用户名: 密码: 登录 | 邮箱入口
【HT】新闻公告 关于财政用户升级政务外网加密客户端通知 2014-06-10 2017年“元旦”假期售后服务信息 2012-04-28 2017年清明假期售后服务信息 2012-04-01 上海华堂推出IPSec/SSL一体化VPN网关 2011-12-29 现阶段如何进行网络安全管理? 2011-11-23 防火墙:网络安全的保障 2011-11-23 华堂UTM防火墙专治企业网络"阿硫克斯之踵" 2011-11-23 来自恶意广告的新威胁 2011-11-18 内网安全的市场概况和相关看法 2011-11-18 抛砖引玉 揭秘云计算安全问题 2011-11-18 华堂USB KEY为区县人大换届选举选民登记接入提供完美服务 2011-10-08 NEW!!区县人大换届选举上海人大重要通知下载地址 2011-09-29 区县人大选民登记安全接入商密key介绍 2011-09-28 区县人大选举安全接入商密key 问题集锦(1) 报错该如何解决? 2011-09-28 区县人大选民登记安全接入商密智能key下载专区 2011-09-28 政务外网云计算接入用户手册及驱动程序下载专区 2011-09-19 进步还是倒退?UTM与传统防火墙的对话 2011-09-06 提升UTM防火墙不再是传说 2011-09-06 上海华堂助某市财政局实现防火墙VPN一体化 2011-09-06 传统VPN防火墙 VS 下一代防火墙 2011-09-06 竞速下一代VPN防火墙 2011-09-06 春节假期售后服务联系信息 2010-02-04 元旦假期售后服务联系信息 2009-12-28 十一假期售后服务联系信息 2009-09-30 华堂产品荣获信息安全产品认证证书 2009-09-01 华堂公司受邀参加“商用密码产品成果展” 2009-08-18 SSL VPN安全网关首家通过国密局认证 2009-07-21 从绿坝软件看过滤技术 2009-06-15 端午节假期售后服务联系信息 2009-05-27 浅谈国产SSL VPN产品技术 2009-05-22 VPN隧道内安全防范 2009-05-12
     
您现在的位置:首页 >> 新闻公告 返回上一页  
【HT】产品目录
申请试用
【HT】客户名录
【HT】新品推荐
 
 
新闻公告    
浅谈国产SSL VPN产品技术

浅谈国产SSL VPN产品技术

【华堂网络 精文转载】

  随着信息安全从单纯关注网络安全转变为重点关注以业务为核心的应用安全 ,远程安全接入的重要性日益明显,SSL VPN以无需客户端软件、保护具体应用、 细粒度的访问控制、详细的审计等特性,在易用性、安全性和管理性方面更胜一 筹。因此,近几年来SSL VPN的应用范围正在迅速扩大。

  协议集成了非对称加密、对称加密、数字签名以及信息校验等多项技术,能 出色地完成防冒充、防破解和防篡改三个保障信息安全的基本任务。SSL协议的通 讯过程主要分为四个阶段,原理大致如下:

  第一阶段,客户端向服务器发出SSL连接请求,并附上一段随机产生的信息, 服务器端在通讯之前会向证书颁发组织申请并获得自己的公钥、私钥以及证书。

  第二阶段,服务器收到客户端的连接请求后,把收到的随机信息用私钥加密 ,然后连同公钥和身份信息发回给客户端。

  第三阶段,客户端收到服务器端的回应后,将先用从服务器端发来的公钥解 密信息,还原后与自己之前产生的随机信息比较异同,从而验证服务器端的身份 。在服务器端身份得到验证后,客户端将产生一个对称密钥,用于加密真正的传 输信息,并将该对称密钥用公钥加密后发给服务器端。

  第四阶段,服务器端得到信息后,用自己私钥解密并获得该对称密钥,之后 客户端和服务器之间就可以用这个对称密钥进行加密通讯了。

  在整个通讯过程中,服务器端只要保护好私钥不被泄漏就可以保证自己的身 份不会被冒充,对称密钥也不会被破解,从而保证了加密信息不会被破解,再加 上校验信息也采用公钥和私钥加密机制,因此信息篡改也不可能发生,保证了传 输的安全性。

  近年来,随着国内信息化建设的深入,网银系统、企业移动办公、电子政务 、数字图书馆等的大规模建设,国内用户对SSL VPN的需求不断增加,丰富的需求 催生了国产品牌SSL VPN产品的迅速崛起,那么,SSL VPN都有哪些关键技术呢?

