描述: 图1直路方式
图片: 


描述: 图2 旁路方式
图片: 


×××是一项非常实用的技术,它可以扩展企业的内部网络,近期传统的IPSec ×××出现了客户端不易配置等问题,相对而言,SSL ×××作为一种全新的技术正在被广泛关注,SSL利用内置在每个Web浏览器中的加密和验证功能,并与安全网关相结合,提供安全远程访问企业应用的机制,这样,远程移动用户轻松访问公司内部B/S和C/S应用和其他核心资源。 

1 什么是SSL ××× 
SSL ×××是指应用层的×××,基于HTTPS来访问受保护的应用。目前常见的SSL ×××方案有两种:直路方式(图1)和旁路方式(图2)。直路方式中,当客户端需要访问一应用服务器时,首先,客户端和SSL ×××网关通过证书互相验证双方;其次,客户端和SSL ×××网关之间建立SSL通道;然后,SSL ×××网关作为客户端的代理和应用服务器之间建立TCP连接,在客户端和应用服务器之间转发数据。旁路方式与直路不同是,为了减轻在进行SSL加解密时的运行负担,也可以独立出SSL 加速设备,在SSL ××× Server接收到HTTPS请求时将SSL 加密的过程交给SSL 加速设备来处理,当SSL加速设备处理完之后再将数据转发给SSL ××× Server。 



SSL ×××网关在传输过程中起到的主要作用是代理。当用户发送访问应用服务器的请求时,请求并没有被直接发送给应用服务器,而是被SSL ×××接收,接收后的数据首先被SSL ×××进行协议解析,然后执行身份认证和访问控制等安全策略,最终再将数据转换为适当的后端协议,传送给应用服务器。由于在执行安全策略后才允许数据流进入应用服务器,从而有力地保护了专用网络。

SSL ×××有两种接入方式,无客户端方式和瘦客户端方式。 
无客户端是指通过IE浏览器实现内容重写和应用翻译。实现机制有四个方面:1)通过动态翻译WEB内容中内嵌的URL连接,使之指向SSL ×××网关虚拟门户;2)重写内嵌在HTML页面中Javascript、Cookie的URL连接;3)重写Web Server的回应,使之符合internet标准格式;4)扩展到一些非Web应用,如文件共享访问。 
无客户端方式支持的应用类型可以是web方式也可以是文件共享。通过Web方式可以访问企业的WEB应用、Web资源如Outlook Web Access等。文件共享是指可以通过浏览器访问内部文件系统,浏览目录、下载和上传文件UNIX (NFS)文件、Windows (SMB/CIFS) 文件等。 
瘦客户端方式是指客户端作为代理实现端口转发,但是SSL ××× 客户端是自动下载的,所以对客户来讲是透明的。瘦客户端支持的应用类型是所有基于固定端口的TCP应用,如Exchange/Lotus Notes、Email(POP/IMAP/SMTP)、Telnet等。 

2.SSL ×××的优势 
SSL ×××的优势来自于HTTP的广泛应用,常见的使用 HTTP 的应用有:SOAP(Simple Object Access Protocol) 简单对象访问协议,UDDI (Universal Description, Discovery, and Integration)统一描述、发现和集成等。这类B/S 架构管理软件只安装在服务器端上,用户界面主要事务逻辑在服务器端完全通过WWW浏览器实现。极少部分事务逻辑在前端(Browser)实现,所有的客户端可以只有浏览器。 
(1) 零客户端 
客户端的区别是SSL ×××最大的优势。有Web浏览器的地方的就有SSL,所以预先安装了Web浏览器的客户机可以随时作为SSL ×××的客户端。这样,使用零客户端的SSL ×××远程访问的用户可以为远程员工、客户、合作伙伴及供应商等,通过SSL ×××,客户端可以在任何时间任何地点对应用资源进行访问,而IPSec ×××只允许已经定义好的客户端进行访问,所以它更适用于企业内部。 
SSL ×××的客户端属于即插即用的安装模式,不需要任何附加的客户端软件和硬件,即便是瘦客户端模式,由于是用自动下载的模式,所以对用户来讲仍然是透明的;相对而言,IPSec ×××通常需要长时间的配置,并必须有相应的软硬件才可使用,用户需要支付软硬件费用以及配置、技术支持的费用也就比较高。IPSec ×××部署如果增添新的设备,往往要改变网络结构,因此造成IPSec ×××的可扩展性比较差。 
(2)安全性 
SSL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。 
SSL ×××的安全性前面已经讨论过,与IPSec ×××相比较,SSL ×××在防病毒和防火墙方面有它特有的优势。 
一般企业在Internet联机入口,都是采取适当的防毒侦测措施。不论是IPSEC ×××或SSL ×××联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端***的可能性,就会有所差别。采用IPSEC联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。而对于SSL ×××的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL ×××连接,受外界病毒感染的可能性大大减小。 
再比如防火墙上的通讯端口,在TCP/IP的网络架构上,各式各样的应用系统会采取不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Ftp系统来说,通讯端口一般采用21,若是从远程电脑来联机Ftp服务器,就必须在防火墙上开放21端口。IPSEC ×××联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个******机会。反观之,SSL ×××就没有这方面的困扰。因为在远程主机与SSL ××× 网关之间,采用SSL通讯端口443来作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定。如果所有后台系统都通过SSL ×××的保护,那么在日常办公中防火墙只开启一个443端口就可以,从而减少内部网络受外部******的可能性。 
(3)访问控制 
用户部署×××是为了保护网络中重要数据的安全。在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,对内网资源的权限也有不同的级别。 
由于IPSEC ×××部署在网络层,因此,内部网络对于IPSec ×××的使用者来说是透明的,只要是通过了IPSEC ×××网关,就可以任意访问内网中的资源。因此,IPSEC ×××的目标是建立起来一个虚拟的IP网,而无法保护内部数据的全面安全。 
而SSL ×××重点在于保护具体的敏感数据,比如SSL ×××可以根据用户的不同身份,给予不同的访问权限。通过配合一定的身份认证,不仅可以控制访问人员的权限,还可以对访问人员的每个访问的关键信息进行数字签名,以保证每次访问的不可抵赖性,为事后追踪提供了依据。 
(4) 经济性 
使用SSL ×××具有很好的经济性,因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入。但是对于IPSEC ×××来说,每增加一个需要访问的分支,就需要添加一个硬件设备。就使用成本而言,SSL ×××具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定IT知识的普通工作人员就可以完成日常的管理工作。 
综观上述,SSL ×××在其易于使用性及安全层级,都比IPSec ×××高。我们都知道,由于Internet的迅速扩展,针对远程安全登入的需求也日益提升。对于使用者而言,方便安全的解决方案,才能真正符合需求。

http://cio.ciw.com.cn/Print.asp?ArticleID=49920&Page=2