如何使用你的SSL VPN？

几年前，如果想把局域网扩展到组织机房以外的区域，拨号/专线几乎是唯一的选择。随着技术不断的改进，组织经历了Modem拨号、DDN、FrameRelay（帧中继）、ATM和SDH的不断演变，但专线的成本高昂和缺乏弹性的特点从未得到彻底改变。Internet的发展给我们带来了虚拟专用网络（VPN），通过利用无所不在的互联网，VPN把经济性和部署弹性发挥到了更高的水准，成为了取代专线的首选方案。

在TCP的网络层，IPSec协议通过预共享密钥和高强度加密算法实现了局域网的安全互联，让组织的分支机构融合到了总部的局域网，分支机构可以根据其网络规模和使用人数选择和总部连接的方式，硬件VPN网关，或是VPN客户端，前者部署在分支机构的局域网，后者直接安装在使用者的PC操作系统上。

然而，组织的成员不会永远安坐在办公室，当他们“移动”起来时，例如回到家中、参加会议、出差考察，环境的频繁变化让IPSec难以应对。组织的外界环境迅速膨胀，合作伙伴、股东、审计部门、供应商、经销商都被纳入了组织的网络外延，他们需要接入到组织的内网，以访问他们所关心的应用资源和数据报表。IPSec的部署问题会让企业的网络人员成为合作伙伴“公用”的网管。IPSec客户端不停的安装、调试和维护将会成为网管人员生活中不可或缺的一部分，无论你是在工作时间还是8小时之外。问题还远没有结束，基于IPSec是网络层协议的前提，当远程设备从Internet接入后将被虚拟成局域网内的一台PC，也就是获得了局域网的所有使用权限。这是相当危险和难以控制的。如果这台接入的设备携带了病毒、蠕虫，局域网也会很快地受到感染，使网络人员精心构建的安全城墙在一瞬间灰飞烟灭。

SSL（安全套接层）VPN被视为IPSecVPN的互补性技术，在实现移动办公和远程接入时，SSLVPN更可以作为IPSecVPN的取代性方案。SSL协议由网景公司提出，是一种基于WEB应用的安全协议，包括服务器认证、客户认证（可选）、SSL链路上的数据完整性和数据保密性。所有标准的WEB浏览器均已内建了SSL协议。采用SSL协议的设备并不等同于SSLVPN，除非它利用SSL协议实现对WEB及各种使用静态或动态端口的服务做支持。我们举个例子，看看SSLVPN是如何在组织中应用的。

A是一家大型的国际集团，拥有3家上市子公司、7个研发中心和20余个生产基地，办事处和员工遍布全球。在A集团中心机房的服务器集群中部署了ERP系统、客户关系管理系统（CRM）、邮件系统、办公自动化系统、文件服务器，以及一些定制化的集团应用。集团规模不断扩大，已有50％的人员分布在企业总部以外，而且这一比率还在不断增加。人员在远离总部的同时，他们离中心机房中的各种应用也“越来越远”。集团总部的人员同样也在随时远离总部，在家、在会场、机场、酒店、甚至在亲友家中，他们试图利用各种设备，自己攒的兼容机、公司配备的笔记本、会场酒店提供的主机、自带的PDA、MSCE操作系统的移动电话、甚至是亲属家的电脑，接入到总部的内网。这些人不是IT专家，但业务的不可中断性激发了他们的移动办公需求。

SSLVPN工作在传输层和应用层之间，使用了浏览器自带的SSL协议，当集团的员工希望连接到总部网络时，可以尽情使用手头任何可接入Internet的设备。通过在浏览器中输入总部SSLVPN的网络地址，ActiveX控件会自动被下载并安装，利用管理员发布的帐号和密码，员工就可以随时接入到内网。传统的SSLVPN只支持以web为基础的应用，而如今的SSLVPN取得了很大的进步，通过端口转发和应用重定向技术，在客户端访问常用的C/S应用已经轻而易举。有些SSLVPN产品走得更远，通过在客户端和总部建立全三层的隧道实现了网络扩展，你甚至可以在手持设备上使用Voip，通过SSH和Telnet管理局域网的网络设备，从你隔壁办公室的电脑中下载其共享的mp3。如果员工是在公共场所使用SSL登陆，当客户端长时间没有操作时，SSLVPN会自动注销其用户，避免主机被其他人利用。当客户端退出SSL后，其访问的记录和保存在浏览器中的Cache也会被自动清除，使访问不留痕迹。

对于合作伙伴的接入，SSLVPN利用其所在网络层的优势，可以保证“端点到应用的安全”。在合作伙伴接入前，SSLVPN便启用了其端点安全性扫描功能，通过对远程终端操作系统、注册表、进程、防火墙和杀毒软件的检测，确保了终端的安全策略符合管理员的要求才可接入。另外，如今SSLVPN配备的丰富认证功能已经带来了更好的接入灵活性和不可伪造性，CA证书、USBKEY、动态令牌、短信密码，这些机制让合法用户的身份得到了最大程度的保障。对于A集团来说，其原料供应商、经销商、投资人需要访问的应用系统各不相同，网络管理人员可以将不同类型的合作伙伴归为不同的用户组，再为各个用户组映射其需要访问的资源。SSLVPN部署在防火墙等设备的内侧，通过把需要合作伙伴访问的资源映射到SSLVPN，网关处只需要开放443端口(HTTPS)即可，而不用开放任何有关内部资源的端口。当外部受到攻击时，黑客只能攻击到SSLVPN为止，而内部应用对其来说是不可见的。当合作伙伴接入后，只能访问管理员授权的应用。而通过IPSec接入，整个集团的内网将暴露在合作伙伴的屏幕上，无非给攻击和内容泄漏敞开了大门。

对于管理员来说，详细的日志功能是必不可少的。作为集团应用的部署和维护者，系统管理员有权知道有哪些人在何时登陆了VPN又是从何时注销的，这些人访问了何种资源，哪些资源的访问量最大。而一个完善的SSLVPN日志系统将帮助管理员可以做到记录和审计工作，这包括完整的用户、管理员登陆信息统计，以及通过这些统计得到的图形化报表，用来帮助管理员分析用户访问内部资源的规律和趋势。

除了实现安全接入和移动办公外，SSLVPN还有新的用武之地，其中之一是对专线内资源的保护。由于专网内往往存在不同的组织和部门，同一部门的资源并不希望被其他部门所访问或窃取。但是这很难办到。无论是数据传输中的加密还是对访问者的身份认证，传统的安全策略都漏洞百出。例如应用系统的访问基本都通过系统本身的认证来实现，如传统的用户名和密码。静态的口令容易泄漏，通过窃取到的密码来冒充合法用户的身份进入系统，未授权的用户将会轻易的获得敏感的数据，破坏正常的业务流程，进而给组织带来重大的损失。我们可以把SSLVPN部署在服务器前端用来做访问保护，让SSLVPN成为任何人访问应用系统和数据库的必经之路。结合CA系统，通过CA中心签发的证书做双向身份认证，有效地防止了街区重播、中间人欺诈等对身份认证的攻击，保证了业务系统用户的合法身份；同时，利用SSLVPN的端点安全和隧道加密技术，保证了接入端的安全性，使系统的数据免遭安全隐患，而传输中的加密更可以保障应用交付过程中的数据加密，防止数据被专线内的不明身份者截取和破解。