SSL VPN

SSL VPN

SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。

一、 SSL VPN的技术演变

　　演化过程

　　随着应用程序从C/S 结构向Web 的迁移，企业必须面对一个新的挑战，就是如何在不影响最终用户使用的前提下实现在任何地方灵活访问这些应用程序。在最近20 年间，用户和管理层听到因为安全原因不能够在公司以外访问内部应用程序的声音不绝于耳。在70 年代，人们对远程访问概念几乎等同于从远端的办公地点访问应用程序，这需要设置非常昂贵的WAN 网并租用连接线路。

　　到了80 年代，一小部分用户可以使用调制解调器直接拨号到modem banks 或他们自己的PC 上，但是使用费用相当高昂只能有非常有限的小部分人使用。而且在那时候，在家使用个人电脑才刚刚成为主流，远程访问需求还不是很大。随着90 年代的来临， 在家用PC 盛行的同时，移动电脑开始显现，在家办公也开始兴起。公司管理者和销售员们开始在外出出差的时候携带他们的笔记本电脑，他们需要实时访问公司内部信息，设立IPSec VPN 可以保护用户远程访问。它可以提供足够的安全性，但是问题是安装和维护相当麻烦。任何在PC 上的改变对VPN 而言可能都是一场灾难，最终用户不得不硬着头皮忍受这些变化，因为他们别无选择。即使是现在，你也很难找到一个用户，他的VPN 一点儿问题也没有。从管理员的角度来讲，使用IPSec VPN 不仅仅意味着要对客户端进行安装和调试，而且还需要调整整个网络的结构。在数据包进行传输时NAT 不能完全工作正常，有时候会出现连接断开的现象，改变防火墙设置可以解决这一问题但是必须要做大量的管理工作。如果IT 管理部门可以完全控制从后端到客户的网络结构，其管理复杂性可以忍受；当IT 管理部门不能完全控制时，管理复杂性就要成倍增加。这种情况同样发生在本地NAT 和防火墙对合作伙伴，在家里或在酒店。

　　如今， 公司开始把眼光放在他们是否选择了合适的安全远程访问系统上。使用IPSec VPN 和租用WAN 线路对于不经常更改网络结构的用户来说是非常好的选择。如果情况并非如此，用户就需要另做选择。现在，已经有公司开始考虑使用架构在因特网上的SSL 协议，在不破坏已有网络布局的前提下进行安全远程访问。SSL 是通过因特网进行加密传输保护一种常用方法，许多公司对他们的内部网和外部网执行了SSL 设置，通过SSL VPN 进行访问控制。

二、SSL VPN 的定义

　　SSL VPN 的发展对现有SSL 应用是一个补充，它增加了公司执行访问控制和安全的级别和能力。

　　SSL VPN 还对那些因为使用远程访问应用系统而降低公司安全性的企业有所帮助。从属性上讲，拨号可以保证相对安全性，因为特定的电话线可以确认用户的身份。客户端/服务器和旧版本的VPN 自身也拥有一定级别的安全保障能力，因为客户端软件是需要安装的。但是，以这样的安全策略和属性， 不可否认，黑客入侵、安全威胁、身份欺诈呈增长趋势。现在，使用SSL VPN，安全特性已经发生了改变，人们可以通过浏览器访问应用程序。

　　如果把SSL 和VPN 两个概念分开，大多数人都清楚他们的含义，但是有多少人知道他们合在一起的意思呢？从学术和商业的角度来讲，因为他们代表的含义有所不同，因而常常会被曲解。

　　SSL 通过加密方式保护在互联网上传输的数据安全性，它可以自动应用在每一个浏览器上。这里，需要提供一个数字证书给Web 服务器，这个数字证书需要付费购买，相对而言，给应用程序设立SSL 服务是比较容易的。如果应用程序本身不支持SSL， 那么就需要改变一些链接，这只与应用程序有关。对于出现较大信息量的情况，建议给SSL 进行加速以避免流量瓶颈。通常SSL 加速装置为热插拔装置。

　　VPN 则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。过去，VPN 总是和IPSec 联系在一起，因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层，IPSec VPN 则多用于连接两个网络或点到点之间的连接。

　　以上我们简要介绍了SSL和VPN，现在我们要了解一下SSL和VPN是怎样结合在一起的？大量理论可以证明SSL的独特性以及VPN所能提供的安全远程访问控制能力。到目前为止，SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器（包括家用机，工作机和客户机等等）需要与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全远程访问的新生代。

