圖片:
描述: 圖2 旁路方式
圖片:
×××是一項非常實用的技術,它可以擴展企業的內部網絡,近期傳統的IPSec ×××出現了客戶端不易配置等問題,相對而言,SSL ×××作爲一種全新的技術正在被廣泛關注,SSL利用內置在每個Web瀏覽器中的加密和驗證功能,並與安全網關相結合,提供安全遠程訪問企業應用的機制,這樣,遠程移動用戶輕鬆訪問公司內部B/S和C/S應用和其他核心資源。
1 什麼是SSL ×××
SSL ×××是指應用層的×××,基於HTTPS來訪問受保護的應用。目前常見的SSL ×××方案有兩種:直路方式(圖1)和旁路方式(圖2)。直路方式中,當客戶端需要訪問一應用服務器時,首先,客戶端和SSL ×××網關通過證書互相驗證雙方;其次,客戶端和SSL ×××網關之間建立SSL通道;然後,SSL ×××網關作爲客戶端的代理和應用服務器之間建立TCP連接,在客戶端和應用服務器之間轉發數據。旁路方式與直路不同是,爲了減輕在進行SSL加解密時的運行負擔,也可以獨立出SSL 加速設備,在SSL ××× Server接收到HTTPS請求時將SSL 加密的過程交給SSL 加速設備來處理,當SSL加速設備處理完之後再將數據轉發給SSL ××× Server。
SSL ×××網關在傳輸過程中起到的主要作用是代理。當用戶發送訪問應用服務器的請求時,請求並沒有被直接發送給應用服務器,而是被SSL ×××接收,接收後的數據首先被SSL ×××進行協議解析,然後執行身份認證和訪問控制等安全策略,最終再將數據轉換爲適當的後端協議,傳送給應用服務器。由於在執行安全策略後才允許數據流進入應用服務器,從而有力地保護了專用網絡。
SSL ×××有兩種接入方式,無客戶端方式和瘦客戶端方式。
無客戶端是指通過IE瀏覽器實現內容重寫和應用翻譯。實現機制有四個方面:1)通過動態翻譯WEB內容中內嵌的URL連接,使之指向SSL ×××網關虛擬門戶;2)重寫內嵌在HTML頁面中Javascript、Cookie的URL連接;3)重寫Web Server的迴應,使之符合internet標準格式;4)擴展到一些非Web應用,如文件共享訪問。
無客戶端方式支持的應用類型可以是web方式也可以是文件共享。通過Web方式可以訪問企業的WEB應用、Web資源如Outlook Web Access等。文件共享是指可以通過瀏覽器訪問內部文件系統,瀏覽目錄、下載和上傳文件UNIX (NFS)文件、Windows (SMB/CIFS) 文件等。
瘦客戶端方式是指客戶端作爲代理實現端口轉發,但是SSL ××× 客戶端是自動下載的,所以對客戶來講是透明的。瘦客戶端支持的應用類型是所有基於固定端口的TCP應用,如Exchange/Lotus Notes、Email(POP/IMAP/SMTP)、Telnet等。
2.SSL ×××的優勢
SSL ×××的優勢來自於HTTP的廣泛應用,常見的使用 HTTP 的應用有:SOAP(Simple Object Access Protocol) 簡單對象訪問協議,UDDI (Universal Description, Discovery, and Integration)統一描述、發現和集成等。這類B/S 架構管理軟件只安裝在服務器端上,用戶界面主要事務邏輯在服務器端完全通過WWW瀏覽器實現。極少部分事務邏輯在前端(Browser)實現,所有的客戶端可以只有瀏覽器。
(1) 零客戶端
客戶端的區別是SSL ×××最大的優勢。有Web瀏覽器的地方的就有SSL,所以預先安裝了Web瀏覽器的客戶機可以隨時作爲SSL ×××的客戶端。這樣,使用零客戶端的SSL ×××遠程訪問的用戶可以爲遠程員工、客戶、合作伙伴及供應商等,通過SSL ×××,客戶端可以在任何時間任何地點對應用資源進行訪問,而IPSec ×××只允許已經定義好的客戶端進行訪問,所以它更適用於企業內部。
SSL ×××的客戶端屬於即插即用的安裝模式,不需要任何附加的客戶端軟件和硬件,即便是瘦客戶端模式,由於是用自動下載的模式,所以對用戶來講仍然是透明的;相對而言,IPSec ×××通常需要長時間的配置,並必須有相應的軟硬件纔可使用,用戶需要支付軟硬件費用以及配置、技術支持的費用也就比較高。IPSec ×××部署如果增添新的設備,往往要改變網絡結構,因此造成IPSec ×××的可擴展性比較差。
(2)安全性
SSL安全通道是在客戶到所訪問的資源之間建立的,確保端到端的真正安全。無論在內部網絡還是在因特網上數據都不是透明的。客戶對資源的每一次操作都需要經過安全的身份驗證和加密。
