[转载]SSLIPSecVPN你选择谁?—IPSec VPN与SSL VPN全面大比拼
信息来源:北美网络安全工程师论坛
文章编译:张军
本地提交:冰血封情
相关资源:
http://www2.ccw.com.cn/03/0331/d/0331d50_1.asp
http://www.avolio.com/papers/SSLVPN_SecWP.pdf
如果一项新技术应用能节约投资、方便管理、快捷使用,它就有了成为主流技术的充足理由,从这个角度说,SSL VPN 很可能是VPN的下一个主流技术。
VPN(Virtual Private Network)是指通过综合利用网络技术、访问控制技术和加密技术,并通过一定的用户管理机制,在公共网络中建立起安全的"专用"网络,保证数据在"加密通道"中进行安全传输的技术。
自20世纪90年代末以来,基于IPSec协议的VPN模式成为企业VPN的主流,IPSec VPN甚至成为了企业VPN事实上的代名词。然而IPSec VPN并不能完全代表VPN, 进入2003年,一种新的VPN方式开始进入人们视野——SSL VPN,而且,这种技术正受到越来越多企业的关注,本期我们将关注的焦点锁定在这种新技术上。
SSL VPN技术在其刚刚提出时,主要用于访问Web应用,它在访问遗留系统、C/S应用系统等方面的不足成了它在推广中的最大障碍。但是尽管如此,美国鲸鱼通信公司(Whale Communications)仍然认为,如果综合采用IPSec VPN和SSL VPN相结合的解决方案,也比只是采用IPSec VPN的 总体拥有成本低,《IPSec VPN与SSL VPN投资比较》一文从投资的角度论证了这种观点。
而事实上,SSL VPN一直在不断完善,最近美国出现了结合代理技术的SSL VPN解决方案,成功地解决了SSL VPN只能访问Web应用,不能访问遗留系统、C/S应用系统的问题,《 IPSec VPN与SSL VPN的比较》一文详细介绍了这方面的情况,并介绍了Avential厂商推出的具体解决办法。
从目前SSL VPN的应用状况来看,这种技术还任重道远,即使在美国SSL VPN应用得也不是特别广泛,在我国的应用还处于起步阶段。我们组织这个专题的时候,曾想在国内找几个成功应用的案例,最终结果有些遗憾。当然,一项新技术是否能流行,最终取决于是否经得起实践的检验,真正实用的技术最终肯定会被用户接纳的。SSL VPN是否能盖过IPSec VPN的风光,成为企业VPN的主流,我们拭目以待。
较量一
IPSec VPN与SSL VPN的投资比较
从20世纪90年代中期开始,IPSec VPN逐步受到人们重视。IPSec VPN在远程访问者和企业局域网之间创建加密“隧道”,从而允许使用者就像他们在公司局域网内一样工作,即使他们处在很遥远的地方。为了创建这个加密隧道,需要在VPN的集中器和每一个使用者的笔记本上安装专用软件。虽然和老的拨号接入技术相比,IPSec降低了远程访问的成本。但是,由于要对每一个使用者的电脑进行管理,其建设和维护成本还是很昂贵的。
最近几年来,出现了一种新的、不用专用客户端软件的远程访问技术——SSL VPN,它能提供更方便地访问企业应用、文件和网络资源的能力,而且重要的是它基于标准的浏览器上,而不是专用的客户端。不过,这种方便是折中的结果,因为SSL VPN(典型的,而不是全部)不支持底层网络层协议。虽然大多数使用者不需要这种能力,但是一些技术人员,像IT部门的支持人员可能需要这种远程的、网络层的访问能力。由于这个原因,一些部署了SSL VPN的企业同时也选择小范围地建设IPSec VPN,以满足那些技术人员的需要。因此,在本文我们将把在整个企业范围内部署IPSec VPN,和在全企业范围内部署e-Gap SSL VPN,同时还结合小范围建设IPSec VPN的总体拥有成本(TCO)进行比较。
