資源描述:
《sslvpn簡化安全訪問》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在學術(shù)論文-天天文庫。
1、SSLVPN簡化安全訪問~教育資源庫 許多公司使用VPN向公司外部的員工提供企業(yè)網(wǎng)絡(luò)接入。目前,大多數(shù)遠程接入VPN都使用IP安全擴展(IPsec)加密在公共IP網(wǎng)絡(luò)上傳輸?shù)膶S肐P數(shù)據(jù)包。然而,隨著員工隊伍的增長和多元化,IPsecVPN客戶對于最終用戶來說是很麻煩的,對于網(wǎng)絡(luò)管理員來說是成本是很高的。通過利用廣泛應(yīng)用的網(wǎng)絡(luò)瀏覽器作為一個客戶平臺,SSLVPN設(shè)備將是提供一種簡單而安全的外點訪問專用企業(yè)服務(wù)和數(shù)據(jù)的有希望的替代方法。 為什么使用SSLVPN設(shè)備? 市場研究公司Gartner預測,到2008年,SSLVPN將成為主要的遠程接入方式。三分之二以上的遠程工作
2、員工、四分之三的承包商和90%以上的需要隨機訪問企業(yè)網(wǎng)絡(luò)的雇員都將采用這種方式。作為一個基于瀏覽器的解決方案,SSLVPN幾乎能在任何系統(tǒng)上快速啟動,不需要安裝永久性的客戶端軟件。對于那些對管理旅行者和遠程工的筆記本電腦感到厭煩以及那些需要不增加已經(jīng)很沉重的IT工作量來擴大遠程接入的企業(yè)來說,上述好處是有吸引力的?! ∮脩敉ǔ?梢允褂靡慌_SSLVPN設(shè)備從家里的或者公共的PC上加入網(wǎng)絡(luò),在任何可用的互聯(lián)網(wǎng)連接上獲得直接的訪問。一旦用戶通過身份識別,組或者單個規(guī)則便允許訪問SSLVPN設(shè)備后面的代表系統(tǒng)、服務(wù)和數(shù)據(jù)的URL。目標應(yīng)用一般通過一個瀏覽器的窗口顯示出來,由下載的Ac
3、tiveX控件或者Java程序?qū)嵤┑?。SSL或者其IETF(互聯(lián)網(wǎng)工程任務(wù)組)的繼任者TLS(傳輸層安全)將用于數(shù)據(jù)壓縮、散列、加密和在用戶和VPN設(shè)備之間的傳輸全部信息。總之,SSLVPN設(shè)備能夠提供安全的訪問,較少地依賴客戶端軟件?! ?yīng)用SSLVPN設(shè)備 深入挖掘這個漂亮的外表,你將會發(fā)現(xiàn)SSL和IPsecVPN之間的巨大差別。例如,IPsecVPN提供訪問具體的子網(wǎng)或者整個企業(yè)網(wǎng)絡(luò)。連接的主機必須分配一個這個專用網(wǎng)絡(luò)地址空間中的IP地址。因為SSLVPN提供具體URL地址的訪問,資源規(guī)則可以更詳細并且能過更容易地隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。從網(wǎng)絡(luò)工程師的觀點看,SSLVPN
4、整合更簡單,因為這種設(shè)備能夠在你防火墻的隔離區(qū)中使用,不用增加IP子網(wǎng)或者重新為IP子網(wǎng)編號?! ×硪环矫?,IPsecVPN創(chuàng)建一個支持任何基于IP的應(yīng)用程序的強大的、通用的應(yīng)用程序。根據(jù)其設(shè)計,SSLVPN設(shè)備可能需要逐步努力支持新的應(yīng)用。例如,詳細的設(shè)置可能需要把URL鏡像為應(yīng)用對象,并且重寫URL以便隱藏內(nèi)部信息。每一個SSLVPN設(shè)備都支持通用商務(wù)應(yīng)用程序,如企業(yè)電子郵件和網(wǎng)絡(luò)文件系統(tǒng)訪問等。但是,專有的或者復雜的應(yīng)用需要客戶介入開發(fā)或者需要客戶方面的端口轉(zhuǎn)發(fā)代碼。因此,許多公司最初都使用SSLVPN來增強其IPsecVPN,把僅需要訪問電子郵件的員工增加到SSLVP
5、N網(wǎng)絡(luò),同時保留IPsecVPN以滿足真正需要廣泛的網(wǎng)絡(luò)層訪問的員工的需求?! ≡赟SLVPN設(shè)備中尋求什么 當然,SSLVPN設(shè)備必須有增強的平臺的操作系統(tǒng),并且通過安全界面進行管理。雖然早期的SSLVPN性能與IPsec相比還不是很好,但是,目前的企業(yè)設(shè)備能夠使用硬件加速和高可用性等技術(shù)可靠地支持每一個大型的員工隊伍。但是,除了對任何網(wǎng)絡(luò)安全設(shè)備的這些基本的考慮之外,當你選擇一臺SSLVPN設(shè)備的時候,你應(yīng)該考慮什么功能和因素呢? VPN架構(gòu)SSLVPN設(shè)備是多種多樣的: iddot;應(yīng)用解析設(shè)備讓用戶通過ActiveX或者Java接口與應(yīng)用程序互動。這種Java接
6、口模仿本地的應(yīng)用程序圖形用戶界面,但是以HTTP格式發(fā)送請求。這臺設(shè)備在把這個請求轉(zhuǎn)發(fā)到目標服務(wù)器(非iddot;端口轉(zhuǎn)發(fā)設(shè)備通過使用一個客戶端代理在SSL隧道中轉(zhuǎn)發(fā)本地應(yīng)用協(xié)議來支持TCP客戶機/服務(wù)器應(yīng)用程序。這個代理與遠程主機的應(yīng)用端口連接在一起,同時,這臺設(shè)備轉(zhuǎn)發(fā)內(nèi)部服務(wù)器(非iddot;網(wǎng)絡(luò)擴展設(shè)備通過使用一個客戶端代理在一個SSL隧道中轉(zhuǎn)發(fā)IP數(shù)據(jù)來支持任何IP應(yīng)用程序。一個安裝的代理攔截并且把出網(wǎng)的IP數(shù)據(jù)傳送給這個設(shè)備。這臺設(shè)備像一臺網(wǎng)絡(luò)層網(wǎng)關(guān)一樣工作,在結(jié)構(gòu)上與IPsec相似,但是沒有標準IPsec的限制。 任何指定的設(shè)備可能都支持一個以上的結(jié)構(gòu)。但是,從
7、這里開始,將幫助你理解產(chǎn)品的客戶和應(yīng)用程序支持?! 】蛻糁С郑好恳粋€SSLVPN使用Web瀏覽器當作一個客戶平臺。但是,許多下載的客戶端代碼限制在公共PC、非Windows主機、移動設(shè)備以及外部網(wǎng)合作伙伴的系統(tǒng)上使用。你能夠滿足客戶的要求嗎,例如客戶對瀏覽器廠商/版本或者啟用ActiveX的要求?這種設(shè)備能為現(xiàn)值的客戶提供減少的功能,同時為使用VPN門戶網(wǎng)頁自己安裝代理軟件的雇員提供更多的功能嗎? 應(yīng)用程序支持:除了電子郵件和文件共享之外,考慮你的員工隊伍需要的應(yīng)用程序,這種設(shè)備是否/如何支持這些應(yīng)用