怎样辨别真假SSL VPN

    随着技术的发展，VPN的技术由IPSEC VPN发展到现在SSL VPN，目前市场上有各种各样的所谓的SSL VPN产品，但是怎样分辨SSL VPN产品呢？其实目前有些SSL VPN，也能采用所谓的IE浏览器登陆访问，可以通过虚拟拨号，得到IP地址，实现远程接入，但是却无法做安全控制，这些是基于IPSEC的封装，即SSL OVER IPSEC，这些不是严格意义上的SSL VPN，最多只能称为WEB VPN。作为SSL VPN，至少要达到三个关键点可以称之为安全的SSL VPN。这三点是：SSL VPN必须是应用层的安全设备；考虑终端安全；考虑细粒度访问控制，除此之外，SSL VPN还必须关注其他方面的安全，才能实现SSL VPN的安全接入。

    一、SSL VPN必须是应用层的设备 必须是基于应用层技术实现的SSL VPN设备。这样可以阻断DOS、蠕虫、木马的攻击、保证后台服务器的绝对安全。 真正的SSL VPN设备在安全方面会起到两大作用：一是数据的加密传输；二是隔绝木马、蠕虫、DOS对应用服务器的攻击，保护应用服务器的安全。DOS、蠕虫、木马的攻击都是运行在网络层的，在应用层是无法实现的，因此要求SSL VPN必须是基于应用层的，才可以完全阻绝这些攻击。在应用层的基础上，内部的服务器无法与客户端建立IP层的连接，因此不会受DOS、蠕虫、木马的攻击。另外必须是支持应用层代理，才能真正做到零客户端，用IE浏览器就可以访问，避免在登陆后还要运行一些应用程序客户端，比如常见的RDP远程终端服务或CITRIX系统，如果不支持应用代理，还需要运行客户端，这样就不能真正实现SSL VPN，BILLION 系列SSL VPN网关全面支持强大的应用代理功能，包括终端服务器，RDP5，VNC，HTTP，HTTPS，远程控制协议TELNET和SSH，文件传送协议FTP，网络文件共享，CIFS

    二、必须考虑终端安全，尤其是接入的安全。 实现基于硬件的双因素认证，可以用完整的证书。 SSL VPN设备最大的安全隐患在于入口的安全，入口安全的关键在于认证。由于SSL VPN是网关型设备，后台很多服务在其保护之下，如果用户以合法身份登录，将直接访问后台应用服务。 对于使用者的身份是否合法，可以采用双因素认证，如RSA，OTP（一次性动态口令）认证等方式，具体的应用如下为进一步保护入口的安全，可以采用mac地址认证、保证外来用户机器接入局域网以后也无法访问应用服务器。 对终端安全的整体考虑：终端安全主要分成身份认证部分、终端部分、连接安全等三个部门。终端部分我们主要是采用了与终端集成，通过MAC地址来进行对终端电脑进行访问控制；连接安全我们在应用层通过SSL 的双向加密来实现；身份认证部分，我们采用了RSA、OTP、LDAP、RADIUS、AD域、多因素的认证，加强身份认证的安全性，另外BILLION 的SSL VPN支持ESP（客户端安全检查），对接入的PC的系统的安全性进行检查，比如客户端有没有安装杀毒软件，有没有打补丁或特定进程，可以在接入的时候对客户端的安全性进行检查，符合条件的PC才可以访问内部系统，如果不符合条件，将被拒绝。。

    三、细粒度访问控制 基于外部访问应用、管理内部的应用服务器时，细致划分访问的策略和权限，精确控制访问链接，实现按需访问控制，包括支持应用程序发布。

    1、对于一个基于应用层的设备，它对用户的访问权限的控制可以精确到一个具体的URL（即连接），即可以允许一个用户访问某个页面，不允许访问某个页面

    2、对内部的电脑与设备进行远程控制时的安全分级功能。

    3、远程控制内网电脑访，对内网电脑的访问进行细粒度的控制，如访问，读、写、文件夹的访问等。SSL VPN远程桌面控制，实现类似于PC anyware 的功能，但是通过我们的SSL VPN实现的远程控制，数据传输是加密的，而且可以把服务器的某个应用程序发布出来，即远程的客户只能访问指定路径的应用程序，这样，对应不同的客户，有不同的访问权限，避免造成越权使用。

    四、清除访问记录、cookie，保护系统资源的安全。 用户退出后，系统可以自动清楚应用时的访问记录、cookie，插件等，来保护保护系统资源的安全，如不能清除，则存在潜在的危险，BILLION 的SSL VPN全面支持 WEB缓存清除，避免在一些公共的场合如网吧环境下留下访问痕迹，存在安全隐患。同时BILLION的SSL VPN也支持超时断开连接，避免客户临时走开，长时间没有操作，特别是在一些公众场合，容易被别人冒用身份。

    五、保护内部服务器的安全，不能暴露内部服务器的IP地址，外部的访问与内部的服务器不能有IP层的链接。 在SSL VPN应用时，首先在IE中的地址栏中不能暴露内部服务器的IP地址，即该地址栏必须是加密的，，同时外部的访问与内部的服务器不能有IP层的链接，如有，则意味则外部的机器可以直接攻击内部服务器

    六、与应用结合、实现统一认证和单点登录。 对于内部的多个应用时，每个应用都有一套用户名与密码，因此作为一个SSL VPN的接入的入口，需要具备统一认证的功能，即所有的应用可以集中进行认证，也就是说用户只需要一套用户与密码就可以了，在这个基础上，可以进一步实现单点登录，BILLION 的SSL VPN支持密码带入功能，实现应用程序的单点登陆。

    七、SSL VPN的数据库支持外部数据库方式，如可以采用MS-SQL，MYSQL，ORACLE等大型关系数据库，便于移植与统一管理，如进行统一认证，集群等应用

    八、具备SSL VPN设备配置文件的备份与恢复。 这个功能主要是在故障时，可以在最短的时间内恢复设备，一般恢复时间控制在30分钟之内。 另外，BILLION 的SSL VPN采用专业的加密加速芯品，结合终端代理技术，可以问ERP等应用实现加速，解决以往IPSEC 的C/S结构ERP访问慢的问题，彻底把C/S结构的ERP访问WEB，零客户端，统一部署，

    九、BILLION的SSL VPN还集成路由，防火墙，自建DDNS，解决无固定IP地址的SSL VPN访问，特别的是，BILLION 的SSL VPN支持多WAN接入，解决南北电信联通的跨网访问问题，大大增强了设备的功能，进一步降低投资。