資源描述:
《sslvpn靈活實現(xiàn)遠程用戶接入》由會員上傳分享���,免費在線閱讀����,更多相關內(nèi)容在工程資料-天天文庫。
1�����、SSLVPN靈活實現(xiàn)遠程用戶接入~教育資源庫 SSL具備很強的靈活性����,因而廣受歡迎,如今幾乎所有瀏覽器都內(nèi)建有SSL功能��。它正成為企業(yè)應用�����、無線接入設備�����、dash;SSL握手協(xié)議和SSL記錄協(xié)議�。它們共同為應用訪問連接(主要是HTTP連接)提供認證�、加密和防篡改功能。SSL能在TCP/IP和應用層間無縫實現(xiàn)Inter協(xié)議棧處理����,而不對其他協(xié)議層產(chǎn)生任何影響。SSL的這種無縫嵌入功能還可運用類似Inter應用,如Intra和Extra接入�����、應用程序安全訪問����、無線應用以及Web服務��?��! SL能基于Inter實現(xiàn)安全數(shù)據(jù)通信:數(shù)據(jù)在從瀏覽器發(fā)出時進行加
2���、密,到達數(shù)據(jù)中心后解密���;同樣地�����,數(shù)據(jù)在傳回客戶端時也進行加密���,再在Inter中傳輸���。它工作于高層,SSL會話由兩部分組成:連接和應用會話���。在連接階段����,客戶端與服務器交換證書并協(xié)議安全參數(shù)����,如果客戶端接受了服務器證書,便生成主密鑰���,并對所有后續(xù)通信進行加密�。在應用會話階段���,客戶端與服務器間安全傳輸各類信息,如認證卡號���、股票交易數(shù)據(jù)���、個人健康狀況這類敏感或機密數(shù)據(jù)����?��! SL安全功能組件包括三部分:認證�,在連接兩端對服務器或同時對服務器和客戶端進行驗證��;加密����,對通信進行加密,只有經(jīng)過加密的雙方才能交換信息并相互識別����;完整性檢驗,進行信息內(nèi)容檢測�����,防止被篡
3�、改。保證通信進程安全的一個關鍵步驟是對通信雙方進行認證�����,SSL握手子協(xié)議負責這一進程處理:客戶端向服務器提交有效證書,服務器采用公共密鑰算法對證書信息進行檢驗�����,以確認終端用戶的合法性����。 在發(fā)展初期��,很多采納SSL的傳統(tǒng)網(wǎng)絡應用�,如電子商務并不具備客戶端認證功能。這類功能在SSL協(xié)議之外�,通過一些組合信息,如姓名/認證卡號結合或其他客戶端提供的數(shù)據(jù)(如口令)來實現(xiàn)的�。如今很多企業(yè)在數(shù)據(jù)中心采納SSL,主要是針對新型應用實現(xiàn)客戶端認證功能��。SSLVPN即是應終端用戶附加認證而設����?���?蛻舳苏J證能讓服務器在協(xié)議功能范圍內(nèi)確認用戶身份�,同時客戶端也可運用同樣技
4�、術對服務器進行認證?����! SLVPN控制功能強大 相對于傳統(tǒng)的IPSecVPN��,SSL能讓公司實現(xiàn)更多遠程用戶在不同地點接入��,實現(xiàn)更多網(wǎng)絡資源訪問����,且對客戶端設備要求低,因而降低了配置和運行支撐成本���。很多企業(yè)用戶采納SSLVPN作為遠程安全接入技術����,主要看重的是其接入控制功能��?���! SLVPN提供增強的遠程安全接入功能。IPSecVPN通過在兩站點間創(chuàng)建隧道提供直接(非代理方式)接入�����,實現(xiàn)對整個網(wǎng)絡的透明訪問���;一旦隧道創(chuàng)建����,用戶PC就如同物理地處于企業(yè)LAN中�。這帶來很多安全風險,尤其是在接入用戶權限過大的情況下���。SSLVPN提供安全�����、可代理連接�����,
5�、只有經(jīng)認證的用戶才能對資源進行訪問,這就安全多了��。SSLVPN能對加密隧道進行細分�,從而使得終端用戶能夠同時接入Inter和訪問內(nèi)部企業(yè)網(wǎng)資源����,也就是說它具備可控功能。另外���,SSLVPN還能細化接入控制功能�����,易于將不同訪問權限賦予不同用戶�,實現(xiàn)伸縮性訪問����;這種精確的接入控制功能對遠程接入IPSecVPN來說幾乎是不可能實現(xiàn)的?�! SLVPN基本上不受接入位置限制����,可以從眾多Inter接入設備、任何遠程位置訪問網(wǎng)絡資源。SSLVPN通信基于標準TCP/UDP協(xié)議傳輸�,因而能遍歷所有NAT設備、基于代理的防火墻和狀態(tài)檢測防火墻����。這使得用戶能夠從任何地方
6、接入��,無論是處于其他公司網(wǎng)絡中基于代理的防火墻之后�,或是寬帶連接中。IPSecVPN在稍復雜的網(wǎng)絡結構中難于實現(xiàn)�����,因為它很難實現(xiàn)防火墻和NAT遍歷�����,無力解決IP地址沖突�����。另外�,SSLVPN能實現(xiàn)從可管理企業(yè)設備或非管理設備接入,如家用PC或公共Inter接入場所���,而IPSecVPN客戶端只能從可管理或固定設備接入����。隨著遠程接入需求的不斷增長�,遠程接入IPSecVPN在訪問控制方面受到極大挑戰(zhàn)�����,而且管理和運行支撐成本較高�,它是實現(xiàn)點對點連接的最佳解決方案,但要實現(xiàn)任意位置的遠程安全接入���,SSLVPN要理想得多����?! 脙?yōu)勢 SSLVPN不需要復雜的客
7、戶端支撐�,這就易于安裝和配置,明顯降低成本����。IPSecVPN需要在遠程終端用戶一方安裝特定設備,以建立安全隧道,而且很多情況下在外部(或非企業(yè)控制)設備中建立隧道相當困難�����。另外�,這類復雜的客戶端難于升級,對新用戶來說面臨的麻煩可能更多��,如系統(tǒng)運行支撐問題�、時間開銷問題、管理問題等�����。IPSec解決方案初始成本較低��,但運行支撐成本高�����。如今���,已有SSL開發(fā)商能提供網(wǎng)絡層支持�����,進行網(wǎng)絡應用訪問�,就如同遠程機器處于LAN中一樣;同時提供應用層接入���,進行Web應用和許多客戶端/服務器應用訪問����。友情提醒:�,特別�!