  代理

  该技术的实现原理是:客户端通过浏览器向SSL VPN网关发送页面访问请求, 由SSL VPN网关代为向Web服务器发送请求,然后将Web服务器回应的HTTP页面经过 复杂的处理和转换后封装成HTTPS页面转发给客户端的浏览器。由于目前大部分浏 览器已经集成了SSL(HTTPS)协议处理功能,因此客户端在通过SSL VPN访问Web 应用时,直接用浏览器加解密信息即可,无需额外的客户端程序和控件,做到了 真正100%零客户端。

  端口转发

  该技术主要用于实现客户端对C/S架构应用的访问。由于Outlook、FTP等各种 C/S应用的客户端软件并不具备SSL协议处理功能,因此需要借助控件程序来完成 不同应用端口服务的转发功能。客户端在建立SSL VPN隧道后,会下载并运行一个 控件程序,该程序将Outlook等应用软件发出的相应端口数据包截获,加密封装成 SSL协议端口数据包发给SSL VPN网关,网关经过解密、还原相应的应用端口后再 代替客户端与内部服务器进行通讯。

  应用转换

  利用该技术,客户端通过SSL VPN访问内部的FTP、文件共享、邮件、SSH、 Telnet、RDP等服务时都可以Web的形式进行。而SSL VPN产品则需要将这些应用的 操作界面和各种功能基于Web形式重新实现。

  网络连接

  网络连接即通常所说的NC(Network Connection)功能,该技术可以让客户 端通过SSL VPN拥有对内部整个子网的访问权限,也是目前应用比较广泛的一项技 术。在SSL VPN产品上集成该技术后,即有IPsec VPN与应用无关的优势,又保持 了SSL VPN的高安全性。客户端通过NC连接SSL VPN时,会获得一个虚拟IP地址, 然后通过这个虚拟IP地址与内网通讯。

  以上便是实现SSL VPN的几项核心技术,目前大部分的SSL VPN产品,都是以 这几项技术的一项或几项为基础研发实现的。那么,对国产SSL VPN产品而言,哪 些技术尤其重要呢?

  首先是Web代理技术。由于用户需要访问内网的Web应用,而且希望访问方式 尽量简便,而只有具备Web代理技术,SSL VPN产品才能做到100%零客户端,才能 为用户提供最简便的接入方式,因此, Web代理技术对国产SSL VPN产品而言是一 项必需技术,也是SSL VPN产品是否专业的重要标准之一。

  除了Web代理技术,端口转发技术的重要性也不容小觑。除了要访问除Web应 用外,用户还需要经常访问组织内部的C/S架构应用,例如邮件、FTP、文件共享 、数据库、ERP等,这时,SSL VPN产品采用端口转发技术实现对C/S应用的处理, 是再合适不过的了。

  至于应用转换技术,目前国内用户需求并不迫切。由于SSL VPN产品需要把 FTP、Email,SSH等应用以Web的形式重新实现,实现起来比较复杂,还可能存在 提供的功能不够完整,界面不够友好,不太符合用户的操作习惯以及控件引用是 不合法等一系列问题。从另一个角度来看,用户在没有使用SSL VPN之前,都已经 习惯通过相应的客户端软件对C/S应用进行访问,在使用SSL VPN后,仍然希望通 过使用原来的客户端软件访问内部的各种C/S应用。由此看来,应用转换技术并不 十分适应于国内的用户,也并非是国产SSL VPN产品的必须功能。

  最后再看NC技术,由于NC技术可以实现SSL VPN与应用无关的特性,因此客户 端通过SSL VPN访问内部整个子网的需求仍然存在。然而,在使用该功能时,需要 给客户端配置虚拟IP地址,这样一来,就会遇到地址规划上的一些问题,在配置 和使用上也比较复杂。目前,国内已经有SSL VPN厂商注意到这个问题,为了更好 地满足用户对易用性的要求,采用了一种“网络层代理”技术,客户端通过SSL  VPN产品访问内部整个子网时,不需要借助虚拟IP地址,也不需要改变内网服务器 网关指向,有效地解决了NC功能配置和使用复杂的难题。但目前,“网络层代理 ”技术还存在一个问题,即无法处理TCP连接由内向外发起的应用,无法做到“与 应用无关”。如果有SSL VPN产品能够同时具备NC和网络代理功能,将会受到更多 国内用户的青睐。

  当然,以上列举的只是SSL VPN产品的几项主要技术,为了更好地满足国内用 户的需求,SSL VPN产品还必须在功能上进一步贴近需求,不断丰富。那么,国产 SSL VPN产品在功能上应该如何“修炼内功”呢?

