SSL代理方式進行×××通信，但是使用SSL ×××的用戶數卻在不斷增加，有些是原來一直採用IPSec ×××的，原因主要有以下幾個方面：

（1）不需要客戶端軟件和硬件需求

在SSL代理中的一個關鍵優勢就是不需要在客戶端安裝另外的軟件，而只需要在服務器端安裝相應的軟件和硬件，然後通過服務器向客戶端發佈。SSL代理可以使用於支持SSL技術的標準Web瀏覽器和email客戶中。

（2）容易使用，容易支持Web界面

在今天的工廠中，有許多Web瀏覽器和支持SSL的email客戶端，包括Windows、Macintosh、Linux/UNIX、PDAs，甚至到蜂窩電話都可以通過SSL協議進行通信。因爲這些都是人們已非常熟悉的，這樣就可以大大節省培訓費用。

（3）端到端 vs. 端到邊緣安全

IPSec安全協議的一個主要優勢就是只需要在客戶和網絡資源邊緣處建立通道。僅保護從客戶到公司網絡邊緣連接的安全，不管怎樣，所有運行在內部網絡的數據是透明的，包括任何密碼和在傳輸中的敏感數據。SLL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內部網絡還是在因特網上數據都不是透明的。客戶對資源的每一次操作都需要經過安全的身份驗證和加密。

這兩種×××方式的通道安全示意圖如圖1所示。

圖1

（4）90%以上的通信是基於Web和Email的

近呼90%的企業利用×××進行的內部網和外部網的聯接都只是用來進行因特網訪問和電子郵件通信，另外10%的用戶是利用諸如x11、聊天協議和其它私有客戶端應用，屬非因特網應用。

3. SSL ×××與IPSec ×××的比較列表

下表是SSL ×××與IPSec ×××主要性能比較，從表中可以看出各自的主要優勢與不足。

選項	SSL ×××	IPSec ×××
身份驗證	·單向身份驗證 ·雙向身份驗證 ·數字證書	·雙向身份驗證 ·數字證書
加密	·強加密 ·基於Web瀏覽器	·強加密 ·依靠執行
全程安全性	·端到端安全 ·從客戶到資源端全程加密	·網絡邊緣到客戶端 ·僅對從客戶到×××網關之間通道加密
可訪問性	選用於任何時間、任何地點訪問	限制適用於已經定義好受控用戶的訪問
費用	·低（無需任何附加客戶端軟件）	·高（需要管理客戶端軟件）
安裝	·即插即用安裝 ·無需任何附加的客戶端軟、硬件安裝	·通常需要長時間的配置 ·需要客戶端軟件或者硬件
用戶的易使用性	·對用戶非常友好，使用非常熟悉的Web瀏覽器 ·無需終端用戶的培訓	·對沒有相應技術的用戶比較困難 ·需要培訓
支持的應用	·基於Web的應用 ·文件共享 ·E-mail	·所有基於IP協議的服務
用戶	客戶、合作伙伴用戶、遠程用戶、供應商等	更適用於企業內部使用
可伸縮性	容易配置和擴展	在服務器端容易實現自由伸縮，在客戶端比較困難

   五、SSL ×××的發展前景

SSL  ×××的出現，使得原來基於IP安全的IPSec ×××廠商不得不重新思考它們的產品方略。我們知道基於IP安全協議的IPSec ×××已經佔領了很大一部分市場，成爲×××市場的主流。但是隨着SSL ×××技術的出現，基於IP協議的IPSec ×××正經受着一場前所未有的考驗。但是不是SSL ×××會取代現有的IPSec ×××成爲主流呢？

雖然SSL ×××有許多相對IPSec ×××的優點，但這些對於主流應用×××的客戶——大、中型企業來說這些優點就顯得不是很重要了。

據有關網絡安全專家認爲這就目前的SSL ×××技術來講是不可能的。主要體現在目前的SSL ×××應用非常有限，僅適用於基於Web的應用。SSL的支持者認爲，當企業工作人員需要遠程訪問Web應用如電子郵件或者接入企業內網的時（因爲SSL可以繞過防火牆和代理服務器）才應用，SSL只不過是一種更低廉而且更容易部署的選擇而已。況且目前，傳統的IPSec ×××廠商爲了滿足這部分用戶的需求，正在匆忙地爲其產品增加SSL性能，這樣只能單獨提供SSL性能的×××產品就可能大受冷落了。

市場研究家們預計在今後幾年中，SSL ×××設備的全球銷售將會出現持續增長，但同時也表明IPSec ×××設備不會因SSL ×××設備的增長而受到大的影響，相反也會技術快速增長，因爲整個×××市場將在近幾來得到極快的增長。Infonetics研究公司預測，SSL ×××市場將會從2002年的5600萬美元增長到2005年的8.4億美元。IPSec ×××設備也將從2002年的15億美元增長到2005年的25億美元。

隨着基於Web的應用越來越多，以及遠程接入需求的增長，SSL可能會成爲一個熱門市場，成爲傳統IPSec ×××設備廠商需要考慮的一個發展方向。 Check Point公司就曾於去年7月發佈過一款SSL ×××產品，它認爲SSL對於需要通過Extranet與業務合作伙伴交換數據但又不想安裝×××客戶端的企業來說非常理想。其他IPSec ×××廠商像北電網絡和SonicWall都持此觀點。北電網絡於去年9月發佈了Alteon SSL設備；SonicWall則在兩年以前收購Phobos的時候就開始提供SSL產品了。

其他IPSec ×××支持者，如賽門鐵克，正在計劃如何將SSL安全技術集成進它的產品中。另外一些小廠商，如Aspelle、Air Gap、Aventail、Neoteris和Whale等通信公司都已經意識到SSL ×××市場需求增長。