郑宁宁
摘要:SSLVPN是继PPTP、L2TP
IPSseVPN后的又一项VPN连接技术,它位于系统的应用层,介于远用户与内网服务器之间,控制二者的通信。SSLVPN技术可以使用户通过Web浏览器进行访问,这大大增强了使用者操作的便捷性,但频繁的访问也会给服务器数据带来安全隐患。该文主要对基于SSL协议的VPN技术进行介绍,对其安全优势及存在的安全隐患进行分析,为后续使用者提供参考。
关键词:SSL VPN技术;安全优势;安全隐患
1概述
随着互联网及移动设备的发展,通过公共网络访问局域网的需求越来越大,同时,安全性的问题也就越来越突出。用户对使用过程的可靠性、灵活性、安全性等方面也有了更高的要求。SSLVPN是解决远程用户通过公共网络访问内网数据的技术之一,与以往的IPSec VPN相比,它通过内嵌在浏览器中的SSL协议进行访问,从而不需要像传统IPSec VPN一样必须为每一台终端安全客户端软件,实现了访问的便捷性。
2SSLVPN的概念与特征
SSL(安全套接层)协议是一种在互联网上保证发送信息安全的通用协议,是目前在Web浏览器和服务器之间发挥身份认证和加密数据传输的重要协议。它位于TCP/IP协议与应用层协议之间,为各项数据通讯提供安全支持。
SSL协议可分为两层:SSL记录协议fSsL Record Protoc01):它建立在可靠的传输协议(如TCP)之上,为数据的传输提供数据封装、压缩、加密等功能。SSL握手协议(SSL Handshake Protoed):它建立在SSL记录协议之上,主要用于检测用户的账号密码是否正确,在实际的数据传输开始前,对通讯双方进行身份认证,交换加密密钥等。
VPN(“VirtualPrivate Network)即是虚拟专用网络,利用认证、加密、安全检测、权限分配等一系列手段来构建的安全业务网络。一个完整的SSLVPN系统主要由服务器、网关、客户端组成,服务器即是内网中所需访问的资源,客户端即是互联网中需要访问服务器资源的Web浏览器,网关即是SSL VPN服务器,是整个系统访问控制的核心。客户端通过浏览器发出请求,SSL VPN服务器收到请求后与客户端浏览器建立SSL安全连接,并代替客户端向所需访问服务器发出请求,服务器响应后SSLVPN将接收到的响应数据进行转换,通过SSL安全连接发送给客户端。
3SSL VPN的安全特征分析
3.1安全优势
SSL VPN是一系列基于web应用的传输协议,包括服务器认证、客户身份认证、SSL链路数据完整性及保密性认证等,這对于数据传输的安全性和保密性有着重要意义。
SSLVPN基于Web设计,主要通过互联网实现从公网到内网的访问。用户在登录VPN时要通过三层防护:第一层就是用户和主机服务器之间的安全验证,这一层主要验证用户的秘钥、安全证书是否正确,所登录服务器是否合法,确保服务器和个人信息不被泄露。第二层主要用多种算法来保护数据的安全性,SSL协议在主机服务器和用户之间建立一条安全隧道,通过隧道向用户传送数据。第三层是多重加密和验证技术,通过握手协议,检测用户的账号密码的正确性,在主机服务器和个人用户之间验证双方身份真实性,再通过记录协议打包数据,加密压缩数据包,发送过程中再次加密传输。
SSL VPN采用对称密码体制和非对称密码体制的加密算法进行加密,通过建立安全隧道保证信息传输的安全陛。访问采用takey文件从而在一定程度上减少了黑客对内网的安全威胁。并提供客户端和服务器端的双向认证,容易实现权限、资源等的控制。
3.2存在的安全隐患
对于该数据传输方式,可以较大限度保障数据和用户的使用安全,但此种方式并非无懈可击,由于SSLVPN采用Web服务器作为客户端,因此浏览器的安全性直接关系到SSLVPN的安全,浏览器的安全隐患也会成为SSL VPN的安全隐患,如果用户退出时只是关闭浏览器而并未关闭SSLVPN服务进程,或者用户在公共场所登录系统,就会增加用户资料的泄露风险。在建立SSL VPN连接时,蠕虫或其他电脑病毒也可能会通过建立的隧道感染内部服务器。
对于这些安全隐患,SSL VPN也逐步引入了令牌或短信认证、用户端无操作将强制下线等手段,管理员也可以对用户按角色进行划分,根据不同角色确定不同的资源访问权限,最大限度避免用户端的安全风险。在数据传输过程中,也可以通过不断提高应用层过滤技术来抵制病毒风险等。
4 SSL VPN的应用
由于SSL、VPN操作的便捷性和使用的安全性,越来越多的行业都逐步开始使用SSL VPN。用户通过Web浏览器就可以访问内部网络,这使得用户可以随时随地通过任意一台电脑,或者通过其他移动设备时进行内部业务数据的访问。
部署SSL VPN服务器时即是部署在内网的边缘,介于服务器与远程用户之间,是远程用户访问内网的大门,控制二者的通信。当用户通过电脑或其他移动设备远程访问内网时,则先通过互联网向SSLVPN服务器发出请求,也就是认证步骤,通过认证后,SSL VPN服务器根据访问者的身份权限建立连接,使其可以并仅可以访问允许的服务器数据。
在传输过程中,SSL VPN服务器仅是一个数据的传输者,不会对用户数据进行解密,实现了传输过程的安全性和可靠性。
5总结
VPN设备最终使用者是业务系统使用者,这些终端用户通常不会具备过多的IT技能,SSL VPN不需要安装独立的客户端,具有架构简单、运营成本低、安全性能高等特点,只需要借助于电脑上的浏览器就可以使用。对于安全性,也比以往的PPTP、IPSec等有了极大的提升。在移动终端遍地开花的今天,既保障了数据的安全又极大方便了用户的使用。但安全是没有绝对的,随着技术的发展,SSL VPN也要与时俱进,不断更新,既要保证数据的安全陛,又要不断提高系统的响应速度,既要做好数据的安全传输,也要不断提高用户的使用体验。