下面对两种远程访问方式TCO的比较结果表明,选择e-Gap SSL VPN可以大大节省资金。投资回报(ROI)很可能在几个月内就开始实现,而且随着时间的推移迅速增长。事实上,分析结果清楚地显示,企业内使用者越多,也就越快能实现资金的节约。
图1 一年后运营成本和用户数的关系
当然,实现这样节省的前提是实施的企业不用购买和维修笔记本就能进行远程访问。如果企业采用了SSL VPN,同时还要保证浏览器端安全,以对付从Internet接入点和借来的电脑等不安全的位置访问敏感系统的威胁时,就不能保证费用上的节约。(编者注: e-Gap SSL VPN是Whale Communications公司的SSL VPN产品,本文以此产品为例分析两种VPN的TCO。)
投资分析
在我们的例子中,该企业共有2000个用户:200个(如10%)是需要使用完全IPSec VPN访问技术的技术人员,剩余的1800人则是普通的使用者,他们可以访问E-mail、日历、企业门户、共享文件,以及其他的核心应用。我们将分别对为2000个用户建设IPSec VPN,和为200个技术人员建设IPSec,同时为全部2000人建设e-Gap远程访问SSL VPN的投资进行比较。
要分析TCO和ROI,必须考虑以下因素:
● 初始投资和人工成本;
● 维护、支持和操作费用;
● 软的开销和收益(本文分析时暂时不考虑这些因素,但是附文中会讨论)。
1.初始投资和人工成本
在基础设施建设方面,IPSec VPN和e-Gap SSL VPN的初始投资和人工成本基本一样。虽然这些成本在数量上可能会随着业务和技术的需求而变化,但是在大多数建设中的基本构成要素我们都考虑到了:
IPSec VPN的初始成本 在局域网建设方面,IPSec VPN需要购买、安装、配置VPN集中器和(或)防火墙。出于TCO分析的原因,我们假定这些已经建设好了,因此,我们在局域网里不需要为部署IPSec VPN而花钱了。同样,我们也假设在公司局域网建设2000人的IPSec VPN和建设200人的IPSec VPN的成本是一样的。和建立IPSec VPN客户端相关的初期投资包括:
● IPSec VPN客户端软件和硬件;
● 安全软件(防病毒和个人防火墙);
● 管理软件;
● 安装成本。
现在,如果购买了IPSec VPN提供商的VPN服务器软件,部分提供商也提供免费的基本IPSec VPN客户端软件包。但是,要真正建立IPSec VPN,单单有这些最基本的客户端软件是很不够的。如果没有防火墙和其他的安全软件,客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用,他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍,而且后果也越来越严重。例如,如果雇员从家里的计算机通过公司VPN访问企业资源,在他创建隧道前后,他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏,那么,病毒就很有可能经过VPN在企业局域网内传播。另外,如果黑客侵入了这台没有保护的PC,他就获得了经过IPSec VPN隧道访问公司局域网的能力。因此,在建设IPSec VPN时,必须购买适当的安全软件,这个软件的成本必须考虑进去。
除此以外,除非已经在每一台客户使用的计算机上安装了管理软件,软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务(如果不说不可能的话)。这里,企业可以选择从第三方购买安全和管理软件,也可以直接从IPSec VPN提供商那里购买。目前,Check Point免费提供基本“SecuRmote”VPN客户端给它的VPN-1 网关用户,但包括个人防火墙和各种管理功能的完整“SecureClient”软件,则每一个用户要收费92美元。如果要部署2000个用户的VPN,价格可能会降到每用户40美元。按照每个用户40美元,客户端的软件费用将是8万美元,这里还不包括任何硬件的费用和任何实际安装客户端软件时候所需要的服务费用。
