下图是SSL VPN适用的组网结构
ArrayNetworks
同IPSec VPN相比,SSL VPN具有如下优点:
? SSL VPN的客户端程序,如Microsoft Internet Explorer、Netscape
Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装; ? SSL VPN可在NAT代理装置上以透明模式工作;
? SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。
? SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,
在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和
Company Confidential Page 9 of 28
ArrayNetworks
支持费用。SSL VPN正在成为远程接入的事实标准,下面列举了其中的一些理由。
? SSL VPN可以在任何地点,利用任何设备,连接到相应的网络资源上。SSL VPN
通信运行在TCP/ UDP协议上,具有穿越防火墙的能力。这种能力使SSL VPN能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。IPSec VPN通常不能支持复杂的网络,这是因为它们需要克服穿越防火墙、IP地址冲突等困难。鉴于IPSec客户机存在的问题,IPSec VPN实际上只适用于易于管理的或者位置固定的设备。
? SSL VPN是基于应用的VPN,基于应用层上的连接意味着(和IPSec VPN 比
较),SSL VPN 更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec VPN难以做到的)。 IPsec VPN和SSL VPN 将在网络组网中发挥各自的优势,下图是一个远程安全市场的远景分析:
WW VPN Equipment Spending by Product Category43$ Billion21020022004200520063.52.83.73.82.51.50.80.1IPSec VPN/FirewallSSL VPN Company Confidential Page 10 of 28
ArrayNetworks
2. Array Networks SSL VPN解决方案
2.1 Array的SSL VPN的功能
多项业务集成能最大限度地利用已有链路,提高网络经济性,但由此带来的安全问题不容忽视,例如:远程大户和公司营业部职员所能访问的权限肯定是有所不同的,它们的数据应能被识别和隔离开来分别处理。采用Array公司端到端的安全解决方案,可以提供以下安全防范手段:
实施安全认证--安全认证主要是对用户身份实施检验和权限设定,这样当外部用户以远程大户身份和以营业部职员身份登录时,他们所能访问的数据可以是截然不同的。安全认证一般采用集中管理方式,在内部网络中设立专门的认证服务器,在其上建立用户数据库,这样不论用户从何处登录进来,都需要经过该服务器的统一检验,授权并且其后的所有访问过程都可被审计,记入日志。
下图为Array SP产品在SSL VPN应用中的网络结构。 Corporate NetworkSSLSSLSSLSSLArray SPProxySSLSSLSSLClientClientSSLInternet Page 11 of 28 Company Confidential https://intranet.arraynetworks.net
ArrayNetworks
上图是一个典型的SSL VPN组网的拓扑结构图,圆圈中为企业的核心数据网络,远端用户通过internet与企业数据中心相连。此时,在企业边缘部署SSL VPN网关-ArrayNetworks SP ( security proxy),SP可以放在路由器和防火墙的后面,提供SSL VPN门户站点(如上图左上角的页面)。所有上网用户必须登陆此 SSL VPN 门户站点才能访问SSL VPN,同时每个用户必须有自己的帐号、口令并享有访问SSL VPN各种资源的响应权限。SP提供的门户站点IP地址可以是公网地址,也可以是防火墙等地址提供的NAT后的私有地址。此时,防火墙可以只对SP开放https的端口地址,缺省为TCP 443端口。用户端使用标准的浏览器,如IE 和 Netscape,用户可以是NAT,或者是通过代理方式访问,只需保持https通道是畅通的既可。
ArrayNetowrks SSL VPN解决方案是Global Access方案,不只支持Remote Access,对于企业内网用户同样可以通过SSL VPN来进行响应的认证、加密和权限限制,内部访问的安全性。 下图是ArrayNetworks SP典型应用的流程图:
1. Initial HTTPS Request2. Request for Login/Password3. User Login/Password4 Request authentication (and authorization policies) from AAA server5. Portal Welcome Web Page6. Request Portal URL LinkAAA ServerArray SPClient7. Check if request is authorized8. Web Page Retrieved9. Secured, Rewritten Web PageWebServer Company Confidential
Page 12 of 28