三、什么是SSL VPN？

　　从概念角度来说，SSL VPN即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。

　　一般而言，SSL VPN必须满足最基本的两个要求：

　　1. 使用SSL 协议进行认证和加密；没有采用SSL 协议的VPN产品自然不能称为SSL VPN，其安全性也需要进一步考证。

　　2. 直接使用浏览器完成操作，无需安装的客户端；即使使用了SSL 协议，但仍然需要分发和安装的VPN客户端 (如Open VPN)不能称为SSL VPN，否则就失去了SSL VPN易于部署，免维护的优点了。

四、SSL VPN国内现状

2009年5月，国际调研机构Frost & Sullivan发布了中国SSL VPN市场调查报告，这份报告显示，2008年中国SSL VPN市场规模比去年增加了121.6%，而在市场占有率方面，深信服、Array、Juniper则位列三甲。 

　　据Frost的报告介绍，与去年同期相比，中国SSL VPN市场的同比增长率高达121.6%，这主要源于中国企事业单位的快速扩张及网络信息化的高速建设。除了雪灾、地震灾害带来的大量区域网络重建外，中国SSL VPN市场的另一个增长点主要在行业，北京奥运会与2008年下半年国家投入高达4万亿的经济刺激计划，使得远程接入、网络互连的信息化建设需求进一步增长。

　　快速增长的市场容量带来了更加激烈的厂家扩张竞争。从报告的数据来看，深信服的市场份额达到了31.1％，接近整个中国市场的1/3，Array和juniper紧随其后。这三家厂商共占据了中国SSL VPN市场份额的71.7％，可见该市场已逐渐形成寡头趋势。 Frost预计，2009年中国SSL VPN市场的增长率将为28.1％，并在2015年形成规模为约1.3亿美元的市场。 

五、SSL VPN的特点

SSL VPN的客户端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中，因此不需要再次安装；

　　SSL VPN可在NAT代理装置上以透明模式工作；

　　SSL VPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响，穿透能力强；

　　SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问到更多的企业网络资源，同时降低了部署和支持费用； 客户端安全检查和授权访问等操作，实现起来更加方便。

　　SSL VPN可以在任何地点，利用任何设备，连接到相应的网络资源上。IPSec VPN通常不能支持复杂的网络，这是因为它们需要克服穿透防火墙、IP地址冲突等困难。所以IPSec VPN实际上只适用于易于管理的或者位置固定的地方。可以说从功能上讲，SSL VPN是企业远程安全接入的最佳选择。

　　但是虽然SSL VPN具有以上众多的优点，却由于SSL协议本身的局限性，使得性能远低于使用IPSec协议的设备。用户往往需要在简便使用与性能之间进行痛苦选择。这也是第二代VPN始终无法取代第一代VPN的原因。 

[编辑本段]

六、SSL VPN的优点

1、方便。实施ssl 之需要安装配置好中心网关即可。其余的客户端是免安装的，因此，实施工期很短，如果网络条件具备，连安装带调试，1-2天即可投入运营。

　　2、容易维护。ssl  维护起来简单，出现问题，就维护网关就可以了。实在不行，换一台，如果有双机备份的话，备份机器启动就可以了。

3、安全。ssl  是一个安全协议，数据全程加密传输的。另外，由于ssl网关隔离了内部服务器和客户端，只留下一个web浏览接口，客户端的大多数病毒木马感染不倒内部服务器。而ipsec  就不一样，实现的是ip级别的访问，远程网络和本地网络几乎没有区别。局域网能够传播的病毒，通过一样能够传播。

产品介绍

　　自2004年大力推广SSL VPN后，深信服就在该领域保持高速发展，目前已成为国内SSL VPN市场第一品牌，根据权威调查机构FROST & SULLIVAN的数据，深信服SSL VPN产品08年中国市场占有率为31.1%，一跃超过国内外品牌获得市场份额第一，深信服SSL VPN为您提供高速、易用、安全且高度可靠的解决方案。众多的高端客户群彰显了深信服SSL VPN的优秀品质，包括中国人民银行总行、中国移动通信有限公司总部、中国国电集团、招商局集团、中国远洋运输集团、中国人寿、中国石油、华润集团、中国黄金集团、中国人民大学、浙江省教育厅等众多知名客户。 

　　深信服SSL VPN可为您解决以下问题：

　　轻松移动办公 

　　伴随企事业单位规模的增长，地域进一步分散、灵活的办公场所催生了大量的移动办公需求，经常出差办公的领导、遍布各地无固定办公点的销售人员、专网不可及的偏远驻外人员都需要灵活易用的接入方式实现移动办公。