e-Gap远程访问的初始投资 e-Gap远程访问SSL VPN要求购买一个e-Gap远程访问软件。对于2000人规模的企业,推荐选择5万美元的一种软件包。由于使用标准的Web浏览器访问SSL VPN,根本不需要专用客户端软件。同时,使用e-Gap解决方案,由于不需要创建隧道,即使使用者的电脑不安全,企业局域网也仍然是安全的。
这里有一个特别需要注意的地方,在这个案例中有可能企业会购买笔记本电脑给IPSec VPN用户,如果这样,就需要考虑新电脑的费用。当然,更准确的办法还要考虑笔记本电脑和台式机在价格上的差异(大约500美元)。虽然这里开支可能会很大,但是,我们仍然假设使用者已经有了笔记本电脑,这笔投资可以节省下来。设想一下,三年后这些笔记本电脑需要更新,每一个VPN使用者又要发生大约500美元费用上的差距。事实上,在这三年期间,可能电脑会更换多次,因而500美元的费用差很可能一直在发生——这里我们假设建设IPSec VPN时,所有的笔记本都是新的。
2.维护、支持和操作
不管是e-Gap SSL VPN还是IPSec VPN,在维护方面都包括以下内容:销售商的支持合同、帮助座席开销、服务器和客户端软件升级和维护,以及软件补丁等。销售商建设的费用对于大范围的IPSec VPN和很多人使用的e-Gap SSL VPN来说基本是一样。但是,支持开支却有很大的区别。
IPSec VPN的正常运营费用 IPSec VPN需要对远程客户机进行维护和提供支持,因此,运营费用直接和客户机的数量相关。调查表明,管理IPSec VPN的费用(包括帮助座席、补丁、总体维护等)每一个用户每月大约在5~30美元之间(这个数据来自于实际统计)。出于分析的目的,我们将分别针对这个范围的两端进行TCO分析。在实际运行中,一个企业的开支很可能在这个范围波动。
e-Gap 远程访问软件的正常运营费用 由于e-Gap 远程访问不需要专用的客户端软件,因此在客户端也就不需要运营费用。另外,由于它可以和认证技术和应用无缝集成,所以e-Gap 远程访问在服务器端的管理工作量也很小。e-Gap 远程访问使用标准的Web界面,用户甚至根本不会觉察到e-Gap 远程访问的存在,所以也就不会为公司的帮助座席增加工作量。其最终结果是,公司的帮助座席根本就不会为不知道怎么连接和不知道这种应用如何工作的雇员所累,运营费用也就和使用者多少没有直接联系。但是尽管如此,我们还是假设每一个月有一天会维护e-Gap 远程访问应用,开销大约1000美元。
Internet连接 出于本文的目的,我们假设Internet 连接在两种VPN方式中开销是一样的,虽然事实上在IPSec VPN解决方案中,Internet 连接更贵些。目前,尽管还有一些公司按照公司雇员家里有电话这样的条件建立VPN,但是已经有些公司将VPN建立在雇员已经有Internet接入的基础上。对于后者来说,和IPSec VPN相比较而言,e-Gap 远程访问可以更节省。
结论
从这个案例中我们可以推断,e-Gap远程访问结合小范围的IPSec VPN这种综合方案比单独采用IPSec VPN这种方案更节省,而且使用时间越长,公司规模越大,这种差距越大。附图2、3揭示了时间与投资节省的关系。
图2 2000个用户远程访问解决方案成本比较(每用户每月5美元)
有一点我们应该认识到,那就是IPSec VPN的总体拥有成本和客户端机器的数量直接相关,相应地e-Gap解决方案节约的开销也随用户数的增加而增加。表5分别列出了部署不同规模的VPN时的投资节约情况,是按每个月、每个用户5美元这样最保守的运行成本来估算的。
