SSL VPN技术简介

gzhq

SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。
SSL(Secure Sockets Layer)是由Netscape公司开发的一套Internet数据安全协议，当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议(SSL Record Protocol)：它建立在可靠的传输协议(如TCP)之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol)：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

  SSL VPN技术
SSL VPN技术虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。


VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或WINDOWS2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。
　　虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。
针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。 　　
目前很多单位都面临着这样的挑战：分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。 　　
对于很多IPSec VPN用户来说，IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实：在部署和使用软硬件客户端的时候，需要大量的评价、部署、培训、升级和支持，对于用户来说，这些无论是在经济上和技术上都是个很大的负担，将远程解决方案和昂贵的内部应用相集成，对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制，大量的企业都认为IPSec VPN是一个成本高、复杂程度高，甚至是一个无法实施的方案。为了保持竞争力，消除企业内部信息孤岛，很多公司需要在与企业相关的不同的组织和个人之间传递信息，所以很多公司需要找一种实施简便，不需改变现有网络结构，运营成本低的解决方案。
SSL VPN 的发展对现有SSL 应用是一个补充，它增加了公司执行访问控制和安全的级别和能力。　　
SSL VPN 还对那些因为使用远程访问应用系统而降低公司安全性的企业有所帮助。从属性上讲，拨号可以保证相对安全性，因为特定的电话线可以确认用户的身份。客户端/服务器和旧版本的VPN 自身也拥有一定级别的安全保障能力，因为客户端软件是需要安装的。但是，以这样的安全策略和属性， 不可否认，黑客入侵、安全威胁、身份欺诈呈增长趋势。现在，使用SSL VPN，安全特性已经发生了改变，人们可以通过浏览器访问应用程序。
　　如果把SSL 和VPN 两个概念分开，大多数人都清楚他们  SSL VPN技术的含义，但是有多少人知道他们合在一起的意思呢？从学术和商业的角度来讲，因为他们代表的含义有所不同，因而常常会被曲解。
SSL 通过加密方式保护在互联网上传输的数据安全性，它可以自动应用在每一个浏览器上。这里，需要提供一个数字证书给Web 服务器，这个数字证书需要付费购买，相对而言，给应用程序设立SSL 服务是比较容易的。如果应用程序本身不支持SSL， 那么就需要改变一些链接，这只与应用程序有关。对于出现较大信息量的情况，建议给SSL 进行加速以避免流量瓶颈。通常SSL 加速装置为热插拔装置。 　　
VPN 则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。过去，VPN 总是和IPSec 联系在一起，因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层，IPSec VPN 则多用于连接两个网络或点到点之间的连接。 　　
以上我们简要介绍了SSL和VPN，现在我们要了解一下SSL和VPN是怎样结合在一起的？大量理论可以证明SSL的独特性以及VPN所能提供的安全远程访问控制能力。到目前为止，SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器（包括家用机，工作机和客户机等等）需要与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全远程访问的新生代。
从概念角度来说，SSL VPN即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用。  
SSL VPN技术览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。
一般而言，SSL VPN必须满足最基本的两个要求： 　　
1. 使用SSL 协议进行认证和加密；没有采用SSL 协议的VPN产品自然不能称为SSL VPN，其安全性也需要进一步考证。 　　
2. 直接使用浏览器完成操作，无需安装独立的客户端；即使使用了SSL 协议，但仍然需要分发和安装独立的VPN客户端 (如Open VPN)不能称为SSL VPN，否则就失去了SSL VPN易于部署，免维护的优点了。
广州慧群计算机科技有限公司代理的juniper 以及astaro（阿斯塔）防火墙均带SSL VPN功能。用户要需可以联系我们。
广州惠群计算机科技有限公司成立于2002年，是专业提供信息安全和数据存储备份产品服务的高科技企业。致力于在网络经济时代提升企业信息化的使用效率和水平。
惠群科技专注于信息安全和数据存储备份技术的研究和开发，为客户构建信息安全体系和数据存储备份体系提供合理的全面解决方案和专业的技术咨询服务。是业内优秀的解决方案和技术服务提供商。
惠群科技的用户广泛分布于政府、教育、能源、电信、金融、交通、大型企业等行业，为用户IT应用系统的高效、稳定运行贡献出自己的力量。其服务所涉及的各种解决方案达四十余种，几乎全部涵盖了用户IT应用系统安全、可靠、高效运行的所有方面，能全面保证用户业务的有效持续。
惠群科技因为优良的业绩取得了广泛的认可，取得了众多的资质认证。公司通过了ISO9001：2000质量管理体系认证；具有国家工信部颁发的《系统集成三级资质》、广东省公安厅颁发的《信息安全服务三级资质》和《广东省信息安全等级差距评估三级资质（粤测评GA056）》。
惠群科技一直与IT全球各大知名品牌信息安全品牌保持着紧密的联系与合作，成为众多品牌在华南地区的重要合作伙伴。是juniper中国区精英代理商、HP金牌代理商、Cisco高级认证代理商、IBM核心代理商。      
公司总部设于广州，在深圳设有区域分公司，现有员工50多人，在北京、上海、厦门、南宁有紧密合作伙伴，为用户提供本地化服务和支持。
广州惠群计算机科技有限公司
联系人：  李经理
电  话： 020-87581978  传  真： 020-87581978-814 手  机： 13640864068

gzhq

专业销售 juniper防火墙 承接各类系统集成项目

gzhq

www.huiqun.com.cn

gzhq

gzhq

每日一顶

gzhq

说实在的，这个对于本人来说的话~~~无视的~~~1010110111100101001010101.......
5691233 发表于 2011-11-3 16:37

...............

5691233

说实在的，这个对于本人来说的话~~~无视的~~~1010110111100101001010101.......

gzhq

up up

gzhq

继续顶 。。。看过的留个脚印

gzhq

嗯，不错，顶下
思考的牛 发表于 2011-11-3 10:03

谢谢版主