  丰富的认证方式

  国内用户类型众多,对认证方式和安全性要求也不尽相同。除了基本的本地 口令外,动态口令、短信口令、口令+动态附加密、证书+USBKEY、口令+证书 +USBKEY等多因素认证方式也越来越常见,成为对SSL VPN产品的基本要求。此外 ,随着CA体系在中国不断健全,越来越多的用户从专业的CA企业购买服务,因此 国产SSL VPN产品能否很好地与标准第三方CA系统兼容,能否提供标准OSCP、CRL 等证书校验接口,在一定程度上决定了该产品能否应用到用户现有环境中。

  线路优化

  中国向来有北网通、南电信的说法,不同ISP下的主机彼此访问时延迟非常大 。国内用户考虑到这个因素,常常向不同的ISP申请了多个公网IP提供服务。如果 SSL VPN产品能够利用多个网口通过多个公网IP对外提供接入访问,并可以根据接 入客户端的ISP来源选择最佳路径,那么将可以大大提高访问效率,更好地适应国 内的网络环境。

  单点登录

  在用户的内网中,OA系统通常都带认证功能,使用者需要提交用户名及口令 才可登录。加上SSL VPN后,用户就首先要登录SSL VPN,然后再次提交认证信息 登录OA,导致重复认证过程。为了简化登陆程序,SSL VPN产品应该能记录用户登 录SSL VPN时的认证信息,在用户访问OA时,代替用户提交认证,用户不需要再次 输入用户名和口令就可打开登录成功后的页面。

  端点安全

  安装SSL VPN产品后,端点的安全也是不得不考虑的重要方面。是否允许所有 PC都接入SSL VPN,在连接SSL VPN隧道后是否允许访问互联网,在SSL VPN客户端 注销后,访问痕迹是否应该清理,都是SSL VPN需要重点考虑的几个安全问题。目 前,国内很多SSL VPN产品也都有应对措施。在客户端主机接入之前,先检测终端 主机上是否具备管理员要求的某些特征,如操作系统版本、IE浏览器版本、是否 运行了杀毒软件等等,如果不满足安全策略,则拒绝连接。在建立隧道后,SSL  VPN产品还可以禁止客户端主机访问隧道以外的网络以确保隧道安全;在终端用户 注销后,还会自动清除此次的访问痕迹,确保信息不被泄漏。此外,如果产品能 实现帐号和客户端主机特征绑定以及防伪造功能等,将可以进一步提高客户端的 端点安全性。

  应用层防御

  产品是以应用为核心的安全接入产品,因此应用层的安全防御必不可少。目 前,防SQL注入,防跨站脚本和防非法URL访问等功能已经出现在一些国内品牌SSL  VPN产品上。甚至有厂商还提供了基于帐号的最大并发上限控制功能,有效防止了 一个帐号恶意产生大量连接的DOS攻击行为,有效保障了应用服务系统。

  安全审计

  产品相对传统VPN的优势之一就是审计更加详细。相比而言,SSL VPN产品更 关注帐号而不仅仅只是IP地址。在日志中应该可以记录哪个用户、在什么时间, 在什么地理位置通过哪个ISP登录了SSL VPN,访问了什么服务,访问了哪些Web页 面等等。另外,SSL VPN产品还应该提供基于各种条件(如时间范围、关键字等) 的查询功能,甚至可以根据时间范围生成报表提供浏览和下载。

  综合以上所有因素来看,SSL VPN产品与其说是一项技术,不如视之为服务。 谁的SSL VPN产品能在上面所述各项技术和功能中做得更精细,更人性化,更贴近 用户需要,谁的产品就会在激烈的市场竞争中取得胜利。

 

上一条: 没有了! 下一条: 端午节假期售后服务联系信息
 
 
【HT】在线支持
上海 河北
浙江 广东
江苏 山西
安徽 湖北
河南 福建
江西 其它
       
工程师1 工程师2
工程师3 工程师4
工程师5 工程师6
 
 
 
上海市安顺路89弄7号 浦江大厦3201室 人才招聘 联系方式  eGroupWare 沪公网安备 31010502001641号
电话:021-52897632 Copyright©华堂网络 All Rights Reserved
飞五游戏下载