从经济学的角度考虑,建设e-Gap远程访问VPN以提供普通使用者远程访问关键商务系统,而公司技术人员技术采用IPSec VPN,这种综合方案最经济。对于已经建设好PSec VPN的公司,甚至可以考虑让大多数用户转向使用e-Gap SSL VPN,因为运营成本的降低将足以证明这种转变是值得的。
图3 2000个用户远程访问解决方案成本比较(每用户每月30美元)
较量二
IPSec VPN与SSL VPN的应用比较
安全地远程访问企业的资源并不是一个刚出现的IT难题。只不过随着工作方式的改进、新的计算和通信设备的出现,今天的终端用户更方便地进行远程访问的愿望更加强烈。
如今的公司需要支持雇员全天候远程办公,或者部分时间在公司、部分时间通过家里的计算机工作,也需要支持商业伙伴在他们自己公司的防火墙后面访问本公司的资源,或者不需要使用任何客户端软件而通过使用宽带或者在公路边通过Wi-Fi接入的工作方式。这些使用者都希望能非常方便地在任何地点、任何时间、使用任何设备,而且不用客户端软件就访问他们所需要的网络资源。
用户现在正通过一种IT部门无法掌控的环境访问公司的资源。例如,通过家用的PC或者机场的热点,或者用户利用现代的无线技术,包括通过正在增加的公用无线热点和公司局域无线网,以及某些建立在公司网络内部的其他访问点。而且,有些公司不仅把他们的网络延伸到移动的雇员,而且也延伸到商业合作伙伴、顾问和全球范围内的客户那里。由于这些应用使得安全问题日益凸显出来。
另外,也有一些经济方面的因素要考虑。因为公司总在寻找一种经济的方式,他们希望充分利用互联网以节约使用专线的开销。他们希望在家工作的雇员能为他们使用的电缆调制解调器(Cable Modem)付费,而不是为拨号接入付费。
IPSec VPN曾是惟一的选择。但是,现在一种新的基于加密套接字协议层(一种为电子商务提供安全保障的协议)的VPN——SSL VPN出现了,这是一种比较好的远程接入和企业外网VPN解决方法。而基于本文下面将要谈到的原因,SSL VPN正在逐渐取代IPSec VPN作为远程访问的方式,而IPSec VPN将回到它原来的定位——站点到站点VPN(site-to-site)。
本文将分析SSL VPN和IPSec VPN之间的异同,并解释为什么SSL VPN是远程接入和企业外网的一种较好的选择。
IPSec VPN:
最适合站点到站点通信
典型的VPN是基于IPSec协议由网络设备提供商(如Cisco、Nortel)提供的,最初是用来为企业各个部门之间提供站点到站点通信的。由于公司将用户扩展到包括远程访问,于是不得不扩充IPSec的标准,或者修改厂商实现的协议。
IPSec通过在互联网上创建“隧道”为公司的防火墙或者网关外的用户提供到企业内部资源的连接。它要求软硬件兼容,要求“隧道”两端几乎只能是同一个提供商的软件。采用IPSec,企业的IT要指定“隧道”两端使用的技术,但是很少有公司能够或者愿意强迫他们的合作伙伴或者客户也选用这个技术,这就限制了通过IPSec VPN建立企业外网的应用。
在远程方面访问,当只创建有限的几个隧道时,IPSec能满足基本的需要。但是,如果有数千个远程用户分布在不同的地点,分发和管理客户端软件就是一件非常麻烦,也很费时的事情。
以上只是列举了几个IPSec并不是远程接入和企业外网最好选择的理由中的几个。具体来说,IPSec有以下一些不足:
1.管理IPSec的客户端费用高
采用IPSec VPN,IT部门必须为每一个需要接入的用户安装VPN客户端,也许还要修改桌面设置,因此,支持费用很高。
有些终端用户是移动的,这不像IPSec VPN最初设计主要连接远程办公地点。今天的用户希望能在不同的台式机和网络上自由移动。如果采用IPSec VPN,就不得不为每一个台式机提供客户端。这些客户端因为环境和网络的不同而配置各异。那些要求从各个不同的地方访问公司的用户需要时常修改配置,这无形中提高了支持费用。