SSL ×××的安全性前面已經討論過,與IPSec ×××相比較,SSL ×××在防病毒和防火牆方面有它特有的優勢。
一般企業在Internet聯機入口,都是採取適當的防毒偵測措施。不論是IPSEC ×××或SSL ×××聯機,對於入口的病毒偵測效果是相同的,但是比較從遠程客戶端***的可能性,就會有所差別。採用IPSEC聯機,若是客戶端電腦遭到病毒感染,這個病毒就有機會感染到內部網絡所連接的每臺電腦。而對於SSL ×××的聯機,病毒傳播會侷限於這臺主機,而且這個病毒必須是針對應用系統的類型,不同類型的病毒是不會感染到這臺主機的。因此通過SSL ×××連接,受外界病毒感染的可能性大大減小。
再比如防火牆上的通訊端口,在TCP/IP的網絡架構上,各式各樣的應用系統會採取不同的通訊協議,並且通過不同的通訊端口來作爲服務器和客戶端之間的數據傳輸通道。以Internet Ftp系統來說,通訊端口一般採用21,若是從遠程電腦來聯機Ftp服務器,就必須在防火牆上開放21端口。IPSEC ×××聯機就會有這個困擾和安全顧慮。在防火牆上,每開啓一個通訊埠,就多一個******機會。反觀之,SSL ×××就沒有這方面的困擾。因爲在遠程主機與SSL ××× 網關之間,採用SSL通訊端口443來作爲Web Server對外的數據傳輸通道,因此,不需在防火牆上做任何修改,也不會因爲不同應用系統的需求,而來修改防火牆上的設定。如果所有後臺系統都通過SSL ×××的保護,那麼在日常辦公中防火牆只開啓一個443端口就可以,從而減少內部網絡受外部******的可能性。
(3)訪問控制
用戶部署×××是爲了保護網絡中重要數據的安全。在電子商務和電子政務日益發展的今天,各種應用日益複雜,需要訪問內部網絡人員的身份也多種多樣,對內網資源的權限也有不同的級別。
由於IPSEC ×××部署在網絡層,因此,內部網絡對於IPSec ×××的使用者來說是透明的,只要是通過了IPSEC ×××網關,就可以任意訪問內網中的資源。因此,IPSEC ×××的目標是建立起來一個虛擬的IP網,而無法保護內部數據的全面安全。
而SSL ×××重點在於保護具體的敏感數據,比如SSL ×××可以根據用戶的不同身份,給予不同的訪問權限。通過配合一定的身份認證,不僅可以控制訪問人員的權限,還可以對訪問人員的每個訪問的關鍵信息進行數字簽名,以保證每次訪問的不可抵賴性,爲事後追蹤提供了依據。
(4) 經濟性
使用SSL ×××具有很好的經濟性,因爲只需要在總部放置一臺硬件設備就可以實現所有用戶的遠程安全訪問接入。但是對於IPSEC ×××來說,每增加一個需要訪問的分支,就需要添加一個硬件設備。就使用成本而言,SSL ×××具有更大的優勢,由於這是一個即插即用設備,在部署實施以後,一個具有一定IT知識的普通工作人員就可以完成日常的管理工作。
綜觀上述,SSL ×××在其易於使用性及安全層級,都比IPSec ×××高。我們都知道,由於Internet的迅速擴展,針對遠程安全登入的需求也日益提升。對於使用者而言,方便安全的解決方案,才能真正符合需求。
無客戶端是指通過IE瀏覽器實現內容重寫和應用翻譯。實現機制有四個方面:1)通過動態翻譯WEB內容中內嵌的URL連接,使之指向SSL ×××網關虛擬門戶;2)重寫內嵌在HTML頁面中Javascript、Cookie的URL連接;3)重寫Web Server的迴應,使之符合internet標準格式;4)擴展到一些非Web應用,如文件共享訪問。
無客戶端方式支持的應用類型可以是web方式也可以是文件共享。通過Web方式可以訪問企業的WEB應用、Web資源如Outlook Web Access等。文件共享是指可以通過瀏覽器訪問內部文件系統,瀏覽目錄、下載和上傳文件UNIX (NFS)文件、Windows (SMB/CIFS) 文件等。
瘦客戶端方式是指客戶端作爲代理實現端口轉發,但是SSL ××× 客戶端是自動下載的,所以對客戶來講是透明的。瘦客戶端支持的應用類型是所有基於固定端口的TCP應用,如Exchange/Lotus Notes、Email(POP/IMAP/SMTP)、Telnet等。
2.SSL ×××的優勢
SSL ×××的優勢來自於HTTP的廣泛應用,常見的使用 HTTP 的應用有:SOAP(Simple Object Access Protocol) 簡單對象訪問協議,UDDI (Universal Description, Discovery, and Integration)統一描述、發現和集成等。這類B/S 架構管理軟件只安裝在服務器端上,用戶界面主要事務邏輯在服務器端完全通過WWW瀏覽器實現。極少部分事務邏輯在前端(Browser)實現,所有的客戶端可以只有瀏覽器。