　　深信服SSL VPN可助您轻松使用笔记本、桌面PC、智能手机、PDA等移动终端设备实现安全、便捷的远程接入内网，在降低运营成本的同时大幅提高企业的生产效率。

　　第三方远程接入 

　　许多企事业单位的第三方业务网络占据着越来越重要的位置，上游供应商、下层代理商等第三方机构需要接入内部网络使用业务系统。一方面我们需要让第三方伙伴快速接入进行进行资源的整合和业务流程化，另一方面我们需要对接入的第三方伙伴进行严格的身份认证和权限划分保障内网重要应用安全性的。

　　深信服SSL VPN为您提供完整的第三方远程接入方案，融合了多种加速技术并进行细致的应用权限访问控制，让您的第三方合作伙伴能享受快速资源共享体验的同时，实现应用的安全、可控的访问。

　　内网分区逻辑隔离保护 

　　为了保证应用系统的安全性，重要的业务系统通常都是置于内网并采用防火墙、网闸等传统方式实现隔离。随着信息化的发展，这些传统网络隔离方式的弊端也渐渐浮现，如网闸数据摆渡造成的网络瓶颈问题、防火墙多端口开放且无身份划分的IP数据过滤导致的信息安全问题等。我们需要寻求一种更全面的网络逻辑隔离方式提供具有高稳定性的网络安全保障。

　　深信服SSL VPN通过细致的权限划分、多种认证安全机制、客户端安全检查等多项技术为您实现安全、可靠、低成本、灵活度高的网络逻辑隔离方案。

　　关键业务信息系统安全加固 

　　在开放的网络环境下，关键的业务信息系统若是采用单一的身份认证方式容易遭到密码强行破解或是帐号盗用，其安全性难以得到很好的保障。关键应用一旦遭到越权访问甚至机密窃取，将直接威胁到组织的核心利益，其带来的损失将无法估量。

　　深信服SSL VPN提供完整的关键业务信息系统安全加固方案，提供完整的身份认证机制及访问过程保护，并具有专利技术主从帐号绑定指定用户的应用访问帐号，杜绝帐号冒用及越权访问。

　　防范WLAN非法访问 

　　WLAN通常都是采用简单的WPE和WPA的方式进行认证，这种方便的认证方式使得快速便捷接入的同时，也带来了许多安全问题。密钥过于简单、冒名登录普遍、权限难以划分、终端安全威胁等种种问题让无线接入成为网络安全的一块短板。

　　深信服SSL VPN为您提供安全的WLAN接入方案，通过SSL VPN进行WLAN接入的统一认证，严格控制访问用户，防止信息泄漏，保护应用安全。

产品功能

　　深信服M5X00-S系列产品集成了IPSec VPN、SSL VPN和防火墙功能，为企事业单位提供最佳的网络互连与远程登录解决方案 

　　SSL VPN功能 

支持多线路复用、智能选路技术，并支持单臂模式下多线路充分利用了多条线路带宽，提供了在跨运营商网络环境下快速、稳定的连接；引入HTP技术，提高在高延时、高丢包环境下的访问速度；针对C/S应用引入动态压缩，进一步提高压缩效率。 

支持短信认证（短信猫和短信网关）、硬件特征码认证（专利）、第三方服务器认证（CA、LDAP、AD、Radius）、USB Key认证（免驱动Key认证）等多种认证方式，并为用户提供了以上多种认证手段混合认证手段，可实现五个因素的捆绑认证；提供基于用户的VPN专线有效 保证了VPN接入安全；对用户的分级管理，VPN资源的高细粒度权限管理控制，提供了全面的安全性保护； 

支持B/S和C/S应用单点登录，通过单点登录免除了用户重复输入帐号的繁琐，简化了工作流程；广泛支持各种终端设备，包括移动PDA终端；页面定制 为用户提供了全面的个性化登录界面；集群技术有效的平衡了多台VPN 设备的负载，提高了VPN设备的使用效率；提供了跟用户内部管理系统接合的接口，能够更好地与用户内部系统融合；默认服务页面，提高用户登录效率。 

　　IPSec VPN功能 

　　Webagent动态IP寻址技术：支持动态IP组网； 

　　多线路复用技术：实现了VPN的带宽叠加和线路备份； 

　　身份认证：基于硬件的HARD CA身份认证、USB Key的VPN客户端、以及VPN内细致的权限控制，保证只有指定的用户，使用指定的计算机才可以接入VPN访问指定的资源； 