部署IPSec VPN后,如果用户没有预先在他的计算机上安装客户端,他将不能访问他需要的资源。这就意味着对于办公地点经常变动的雇员,当他们想从家里的计算机、机场提供的电脑或者任何其他非他本人的计算机上访问公司的资源时,他或者不能成功,或者必须打电话给公司需求帮助。
对于在家工作或者部分时间在家、部分时间在公司工作的人来说,IPSec VPN要求公司为每一个雇员提供一台已经安装了客户端软件的家用电脑,或者为他们准备一个更贵的笔记本带回家。否则,公司将因为帮助这些雇员在家里的电脑上安装客户端软件花去不薄的费用。另外,如果用户使用XDSL或者Cable Modem,他因为没有固定的IP地址,必须更改配置。如果雇员家里的电脑上有防火墙(这普遍被视为宽带使用者应该安装的软件),这又将为IPSec VPN的使用添加新的障碍。一些IPSec VPN的产品如果不另开正确的端口,要穿过防火墙将非常困难,而由于这样IT部门不能控制,又会带来了另外的配置和安全上的问题。
2.远程接入和企业外网的安全风险
由于IPSec VPN在连接的两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此IPSec VPN会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用。用户也许不能访问每一台服务器,但是他或她能够看到,由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁,这些威胁必须提前预防。这些个人的风险会通过IPSec VPN变成企业风险,即企业承担着黑客使用远程IPSec VPN网络隧道非法访问企业内部网络的风险。
3.不易解决网络地址转换和穿越防火墙的问题
IPSec VPN产品并不总能很好地解决包括网络地址转换、防火墙穿越和宽带接入在内的复杂的远程访问问题。例如,如果一个用户已经安装了IPSec客户端,但他仍然不能在其他公司的网络内接入互联网(例如,工作在客户处的咨询顾问),IPSec 会被那个公司的防火墙阻止,除非该用户和这个公司的网络管理员协商,在防火墙上打开另一个端口。而这是一个烦人、花时间的事情,也会增加风险,这是许多公司不愿承担的。
同样的困难也出现在无线的热点。由于许多的公用热点使用NAT,非专业的IPSec使用者如果不寻求公司技术人员的支持,不去更改一些配置,常常不能建立连接。
4.不同IPSec供应商之间的互操作问题
由于缺乏标准,IT部门要建立VPN将不同的IPSec提供商提供的产品集成起来非常困难。比如,IT部门可能需要为合作伙伴和客户提供对公司的访问。经常发生的情况是,由于互操作的复杂和集成方面的争论延误了开发新的客户。
图1 通过加密隧道提供远程访问的典型IPSec VPN方案
图2 远程访问企业资源的典型SSL VPN解决方案
SSL VPN:企业无法抵挡的诱惑
加密套接字协议层(SSL)作为一种新的方式出现在VPN领域。分析人员和媒体给予了SSL VPN以前所未有的关注,而且它的使用正在增加。
Gartner副总裁和研究主任John Girard预言,“到2004年末,60%的企业用户将逐渐使用瘦客户端VPN,而不是胖客户端来访问公司的数据。和IPSec VPN相比,建立在SSL上的VPN更容易部署和支持,更适合像机场提供的Internet接入点和家用PC这样不用管理的设备,也非常容易连接新出现的移动和无线平台。”
另外,一份题为《VPN和防火墙产品》的研究报告预计,到2005年,SSL VPN产品的销售额将达到87.1千万美元。
不过,日益增加的对SSL VPN的关泣并不能降低对传统IPSec VPN解决方案价值的认可。IPSec是作为站点到站点的VPN事实上的标准建立的。如果这就是你公司全部的需求,IPSec完全可以胜任。另一方面,如果你希望实现一个安全的远程访问或者是一个企业外网的解决方案,你应该考虑SSL VPN解决方案,或者作为补充,或者完全替代。
