基于SSL VPN系統(tǒng)架構網(wǎng)絡的應用

2013-12-05 15:10:53 電力信息化　點擊量：評論 (0)

摘要：本文對實現(xiàn)VPN（Virtual Private Network）的幾種技術做了介紹，比較詳細地對IPSec VPN和SSL VPN進行比較，從應用、安全角度等考慮如何選擇合適的VPN技術，并且結合天津電力的應用和安全需求，介紹了S

網(wǎng)絡環(huán)境。是一種比私有網(wǎng)和專線低成本的傳輸選擇，從而使企業(yè)可以利用Internet結構，跨越地理分離的分支而實現(xiàn)網(wǎng)絡的快速擴展。

IPSec VPN需要考慮的另外一個問題是實施和維護管理資源。所有的遠程用戶和移動用戶，如果不屬于一個網(wǎng)絡節(jié)點，就必須在PC機上安裝客戶端軟件。對于百上千個移動用戶來說，實施、升級和管理這些客戶端將是非常費時和昂貴的。

SSL(Secure Socket Layer) VPN的介紹

是利用瀏覽器內建的Secure Socket Layer封包處理功能，用瀏覽器連回公司內部SSL VPN服務器，然后透過網(wǎng)絡封包轉向的方式，讓使用者可以在遠程計算機執(zhí)行應用程序，讀取公司內部服務器數(shù)據(jù)。它采用標準的安全套接層（SSL）對傳輸中的數(shù)據(jù)包進行加密，從而在應用層保護了數(shù)據(jù)的安全性。SSL VPN一般的實現(xiàn)方式是在企業(yè)的防火墻后面放置一個SSL代理服務器。如果用戶希望安全地連接到公司網(wǎng)絡上，那么當用戶在瀏覽器上輸入一個URL后，連接將被SSL代理服務器取得，并驗證該用戶的身份，然后SSL代理服務器將提供一個遠程用戶與各種不同的應用服務器之間連接。 SSL VPN使用SSL/HTTPS技術做為安全傳輸機制。這種機制在所有的標準Web瀏覽器上都有，不用額外的軟件實現(xiàn)。

使用SSL VPN，在移動用戶和內部資源之間的連接通過應用層的Web連接實現(xiàn)，而不是像IPSec VPN在網(wǎng)絡層開放的“通道”。SSL對大部分用戶來說是簡單易用的，已經(jīng)安裝到任何一臺可以通過標準Web瀏覽器訪問Internet的計算機上，獨立于操作系統(tǒng)，所以操作系統(tǒng)的變化并不需要對SSL進行更新。而且因為SSL VPN在應用層實現(xiàn)，也可以對應用進行更進一步的細化控制，所以對移動員工和來自非安全點的用戶來說是特別理想的聯(lián)網(wǎng)方式。

四、選擇VPN接入技術的決策標準

1、網(wǎng)絡環(huán)境判斷分析

IT 環(huán)境： IPSec VPN SSL VPN

連接類型固定連接短暫連接

設備類型可管理的企業(yè)設備各種設備

接入類型站點間連接遠程員工、業(yè)務合作伙伴、客戶

接入控制允許執(zhí)行接入管理策略

2、適于的用戶對象

用戶對象： IPSec VPN SSL VPN

遠程辦事處員工 X X

IT 人員 X X

移動員工 X