SSL VPN 真正的价值

创新云

近年来，SSL VPN作为一种新型的VPN技术，以其高细粒度的访问控制、简单易用的使用风格受到越来越多远程访问用户的青睐，在网络中得到越来越多的应用。但是目前业界对什么是SSL VPN，SSL VPN核心的功能有哪些尚存在不少争议。如果不能将SSL VPN的本质搞清楚，往往导致用户在购买SSL VPN产品时拣了芝麻、丢了西瓜，被花哨的小特性所吸引，而忽略了SSL VPN真正的价值所在。本文以下部分将从技术实现和技术发展趋势的角度来阐明SSL VPN的真实价值，希望读者能从中对SSL VPN的本质有所了解。首先需要澄清两个关于SSL VPN的误解：
(1)“点对点接入”与“远程接入”
VPN的使用方式有两种：一种是点对点(Site-to-Site)，即两个大型的局域网络通过VPN实现远程互连；另一种是远程访问(Remote-Access)，即远程主机通过VPN连入企业的内部网络，访问内部网络资源。从组网功能上看，实现点对点互连的VPN网关其实是一个网络互连设备；而实现远程接入的VPN网关其实际作用相当于一台远程接入服务器。
B目前具有加密功能的VPN有两种：IPSsec VPN与SSL VPN。由于历史原因，IPSsec VPN先发展起来，目前的IPSsec VPN产品大都支持点对点和远程访问两种接入方式。SSL VPN产品是后发展起来的，主要应用在远程接入方面，但有的产品也宣称支持点对点的接入方式，我们认为这是不恰当的。
通过对两种VPN技术的分析，我们知道：IPSsec协议是工作在IP层的加密协议，且实现起来比较简单，所以IPSsec VPN网关相对来说性能高，运行起来简单可靠。但是由于工作在IP层，用作远程接入的IPSsec VPN客户端实现较困难，配置和维护工作较复杂，给终端用户的使用带来不便。因而IPSsec VPN适合作为“点对点”接入方式的网关，不太适合作为“远程访问”的网关。
而SSL协议，握手过程较复杂，且工作在TCP层，传输性能相对来说不高；高性能的SSL VPN网关其价格往往比同规格的IPSsec VPN网关高很多。所以相对而言，SSL VPN不适合“点对点”的接入，但是SSL VPN在用户使用方面比较简单，在对网络应用的控制方面也较强，因而SSL VPN比较适合“远程访问”的接入方式。! `综上所述，无论IPSsec VPN还是SSL VPN作为独立的VPN产品都不能很好地同时满足两种接入方式的需要，因而较理想的VPN产品应该同时提供IPSsec VPN和SSL VPN两种功能。由于IPSsec协议和SSL协议都涉及到大量的加密计算，因而高性能的VPN产品应该对这两种协议同时提供硬件加速功能。
（2)免客户端有的产品在介绍SSL VPN时，宣称免客户端。这其实是不确切的。SSL VPN最吸引人的地方就是Web接入方式，即只使用Web浏览器就可以访问SSL VPN了，此时不需要使用额外的客户端软件。在这种情况下，才能称为免客户端。当然严格说来，Web浏览器本身就是一种客户端软件，是Web服务器的客户端，只是这种客户端软件被目前所有的操作系统所免费提供，不计入SSL VPN的成本而已。  在实际使用中，为了支持Web以外的网络应用，SSL VPN也需要通过网页中的控件下载客户端程序，该程序将作为运行在远程主机上的VPN客户端软件，实现与内部网络的互连。在这种情况下，SSL VPN也是有客户端的，只不过SSL VPN的客户端不用预先安装，也不用做任何配置，可以自动下载，自动运行，在用户退出系统时，自动删除。所以目前的SSL VPN可以称为客户端免安装、免维护。
SSL VPN兴起的一个重要原因就是它顺应了当前网络应用Web化的进程。随着网络和软件技术的进步，网络应用逐渐由“Everything over IP”转变为“Everything over Web”，有专家预计未来基于Web的应用将占整个网络应用的60%~70%。面对这一发展趋势，IPsec协议由于自身的局限性难以有所作为，而SSL VPN却大放异彩：
首先，任何浏览器都支持SSL协议，但没有哪个网络应用能直接使用IPSsec。这样使得SSL VPN具有了跨平台的特性。无论哪种操作系统，无论哪种网络终端，只要能使用Web浏览器上网，就能使用SSL VPN。

其次，使用SSL VPN的Web接入方式，可以真正做到免客户端。用户可以直接通过Web浏览器访问企业内部的Web资源，既方便了用户使用，又省去了维护VPN客户端的工作量。
再者，使用Web接入，SSL VPN网关可以对所请求的URL进行精确地访问控制，从而保证远程用户对内网资源的访问是受控的。, 最后，某些高级的SSL VPN产品还可以支持协议转换功能，将应用协议的输出转换为Web页面显示出来，从而实现了某些非Web应用的Web化。例如，在SSL VPN支持Samba文件共享时，就可以将Samba协议的输出的结果通过Web页面显示出来，从而使得用户可以通过Web浏览器来访问内网的文件共享目录。-
除了上述的Web接入和细粒度的权限控制外，SSL VPN还有以下重要的技术特色：

动态授权
与静态授权不同的是：用户登录后所授予的访问权限不但与用户的身份有关，还与用户所使用的远程主机的安全状态有关。SSL VPN通过Web网页下载一个主机检查器，该软件可以检查远程主机的操作系统和浏览器的版本、补丁，还会检查杀毒软件的版本和病毒库版本。根据这些信息，评估客户端的安全状态，对不够安全的远程主机可以限制其能够访问的网络资源范围。
证书认证
SSL VPN不但支持普通的用户名/密码方式的认证，还支持证书认证。为保护私钥，一般使用USB-Key来保存证书。操作系统与USB-Key之间的交互有一套标准的智能卡接口规范，用户在电脑中插入USB-Key后，操作系统和浏览器可以自动识别USB-Key所保存的证书。浏览器与SSL VPN网关在建立SSL链接时，会执行一套严密的证书认证过程。该过程是公认的最完善的证书认证方法，可以有效防御中间人攻击。由于浏览器对SSL协议的支持，以及操作系统对智能卡标准的统一，SSL VPN在使用证书认证时无需额外的客户端软件，一切都是标准的，都是现成的。4综上所述，SSL VPN的产生是符合技术发展趋势的，在网络化、Web化、标准化(SSL协议、智能卡接口)的推动下，SSL VPN受到了广泛的支持，必将成为远程接入VPN的主流产品。而要真正发挥出SSL VPN的功效，也为了适应今后网络应用发展的需要，SSL VPN一定要能很好地支持Web接入。只有采用Web接入才能真正实现免客户端，才能实现高细粒度的权限控制。

anpengcy

)免客户端有的产品在介绍SSL VPN时；高端，一直都没用过。