SSLVPN在军队院校网络应用优势简论
相关话题
论文关键词:SSL;SSL VPN;远程接入
论文摘要:本文讨论了在远程安全接入领域的SSL VPN技术,通过对SSL协议的分析,全面衡量了SSL VPN远程接入方案在军队院校网络应用中的综合优势。
1引言
打造远程安全接入平台,一直是网络远程访问的迫切需求。当前,众多的安全协议(如PPTP.L2TP.IPSec和MPLS)各具特色并侧重于不同的方面,但能同时结合简易、安全两项特性的则非SSL莫属,SSL VPN是平衡访问自由度和安全性的出色解决方案。
2 SSL
安全套接层(Secure Sockets Layer, SSL)是Netscape于1994年提出的基于Web应用的安全协议,它介于HTTP及TCP之间,高层协议可以透明地运行在该协议之上,它指定了一种在应用程序协议和丁CP/IP协议之间提供数据安全性分层的机制,能为丁CP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。其安全连接基于握手协议、记录协议和警告协议来完成。
3 SSL VPN主要特点
(1)高安全性:SSL安全通道可确保端到端真正安全可靠的连接,能有效保证信息的真实性、完整性和保密性。
(2)高易用性:无需客户端的安装和配置,对终端系统具有良好的兼容性。
(3)高性价比:不需要配置,易于部署及管理,可有效降低网络配置成本。
(4)高可扩展性和兼容性:可随时添加需要VPN保护的服务器,并适用于大多数设备。
(5)高效的资源控制能力:可区分用户设置访问权限,实现区分对待的资源控制策略。
4 SSL VPN应用优势
随着军队院校网络信息化建设的推进,实际应用中面临着越来越多的跨地域、跨部门的数据传递,以及大量的远程访问内网的需求。例如跨地域的会商研讨、数据采集、资料检索、分支部门和下属机构的机要信息交换等。根据这些需求和实际情况,下面主要从SSL VPN和IPSec VPN对比出发,全面衡量SSL VPN的优势。
(1)谨慎灵活的接入认证策略。在远程接入过程中,用户身份验证是整个过程的第一环,也是最重要的一环,如果不能有效识别用户的身份,使得非法用户接入,将给内部网络带来极大的安全隐患。SSL VPN提供对所传送数据的加密、认证和发送源的身份认证,支持将多种身份识别方式进行组合,一般包括USB-Key、硬件特征码、数字证书、动态令牌、短信认证等,而且可以对访问权限进行严格的等级划分,实现不同用户对于不同应用程序的控制。
(2)稳妥有效的数据保护策略。因为SSL VPN接入的是内部网络的应用,而不是整个网络,并限制了非Web端口的访问,使得部分文件操作功能不易实现,这实际上也起到了相应的保护功能。同时,SSL网关隔离了内部服务器和客户端,客户端的大多数病毒木马感染不到内网服务器。而IPSec VPN实现的是IP级别的访问,使得局域网能够传播的病毒,通过VPN也能够传播,极易导致内部网络的防病毒策略形同虚设。一旦恶意IPSec VPN用户获得权限通过了网关,无疑会给内网带来灾难性的后果,但SSL VPN大大减弱了类似的风险。
(3)良好的可管理性和可控性。一方面,SSL VPN的部署不需改变原网络结构,就可部署在内网任一节点处,并可随时添加需要VPN保护的服务器。而IPSec VPN在部署时,则要考虑网络的拓扑结构,设备的移除和添加就有可能导致VPN重新部署,且客户终端设备的变更,也意味着客户端软件的更新或部署。另一方面,数字化校园已经将更多的服务集成于Web应用,具备个性化的门户网站,不同的部门和人员都有对应的内网访问权限。这和基于SSL VPN的用户访问级别划分控制策略是一致的。
(4)便捷的移动性和分散性。SSL作为处于应用层和丁CP/UD尸层之间的安全协议,可提供基于应用层的访问控制,更适合远程安全访问的移动性和分散性特点。SSL VPN能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙,这使得用户能够基本上不受接入位置限制,可以从众多接入设备、任何远程位置访问网络,而IPSec VPN则很难实现上述特点。其次,SSL无需在客户端设备上安装软件,只需通过标准的Web浏览器连接网络,即可访问内部资源。而基于IPSec的远程访问不仅要安装特殊用途的客户端软件,而且还存在兼容性问题。