认识
先期出现的 VPN 技术,如 IPsec、L2TP 等,虽然可以支持远程接入这个应用场景,但这些 VPN 技术存在如下缺陷:
- 远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦;
- IPsec/L2TP VPN 的配置繁琐;
- 网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制;
SSL VPN 是以 SSL 协议为安全基础的 VPN 远程接入技术,移动办公人员 (在 ssL VPN 中被称为远程用户) 使用 SSL VPN 可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。
SSL VPN 是一种基于 HTTPS(SSL/TLS)的 VPN 技术,允许用户通过浏览器或轻量级客户端安全访问内网资源。
组成
我们未深入研究,但是根据我们的理解:SSL VPN 更像是个代理服务(远程用户终端上无需安装额外的客户端软件,直接使用 Web 浏览器就可以安全),而传统 VPN 能够直接接入企业网络;
构建
常见的实现方式包括:
客户端模式:需安装小型客户端(例如,Cisco AnyConnect、……)。
无客户端模式:直接通过 Web 浏览器访问(如端口转发、Web 应用代理)。
性质
- 细粒度访问控制:支持按需分配资源(如仅开放特定应用)。可以根据远程用户访问内网资源类型的不同,对其访问权限进行高细粒度控制;
- 身份验证:支持灵活的身份验证机制,支持证书、LDAP、RADIUS、OTP、……
- 协议:SSL VPN 基于 HTTP 进行用户认证和控制,用户无需配置,使用简单。基于 HTTPS(端口 443),兼容性强,能穿透大多数防火墙。
- 无需复杂配置:部署简单,用户体验友好(尤其无客户端模式)。用户可通过浏览器快速接入。SSLVPN 采用 B/S 架构设计,远程用户终端上无需安装额外的客户端软件,直接使用 Web 浏览器就可以安全、快捷的访问企业内网资源;
主机检查策略可以检查远程用户终端的操作系统、端口、进程、杀毒软件等是否符合安全要求,并且还具备防跳转、防截屏的能力,消除潜藏在远程用户终端上的安全隐患;
优点
适合临时访问或移动设备。
企业级解决方案(如 Fortinet、Pulse Secure、……)提供高级功能(如终端安全检查)。
缺点
无客户端模式功能有限(通常仅支持 Web 应用)。
依赖 HTTPS,可能受中间人攻击威胁(需正确配置)。
应用
企业员工远程访问内部 Web 系统或文件共享。
外包人员临时接入特定资源。
移动设备(如平板、手机)的安全访问。
SSL VPN 使用方便,只需要使用浏览器即可访问公司内网。但不是所有路由器都支持 SSL VPN,对于不支持 SSL VPN 的路由器,可使用 L2TP 建立外网对内网的连接;
SSL VPN 主要用于出差人员远程接入公司内网,一般被认为是公司内网在广域网上的扩展;
参考文献