随着技术的发展,VPN的技术由IPSEC VPN发展到现在SSL VPN,目前市场上有各种各样的所谓的SSL VPN产品,但是怎样分辨SSL VPN产品呢?其实目前有些SSL VPN,也能采用所谓的IE浏览器登陆访问,可以通过虚拟拨号,得到IP地址,实现远程接入,但是却无法做安全控制,这些是基于IPSEC的封装,即SSL OVER IPSEC,这些不是严格意义上的SSL VPN,最多只能称为WEB VPN。作为SSL VPN,至少要达到三个关键点可以称之为安全的SSL VPN。这三点是:SSL VPN必须是应用层的安全设备;考虑终端安全;考虑细粒度访问控制,除此之外,SSL VPN还必须关注其他方面的安全,才能实现SSL VPN的安全接入。
一、SSL VPN必须是应用层的设备 必须是基于应用层技术实现的SSL VPN设备。这样可以阻断DOS、蠕虫、木马的攻击、保证后台服务器的绝对安全。 真正的SSL VPN设备在安全方面会起到两大作用:一是数据的加密传输;二是隔绝木马、蠕虫、DOS对应用服务器的攻击,保护应用服务器的安全。DOS、蠕虫、木马的攻击都是运行在网络层的,在应用层是无法实现的,因此要求SSL VPN必须是基于应用层的,才可以完全阻绝这些攻击。在应用层的基础上,内部的服务器无法与客户端建立IP层的连接,因此不会受DOS、蠕虫、木马的攻击。另外必须是支持应用层代理,才能真正做到零客户端,用IE浏览器就可以访问,避免在登陆后还要运行一些应用程序客户端,比如常见的RDP远程终端服务或CITRIX系统,如果不支持应用代理,还需要运行客户端,这样就不能真正实现SSL VPN,BILLION 系列SSL VPN网关全面支持强大的应用代理功能,包括终端服务器,RDP5,VNC,HTTP,HTTPS,远程控制协议TELNET和SSH,文件传送协议FTP,网络文件共享,CIFS
二、必须考虑终端安全,尤其是接入的安全。 实现基于硬件的双因素认证,可以用完整的证书。 SSL VPN设备最大的安全隐患在于入口的安全,入口安全的关键在于认证。由于SSL VPN是网关型设备,后台很多服务在其保护之下,如果用户以合法身份登录,将直接访问后台应用服务。 对于使用者的身份是否合法,可以采用双因素认证,如RSA,OTP(一次性动态口令)认证等方式,具体的应用如下为进一步保护入口的安全,可以采用mac地址认证、保证外来用户机器接入局域网以后也无法访问应用服务器。 对终端安全的整体考虑:终端安全主要分成身份认证部分、终端部分、连接安全等三个部门。终端部分我们主要是采用了与终端集成,通过MAC地址来进行对终端电脑进行访问控制;连接安全我们在应用层通过SSL 的双向加密来实现;身份认证部分,我们采用了RSA、OTP、LDAP、RADIUS、AD域、多因素的认证,加强身份认证的安全性,另外BILLION 的SSL VPN支持ESP(客户端安全检查),对接入的PC的系统的安全性进行检查,比如客户端有没有安装杀毒软件,有没有打补丁或特定进程,可以在接入的时候对客户端的安全性进行检查,符合条件的PC才可以访问内部系统,如果不符合条件,将被拒绝。。
三、细粒度访问控制 基于外部访问应用、管理内部的应用服务器时,细致划分访问的策略和权限,精确控制访问链接,实现按需访问控制,包括支持应用程序发布。
1、对于一个基于应用层的设备,它对用户的访问权限的控制可以精确到一个具体的URL(即连接),即可以允许一个用户访问某个页面,不允许访问某个页面
2、对内部的电脑与设备进行远程控制时的安全分级功能。
3、远程控制内网电脑访,对内网电脑的访问进行细粒度的控制,如访问,读、写、文件夹的访问等。SSL VPN远程桌面控制,实现类似于PC anyware 的功能,但是通过我们的SSL VPN实现的远程控制,数据传输是加密的,而且可以把服务器的某个应用程序发布出来,即远程的客户只能访问指定路径的应用程序,这样,对应不同的客户,有不同的访问权限,避免造成越权使用。
四、清除访问记录、cookie,保护系统资源的安全。 用户退出后,系统可以自动清楚应用时的访问记录、cookie,插件等,来保护保护系统资源的安全,如不能清除,则存在潜在的危险,BILLION 的SSL VPN全面支持 WEB缓存清除,避免在一些公共的场合如网吧环境下留下访问痕迹,存在安全隐患。同时BILLION的SSL VPN也支持超时断开连接,避免客户临时走开,长时间没有操作,特别是在一些公众场合,容易被别人冒用身份。
五、保护内部服务器的安全,不能暴露内部服务器的IP地址,外部的访问与内部的服务器不能有IP层的链接。 在SSL VPN应用时,首先在IE中的地址栏中不能暴露内部服务器的IP地址,即该地址栏必须是加密的,,同时外部的访问与内部的服务器不能有IP层的链接,如有,则意味则外部的机器可以直接攻击内部服务器
六、与应用结合、实现统一认证和单点登录。 对于内部的多个应用时,每个应用都有一套用户名与密码,因此作为一个SSL VPN的接入的入口,需要具备统一认证的功能,即所有的应用可以集中进行认证,也就是说用户只需要一套用户与密码就可以了,在这个基础上,可以进一步实现单点登录,BILLION 的SSL VPN支持密码带入功能,实现应用程序的单点登陆。
七、SSL VPN的数据库支持外部数据库方式,如可以采用MS-SQL,MYSQL,ORACLE等大型关系数据库,便于移植与统一管理,如进行统一认证,集群等应用
八、具备SSL VPN设备配置文件的备份与恢复。 这个功能主要是在故障时,可以在最短的时间内恢复设备,一般恢复时间控制在30分钟之内。 另外,BILLION 的SSL VPN采用专业的加密加速芯品,结合终端代理技术,可以问ERP等应用实现加速,解决以往IPSEC 的C/S结构ERP访问慢的问题,彻底把C/S结构的ERP访问WEB,零客户端,统一部署,
九、BILLION的SSL VPN还集成路由,防火墙,自建DDNS,解决无固定IP地址的SSL VPN访问,特别的是,BILLION 的SSL VPN支持多WAN接入,解决南北电信联通的跨网访问问题,大大增强了设备的功能,进一步降低投资。
- 相关阅读:
- ·去一家无人餐厅吃饭是一种怎样的体验
//news.zol.com.cn/541/5417702.html - ·亚马逊宣布的 50 美元平板拥有怎样的配置?
//news.zol.com.cn/541/5414144.html - ·Force Touch怎样改进iPhone的体验?
//news.zol.com.cn/535/5357174.html - ·iPhone 6s会对iPhone 6系带来怎样的冲击
//news.zol.com.cn/535/5350232.html - ·究竟什么是工业4.0?将来会是怎样?
//news.zol.com.cn/523/5237322.html