相关链接
软成本和收益
e-Gap远程访问和小规模的IPSec VPN综合解决方案还具有以下不太容易量化的好处:
1. 更好的安全性
仅仅一个关键的安全漏洞就足以酿成严重的金融危机,因此,在谈论远程访问的TCO时,我们要特别注意安全性(虽然这很难量化)。IPSec VPN创建一个完全的TCP/IP网络隧道让远程计算机进入公司局域网。这个管道让合法的用户拥有像他们在公司局域网内部一样的权力,它允许他像在公司内部一样访问网络资源。同时,这也潜在地为黑客、病毒、蠕虫进入公司网络提供了方便。那些拥有了访问VPN能力的不怀好意者,也具有如同在公司局域网内部一样访问内部资源的能力。换句话说,有了访问VPN的权力,黑客就有了破坏防火墙和入侵检测系统,以及其他保护措施的能力。对于病毒和蠕虫也是如此,如果他们是通过一个可信的VPN连接到来的话,很可能他们不会受到任何的检查,这就可能导致严重后果。虽然个人防火墙可以帮助解决这些难题,但很显然最根本的解决办法就是不用隧道。
e-Gap远程不用创建任何隧道,它所有功能的实现是通过应用门户完成的,在这里只有应用层数据才能通过过滤进入内部系统。另外,由于有军事级别的专利和内嵌的过滤引擎,e-Gap远程访问是目前为止最安全的远程访问产品之一。有关e-Gap远程访问使用安全技术的细节可以登考公司网站(www.whalecommunications.com/whitepaper)。
2. 任意地点访问
和IPSec VPN不同,e-Gap远程访问解决方案允许雇员无需专用客户端软件,就可以访问企业应用系统,这样就不会把公司雇员束缚在某一台电脑上。只要公司雇员有浏览器,通过e-Gap远程访问就能方便、安全地访问公司网络,可以是通过机场提供的上网场所,或者在客户处,或者通过无线设备。当他们出行时,也不用非得带上笔记本电脑。这种方便性带来效率上的提高和给雇员带来精神上的愉悦也是很难量化的。
3. 降低了内部服务器的维护费用
由于e-Gap远程访问提供主动的基于应用层的过滤,能保护公司内部服务器,从而使得内部服务器不用忙于打补丁,也不会忙于应付各种紧急情况,最终降低了内部服务器的总体拥有成本。
相关链接
何谓SSL VPN?
SSL是一种在Internet上保证发送信息安全的通用协议。SSL用公钥加密通过SSL连接传输的数据来工作。SSL是一种高层安全协议,建立在应用层上。在应用层上的连接意味着,和IPSec相比较,SSL更容易提供细粒度远程访问和企业外网VPN需要的控制。
SSL VPN使用SSL协议和代理为终端用户提供HTTP、客户机/服务器和共享的文件资源的访问认证和访问安全。将代理机制加入SSL为企业提供更高的安全性,因为使用者和安全网络建立直接连接。SSL VPN传递用户层的认证,确保只有通过公司安全策略认证的用户可以访问指定的资源。
选择SSL VPN解决方案的一个关键好处在于它提供不需要专用客户端软件的访问能力。由于SSL已经得到标准的浏览器如IE和Netscape的支持, SSL VPN(如Aventail提供的)可以提供免客户端软件的解决方案,这可以让IT部门不再受安装和管理复杂的IPSec客户端软件之苦。
大多数SSL VPN的一个弱点是它们仅提供访问Web应用的能力,而不能满足企业用户所需的访问C/S应用的能力。许多公司还依赖一些遗留下来的系统,如Oracle和SAP等厂商提供的C/S应用。所以它们不能考虑SSL VPN,或者仅仅部分使用SSL VPN。但是,事实并非如此。由于代理技术的使用,使得除了SSL能访问的传统应用类型外,现在能提供对更多类型应用的访问能力。
Aventail新近推出了一种独特的解决方案,它能保证在任何地方访问任何应用的安全,包括Web应用、老的应用系统、C/S、文件传输、终端服务和大型机。
相关链接
Aventail的SSL VPN解决方案
