資源描述:
《SSLVPN介紹與安全性研究》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、SSLVPN介紹與安全性研究摘要:本文總結(jié)了SSLVPN的基本原理,研究了SSLVPN的安全性,并與IPSecVPN做了相關(guān)比較。關(guān)鍵詞:SSLVPN;IPSecVPN;網(wǎng)絡(luò)安全VPN是一項(xiàng)非常實(shí)用的技術(shù),它可以擴(kuò)展企業(yè)的內(nèi)部網(wǎng)絡(luò),近期,傳統(tǒng)的IPSecVPN出現(xiàn)了客戶端不易配置等問題,相對(duì)而言,SSLVPN作為一種全新的技術(shù)正在被廣泛關(guān)注,SSL利用內(nèi)置在每個(gè)Web瀏覽器中的加密和驗(yàn)證功能,并與安全網(wǎng)關(guān)相結(jié)合,提供安全遠(yuǎn)程訪問企業(yè)應(yīng)用的機(jī)制,這樣,遠(yuǎn)程移動(dòng)用戶可以輕松訪問公司內(nèi)部B/S和C/S應(yīng)用及其他核心資源。1什么是SSLVPNSSLVPN是
2、指應(yīng)用層的VPN,基于HTTPS來訪問受保護(hù)的應(yīng)用。目前常見的SSLVPN方案有兩種:直路方式和旁路方式。直路方式中,當(dāng)客戶端需要訪問一應(yīng)用服務(wù)器時(shí),首先,客戶端和SSLVPN網(wǎng)關(guān)通過證書互相驗(yàn)證雙方;其次,客戶端和SSLVPN網(wǎng)關(guān)之間建立SSL通道;然后,SSLVPN網(wǎng)關(guān)作為客戶端的代理和應(yīng)用服務(wù)器之間建立TCP連接,在客戶端和應(yīng)用服務(wù)器之間轉(zhuǎn)發(fā)數(shù)據(jù)。旁路方式與直路不同的是,為了減輕在進(jìn)行SSL加解密時(shí)的運(yùn)行負(fù)擔(dān),也可以獨(dú)立出SSL加速設(shè)備,在SSLVPNServer接收到HTTPS請(qǐng)求時(shí)將SSL加密的過程交給SSL加速設(shè)備來處理,當(dāng)SSL加速設(shè)
3、備處理完之后再將數(shù)據(jù)轉(zhuǎn)發(fā)給SSLVPN5Server。2SSLVPN的安全性保密性就是對(duì)抗對(duì)手的被動(dòng)攻擊,保證信息不泄漏給未經(jīng)授權(quán)的人。由于使用的是SSL協(xié)議,該協(xié)議是介于HTTP層及TCP層的安全協(xié)議。傳輸?shù)膬?nèi)容是經(jīng)過加密的。SSLVPN通過設(shè)置不同級(jí)別的用戶,設(shè)置不同級(jí)別的權(quán)限來屏蔽非授權(quán)用戶的訪問。用戶的設(shè)置可以有設(shè)置帳戶、使用證書、Radius機(jī)制等不同的方式。SSL數(shù)據(jù)加密的安全性由加密算法來保證,各家公司的算法可能都不一樣。黑客想要竊聽網(wǎng)絡(luò)中的數(shù)據(jù),就要能夠解開這些加密算法后的數(shù)據(jù)包。完整性就是對(duì)抗對(duì)手主動(dòng)攻擊,防止信息被未經(jīng)授權(quán)的篡改
4、。由于SSLVPN一般在GATEWAY上或者在防火墻后面,把企業(yè)內(nèi)部需要被授權(quán)外部訪問的內(nèi)部應(yīng)用注冊(cè)到SSLVPN上,這樣對(duì)于GATEWAY來講,需要開通443這樣的端口到SSLVPN即可,而不需要開通所有內(nèi)部的應(yīng)用的端口,如果有黑客發(fā)起攻擊也只能到SSLVPN這里,攻擊不到內(nèi)部的實(shí)際應(yīng)用??捎眯跃褪潜WC信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用。前面已經(jīng)提到,對(duì)于SSLVPN要保護(hù)的后臺(tái)應(yīng)用,可以為其設(shè)置不同的級(jí)別,只有相應(yīng)級(jí)別的用戶才可以訪問到其對(duì)應(yīng)級(jí)別的資源,從而保證了信息的可用性??煽匦跃褪菍?duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控。SSL5VPN作為一個(gè)安全的
