在隧道技术的基础上才可谈IPSEC VPN的安全性。隧道间传输密文,两端是明文。
SSL VPN的安全性主要建立在SSL协议的基础上,用PKI的证书体系进行秘密传输。
由于SSL非常灵活,所以广受欢迎,目前差不多全部浏览器都内有SSL功能。它正成为企业应用、无线接入设备、Web服务及安全接入管理的关键协议。
1.SSL高效实现认证加密
SSL协议层含SSL握手协议与SSL记录协议两类子协议。它们共同为应用访问连接(主要是HTTP连接)提供加密和防篡改功能。SSL能在TCP/IP与应用层间很完美处理Internet协议栈,而不影响其他协议层。SSL的这种嵌入功能还能用于类似Internet应用,如Intranet与Extranet接入、应用程序安全访问、无线应用及web服务。
SSL能基于Internet达到安全数据通信:数据在从浏览器发出时加密,到达数据中心后解密;同样地,数据在传回客户端时也加密,再在Intemet中传输。它工作于高层。SSL会话由连接和应用会话两部分组成。在连接阶段,客户端和服务器互换证书且协商安全参数,若客户端接受了服务器证书,即生成主密钥,并对全部后面的通信加密。在应用会话阶段,客户端和服务器间安全传输各类信息,如认证卡号、股票交易数据、个人健康状况等敏感或机密数据。
SSL安全功能组件包括以下几部分:①认证,在连接两端对服务器或同时验证服务器与客户端;②加密,加密通信,只有经过加密的两方才能交换信息并相互;③识别,完整性检验,检测信息内容,避免被篡改。保证通信进程安全的关键步骤是认证通信双方,SSL握手子协议负责处理这个进程:客户端提交有效证书给服务器,服务器用公共密钥算法检验证书信息,来保证终端用户的合法性。
发展最开始时,很多用SSL的传统网络应用,如电子商务并没有客户端认证功能。这类功能在SSL协议外,借助一些组合信息,如姓名/认证卡号结合或其他客户端的数据(如口令)实现的。目前大量企业在数据中心用SSL,主要是实现新型应用的客户端认证。SSL VPN是为终端用户附加认证设立的。客户端认证能让服务器在协议功能范畴内辨识用户身份,同时客户端也可用一样的技术认证服务器。
2.SSL VPN控制功能强大
与传统的IPSec VPN比较,SSL能在不同地点让公司更多远程用户接入,可访问更多的网络资源,对客户端设备的要求也低,从而降低了配置和运行支撑成本。很多企业用户用SSL VPN做远程安全的接入技术,主要看重的是它的接入控制功能。
SSL VPN给出加强的远程安全接入功能。IPSec VPN通过在两站点间创建隧道直接(非代理方式)接入,实现透明访问整个网络。只要隧道创建用户PC就和物理地处于企业LAN中一样。这有许多的安全风险,特别是在接入用户权限过大时。SSL VPN提供安全、可代理连接,只有认证的用户才可访问资源,这就安全多了。SSL VPN可细分加密隧道,使终端用户能同时接入Internet与访问内部企业网资源,即它是可控的。另外,SSL VPN还可细化接入控制功能,便于把不一样访问权限给不同用户,达到伸缩性访问。这种准确的功能对远程接入IPSec VPN来说基本是无法实现的。
SSL VPN几乎不限制接入位置,可从大量Internet接入设备,在任意远程位置访问网络资源。SSL VPN通信基于标准TCP/UDP协议传输,因而能遍历全部NAT设备、基于代理的防火墙和状态检测防火墙。这得用户能从任意地方接入,不管是在其他公司网络中基于代理的防火墙后,还是宽带连接中。由于它很难遍历防火墙和NAT,IPSec VPN在有点繁杂的网络结构中很难完成,不能解决IP地址冲突问题。另外,SSL VPN可接入管理或非管理企业设备,如家用PC或公共Internet接入场所,而IPSec VPN客户端只能接入可管理或固定设备。伴着不断增长远程接入需求,IPSec VPN在访问控制面临极大挑战,且管理与运行的成本较高,它是点对点连接的最好的解决方案,但要完成任何位置的远程安全接入,用SSL VPN要满意得多。