只有那些领先的、具有相当技术实力的SSL VPN提供商才能提供对C/S、Web应用和共享的文件提供完全的访问能力。Aventail的SSL VPN能提供这种访问能力,而且还不止于此。使用者可以得到安全的、没有争议的、可控的更大范围内关键应用和资源的访问能力,包括:
● E-mail 程序,如Microsoft Exchange 和Lotus Notes;
● 客户关系管理软件(CRM),如Siebel;
● 商业管理软件,如SAP;
● 企业内部资源,包括定制的应用;
● 企业文件服务器。
本方案的访问代理提供安全访问各种应用环境的能力,无论IT部门是不是正在管理台式机。例如,为了从那些不用管理的桌面电脑,如机场提供的接入点更方便地访问,Aventail提供免客户端软件、基于浏览器的访问Web应用和共享文件的能力。Aventail提供Aventail OnDemand代理,它用Java来提供无缝地安全访问Citrix、Windows终端服务、Lotus Notes和其他普通的C/S应用,同时,无需发布传统的VPN客户端。还有,Aventail提供Aventail 智能连接代理,它透明地安装在用户的电脑上,当IT部门控制了桌面,并需要访问C/S应用时,为用户提供另外一种连接方式。Aventail独特的技术使得使用者访问非HTTP应用像访问Web应用一样容易。
提供免客户端、任何地点的访问能力、增加的安全性,使得IT部门管理更容易,和IPSec VPN相比,终端用户使用更简化,这是Aventail提出的SSL VPN的目标。
1. 不用安装专用客户端软件的访问能力
由于没有配置、管理和支持终端用户复杂的IPSec客户端软件的负担,SSL VPN的支持更便宜,也比IPSec更容易部署。采用Aventail技术,不用安装客户端的访问能力意味着除了访问基于Web应用以外更多、更容易的访问能力。Aventail免客户端软件的解决方案使得大夫可以从任何方便的计算机上安全地访问病人纪录,而不仅仅是他个人的计算机。销售人员和经理能从无线热点和各种商务中心提供的计算机上,访问公司的E-mail和企业知识库。使用者可以访问Web应用、C/S应用和企业共享文件。不用客户端软件,使用者可以真正自由地在任何地方访问他们需要的资源,而且几乎不需要支持费用。
2. 任何地方访问
Aventail的SSL VPN能为使用者提供任意地方的访问能力。使用者可以在他们能得到Internet接入能力的地方访问他们的应用——从机场商务中心,从任何他人的计算机,甚至任何无线设备。SSL也能在宽带网络上工作。此外,SSL VPN可以成功地穿越防火墙,能处理网络地址转换(NAT)问题,而对基于IPSec的VPN来说,这是一个难题。
3. 增加的安全性
Aventail技术提供了一个安全的代理连接,用于访问用户被授权访问的资源。因此,使用者根本没有和他们要访问的资源直接建立连接。此外,代理还隐藏了内部的域名解析系统(DNS)的命名空间,为网络提供额外的保护。
为了提供SSL本身的安全性以外更多的安全保护,Aventail使用了两种不同的代理技术。对于Web应用,Aventail提供一个集成了HTTP反转代理的安全Web网关。对于非Web的流量,Aventail使用Socks v5协议对应用流打包保证安全。
此外,通过将Aventail代理和SSL的结合,Aventail除了提供SSL允许的数字证书交换外,还能提供其他方式的认证。Aventail解决方案支持用户名/密码认证和双认证措施,如RSA SecurID标记和数字认证。
Aventail的SSL和代理相结合的解决方案,在安全和管理上能比其中单独任何一种技术做得更好。Aventail的SSL VPN提供数据加密、认证、细粒度的访问控制、策略管理、日志和更灵活的认证结构。
4. IT部门和终端用户更容易