5、訪問連接建立工具,所有的訪問信息都要經(jīng)過這個(gè)網(wǎng)關(guān),所以記錄日志對(duì)于網(wǎng)關(guān)來說非常重要。不僅要記錄日志,還要提供完善的超強(qiáng)的日志分析能力,才能幫助管理員有效地找到可能的漏洞和已經(jīng)發(fā)生的攻擊,從而對(duì)信息系統(tǒng)實(shí)施監(jiān)控。3SSLVPN的優(yōu)勢(shì)3.1零客戶端客戶端的區(qū)別是SSLVPN最大的優(yōu)勢(shì)。瀏覽器內(nèi)嵌了SSL協(xié)議,所以預(yù)先安裝了Web瀏覽器的客戶機(jī)可以隨時(shí)作為SSLVPN的客戶端。這樣,使用零客戶端的SSLVPN遠(yuǎn)程訪問的用戶可以為遠(yuǎn)程員工、客戶、合作伙伴及供應(yīng)商等,通過SSLVPN,客戶端可以在任何時(shí)間任何地點(diǎn)對(duì)應(yīng)用資源進(jìn)行訪問,也就是說是基于B/S結(jié)構(gòu)的
6、業(yè)務(wù)時(shí),可以直接使用瀏覽器完成SSL的VPN建立;而IPSecVPN只允許已經(jīng)定義好的客戶端進(jìn)行訪問,所以它更適用于企業(yè)內(nèi)部。3.2安全性SSLVPN的安全性前面已經(jīng)討論過,與IPSecVPN相比較,SSLVPN在防病毒和防火墻方面有它特有的優(yōu)勢(shì)。一般企業(yè)在Internet聯(lián)機(jī)入口,都是采取適當(dāng)?shù)姆蓝緜蓽y(cè)措施。不論是IPSecVPN或SSLVPN聯(lián)機(jī),對(duì)于入口的病毒偵測(cè)效果是相同的,但是比較從遠(yuǎn)程客戶端入侵的可能性,就會(huì)有所差別。采用IPSec聯(lián)機(jī),若是客戶端電腦遭到病毒感染,這個(gè)病毒就有機(jī)會(huì)感染到內(nèi)部網(wǎng)絡(luò)所連接的每臺(tái)電腦。而對(duì)于SSL5VPN的聯(lián)
7、機(jī),病毒傳播會(huì)局限于這臺(tái)主機(jī),而且這個(gè)病毒必須是針對(duì)應(yīng)用系統(tǒng)的類型,不同類型的病毒是不會(huì)感染到這臺(tái)主機(jī)的。因此通過SSLVPN連接,受外界病毒感染的可能性大大減小。3.3訪問控制用戶部署VPN是為了保護(hù)網(wǎng)絡(luò)中重要數(shù)據(jù)的安全。IPSecVPN只是搭建虛擬傳輸網(wǎng)絡(luò),SSLVPN重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù),比如SSLVPN可以根據(jù)用戶的不同身份,給予不同的訪問權(quán)限。就是說,雖然都可以進(jìn)入內(nèi)部網(wǎng)絡(luò),但是不同人員可以訪問的數(shù)據(jù)是不同的。而且在配合一定的身份認(rèn)證方式的基礎(chǔ)上,不僅可以控制訪問人員的權(quán)限,還可以對(duì)訪問人員的每個(gè)訪問,做的每筆交易、每個(gè)操作進(jìn)行數(shù)字
8、簽名,保證每筆數(shù)據(jù)的不可抵賴性和不可否認(rèn)性,為事后追蹤提供了依據(jù)。3.4經(jīng)濟(jì)性使用SSLVPN具有很好的經(jīng)濟(jì)性,因?yàn)橹恍枰?/p>