(1) 零客戶端
客戶端的區別是SSL ×××最大的優勢。有Web瀏覽器的地方的就有SSL,所以預先安裝了Web瀏覽器的客戶機可以隨時作爲SSL ×××的客戶端。這樣,使用零客戶端的SSL ×××遠程訪問的用戶可以爲遠程員工、客戶、合作伙伴及供應商等,通過SSL ×××,客戶端可以在任何時間任何地點對應用資源進行訪問,而IPSec ×××只允許已經定義好的客戶端進行訪問,所以它更適用於企業內部。
SSL ×××的客戶端屬於即插即用的安裝模式,不需要任何附加的客戶端軟件和硬件,即便是瘦客戶端模式,由於是用自動下載的模式,所以對用戶來講仍然是透明的;相對而言,IPSec ×××通常需要長時間的配置,並必須有相應的軟硬件纔可使用,用戶需要支付軟硬件費用以及配置、技術支持的費用也就比較高。IPSec ×××部署如果增添新的設備,往往要改變網絡結構,因此造成IPSec ×××的可擴展性比較差。
(2)安全性
SSL安全通道是在客戶到所訪問的資源之間建立的,確保端到端的真正安全。無論在內部網絡還是在因特網上數據都不是透明的。客戶對資源的每一次操作都需要經過安全的身份驗證和加密。
SSL ×××的安全性前面已經討論過,與IPSec ×××相比較,SSL ×××在防病毒和防火牆方面有它特有的優勢。
一般企業在Internet聯機入口,都是採取適當的防毒偵測措施。不論是IPSEC ×××或SSL ×××聯機,對於入口的病毒偵測效果是相同的,但是比較從遠程客戶端***的可能性,就會有所差別。採用IPSEC聯機,若是客戶端電腦遭到病毒感染,這個病毒就有機會感染到內部網絡所連接的每臺電腦。而對於SSL ×××的聯機,病毒傳播會侷限於這臺主機,而且這個病毒必須是針對應用系統的類型,不同類型的病毒是不會感染到這臺主機的。因此通過SSL ×××連接,受外界病毒感染的可能性大大減小。
再比如防火牆上的通訊端口,在TCP/IP的網絡架構上,各式各樣的應用系統會採取不同的通訊協議,並且通過不同的通訊端口來作爲服務器和客戶端之間的數據傳輸通道。以Internet Ftp系統來說,通訊端口一般採用21,若是從遠程電腦來聯機Ftp服務器,就必須在防火牆上開放21端口。IPSEC ×××聯機就會有這個困擾和安全顧慮。在防火牆上,每開啓一個通訊埠,就多一個******機會。反觀之,SSL ×××就沒有這方面的困擾。因爲在遠程主機與SSL ××× 網關之間,採用SSL通訊端口443來作爲Web Server對外的數據傳輸通道,因此,不需在防火牆上做任何修改,也不會因爲不同應用系統的需求,而來修改防火牆上的設定。如果所有後臺系統都通過SSL ×××的保護,那麼在日常辦公中防火牆只開啓一個443端口就可以,從而減少內部網絡受外部******的可能性。
(3)訪問控制
用戶部署×××是爲了保護網絡中重要數據的安全。在電子商務和電子政務日益發展的今天,各種應用日益複雜,需要訪問內部網絡人員的身份也多種多樣,對內網資源的權限也有不同的級別。
由於IPSEC ×××部署在網絡層,因此,內部網絡對於IPSec ×××的使用者來說是透明的,只要是通過了IPSEC ×××網關,就可以任意訪問內網中的資源。因此,IPSEC ×××的目標是建立起來一個虛擬的IP網,而無法保護內部數據的全面安全。
而SSL ×××重點在於保護具體的敏感數據,比如SSL ×××可以根據用戶的不同身份,給予不同的訪問權限。通過配合一定的身份認證,不僅可以控制訪問人員的權限,還可以對訪問人員的每個訪問的關鍵信息進行數字簽名,以保證每次訪問的不可抵賴性,爲事後追蹤提供了依據。
(4) 經濟性
使用SSL ×××具有很好的經濟性,因爲只需要在總部放置一臺硬件設備就可以實現所有用戶的遠程安全訪問接入。但是對於IPSEC ×××來說,每增加一個需要訪問的分支,就需要添加一個硬件設備。就使用成本而言,SSL ×××具有更大的優勢,由於這是一個即插即用設備,在部署實施以後,一個具有一定IT知識的普通工作人員就可以完成日常的管理工作。
綜觀上述,SSL ×××在其易於使用性及安全層級,都比IPSec ×××高。我們都知道,由於Internet的迅速擴展,針對遠程安全登入的需求也日益提升。對於使用者而言,方便安全的解決方案,才能真正符合需求。