采用SSL VPN要比IPSec VPN更容易管理,由于使用者可以从任何浏览器更安全地访问应用,所以,像Aventail这样的VPN能减少分发和管理客户端软件的麻烦。
Aventail SSL VPN解决方案不需要改变网络,不需要修改防火墙配置和修改终端用户的配置,所以,比采用IPSec有更低的总体拥有成本。
对于商业伙伴和客户访问而言,Aventail的解决方案也能工作得很好,它们给企业提供更高层的安全。而且由于不需要合作伙伴在他们的网络中添加任何设备,所以SSL VPN更容易被合作伙伴接受,也比传统的VPN更少受到来自合作伙伴环境的黑客威胁。
SSL VPN:
企业无法抵挡的诱惑
加密套接字协议层(SSL)作为一种新的方式出现在VPN领域。分析人员和媒体给予了SSL VPN以前所未有的关注,而且它的使用正在增加。
Gartner副总裁和研究主任John Girard预言,“到2004年末,60%的企业用户将逐渐使用瘦客户端VPN,而不是胖客户端来访问公司的数据。和IPSec VPN相比,建立在SSL上的VPN更容易部署和支持,更适合像机场提供的Internet接入点和家用PC这样不用管理的设备,也非常容易连接新出现的移动和无线平台。”
另外,一份题为《VPN和防火墙产品》的研究报告预计,到2005年,SSL VPN产品的销售额将达到87.1千万美元。
不过,日益增加的对SSL VPN的关注并不能降低对传统IPSec VPN解决方案价值的认可。IPSec是作为站点到站点的VPN事实上的标准建立的。如果这就是你公司全部的需求,IPSec完全可以胜任。另一方面,如果你希望实现一个安全的远程访问或者是一个企业外网的解决方案,你应该考虑SSL VPN解决方案,或者作为补充,或者完全替代。
相关链接
软成本和收益
e-Gap远程访问和小规模的IPSec VPN综合解决方案还具有以下不太容易量化的好处:
1. 更好的安全性
仅仅一个关键的安全漏洞就足以酿成严重的金融危机,因此,在谈论远程访问的TCO时,我们要特别注意安全性(虽然这很难量化)。IPSec VPN创建一个完全的TCP/IP网络隧道让远程计算机进入公司局域网。这个管道让合法的用户拥有像他们在公司局域网内部一样的权力,它允许他像在公司内部一样访问网络资源。同时,这也潜在地为黑客、病毒、蠕虫进入公司网络提供了方便。那些拥有了访问VPN能力的不怀好意者,也具有如同在公司局域网内部一样访问内部资源的能力。换句话说,有了访问VPN的权力,黑客就有了破坏防火墙和入侵检测系统,以及其他保护措施的能力。对于病毒和蠕虫也是如此,如果他们是通过一个可信的VPN连接到来的话,很可能他们不会受到任何的检查,这就可能导致严重后果。虽然个人防火墙可以帮助解决这些难题,但很显然最根本的解决办法就是不用隧道。
e-Gap远程不用创建任何隧道,它所有功能的实现是通过应用门户完成的,在这里只有应用层数据才能通过过滤进入内部系统。另外,由于有军事级别的专利和内嵌的过滤引擎,e-Gap远程访问是目前为止最安全的远程访问产品之一。有关e-Gap远程访问使用安全技术的细节可以登考公司网站(www.whalecommunications.com/whitepaper)。
2. 任意地点访问
和IPSec VPN不同,e-Gap远程访问解决方案允许雇员无需专用客户端软件,就可以访问企业应用系统,这样就不会把公司雇员束缚在某一台电脑上。只要公司雇员有浏览器,通过e-Gap远程访问就能方便、安全地访问公司网络,可以是通过机场提供的上网场所,或者在客户处,或者通过无线设备。当他们出行时,也不用非得带上笔记本电脑。这种方便性带来效率上的提高和给雇员带来精神上的愉悦也是很难量化的。
3. 降低了内部服务器的维护费用
由于e-Gap远程访问提供主动的基于应用层的过滤,能保护公司内部服务器,从而使得内部服务器不用忙于打补丁,也不会忙于应付各种紧急情况,最终降低了内部服务器的总体拥有成本。 |