　　NAT穿透功能：使得用户在部署IPSec VPN时无需更改网络结构； 

　　QOS流量控制：保证VPN内重要业务数据优先传送； 

　　隧道间路由：实现多个VPN网关之间的数据转发； 

　　集成“畅连”技术：解决跨运营商下的高丢包问题，提高访问速度； 

　　兼容性：能够与标准IPSec VPN进行对接，保护前期投资。 

　　防火墙功能 

企业级的包过滤状态检测防火墙； 防DOS功能不仅有效防止外部的DOS攻击，而且对于内部发起的攻击也可以有效防范。 

　　深信服SSL VPN功能特点 

　　快速性 

深信服M5X00-S系列产品采用高性能的千兆级硬件平台和网络处理芯片，可选强大的SSL加速卡，保证了性能的卓越。同时，全面引入了加速技术，集成了多路复用技术、多线路智能选路功能以及高效的压缩算法，为VPN接入提供了更快的应用体验。 

深信服M5X00-S系列产品提供了多种安全机制，有效保证用户接入、数据传输和访问的安全性。 

深信服M5X00-S用户提供了访问丰富应用资源的基础平台，支持单点登录，页面定制等等人性化的设置，为用户提供了易用性极高的平台。 

深信服M5X00-S系列产品独创的多线路技术，为用户提供了稳定线路备份和冗余。同时，双机双系统备份、集群、隧道自愈等功能，为用户提供了一个稳定高效的VPN基础平台。 

深信服M5X00-S系列产品提供了人性化的管理界面、丰富的日志中心以及集中管理功能，用户仅仅通过简单的几步即可完成VPN部署和管理。 

深信服M5X00-S系列产品提供了灵活的授权策略和扩展特性，并可通过升级获得新的功能特性。 

产品优势

　　全面的安全防护 

　　全面支持多种国际主流的加密算法，实现数据高强度加密，并内置深信服专有加密算法，提供更快的加密速度和加密效率；

　　独创的基于硬件设备特征属性实现硬件证书认证，确保接入网关和移动接入用户的身份唯一确定性；

　　支持VPN专线功能，远程终端接入VPN网络后自动断开其他互联网连接，从源头上断绝不安全因素以终端作为跳板进攻内网的威胁。

　　快速的访问体验 

　　独有的传输优化技术，有效解决在、跨运营商等高丢包环境下VPN访问和传输的速度问题；

　　支持多线路技术实现多条线路间的线路主备、带宽叠加及负载均衡，在保障线路稳定性的同时大大提高数据传输速度；

　　创新的多线路策略细化到用户，可根据分支不同的网络环境为其分配最合适的多线路策略，提供最大可能的高速访问；

　　支持高效流压缩技术，在节省带宽资源的同时大幅提升传输速度。

　　优越的易用性 

　　业内首家支持单臂下的多线路技术，在不改变客户原有网络环境的情况下实现速度的最优化；

　　支持VPN隧道内NAT，实现同网段分支无需改变IP地址仍可接入VPN网络，最大保护客户网络结构的完整性；

　　支持隧道内流控技术，合理划分各分支接入带宽，提升用户的访问体验；

　　支持硬件一体化集中管理平台，实现集中管理、实时监控、远程维护、智能升级和日志统一管理功能，大大提高了管理人员的工作效率。

　　面向未来的VPN

　　IPSec VPN的多功能化趋势已经越来越明显，深信服科技从客户需求出发，推出含上网行为管理的VPN、集合专业广域网优化功能的VPN、IPSec/SSL二合一VPN，为客户提供更高的网络价值。

　　专业的含上网行为管理功能的VPN产品，提供最全面的上网行为管理功能，实现各分支安全互联同时为客户提供一个可控、高效、易管理的内网办公环境。 

　　专业的广域网优化功能的VPN产品，能有效改善、优化Internet及专线网络传输环境，实现各分支安全互联同时并提高应用访问及数据传输速度。

　　高性价比IPSec/SSL二合一VPN产品，IPSec VPN在实现网对网的安全可靠互联后，SSL VPN同时实现移动用户安全、快速、便捷的接入，提高办公效率及业务水平。 

组网方式

深信服SSL VPN组网模式 

１、路由模式 

　　部署模式：充当网关设备，或者将深信服SSL VPN部署在路由器与交换器之间

2、单臂模式 

　　部署模式：将深信服SSL VPN部署交换机之下，此种模式下，仍然支持多条Internet线路复用。

　　3、混合模式：支持路由+单臂模式