SSL VPN應用安全與網絡安全的完美結合

　　虛擬專用網指的是依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商)，在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的，即通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線。目前，IPSEC隧道是組建虛擬專用網 常用的技術，即通常所說的IPSEC VPN技術。

　　IPSEC VPN技術

　　是網絡層的VPN技術，它獨立于應用程序，以自己的封包封裝原始IP信息，因此可隱藏所有應用協議的信息。一旦IPSEC建立加密隧道后，就可以實現各種類型的連接，如Web、電子郵件、文件傳輸、VoIP等，每個傳輸直接對應到VPN網關之后的相關服務器上。IPSEC是與應用無關的技術，因此IPSec VPN的客戶端支持所有IP層協議，對應用層協議完全透明，這是IPSEC VPN的 大優點之所在。但是隨著VPN應用的越來越廣泛，IPSEC VPN的缺點也逐漸的顯現出來：

　　其一，IPSEC VPN配置部署復雜，需要專門的客戶端軟件，而且不同提供商之間的設備很難完全兼容。

　　其二，網絡適應性不佳，由于是IP層的協議，對于防火墻等訪問控制設備不透明，對網絡地址轉換(NAT)和應用代理(Proxy)等穿透性差。

　　其三，應用層安全性不好。 多只能提供IP地址和傳輸層端口這種粒度的訪問控制，對應用層協議的細粒度強訪問控制無能為力，更談不上入侵檢測與防御、防病毒、抗攻擊等深層次的安全功能。

　　SSL VPN技術

　　SSL VPN指的是基于安全套接層協議(Security Socket Layer-SSL)建立遠程安全訪問通道的VPN技術。它是近年來興起的VPN技術，其應用隨著Web的普及和電子商務、遠程辦公的興起而發展迅速。

　　SSL協議主要是由SSL記錄協議和握手協議組成，它們共同為應用訪問連接提供認證、加密和防篡改功能。SSL握手協議相對于IPSEC協議體系中的IKE(互聯網密鑰交換協議)協議，主要是用于服務器和客戶之間的相互認證，協商加密算法和MAC(Message Authentication Code-消息認證碼)算法，用于生成在SSL記錄協議中使用的加密和認證密鑰。SSL記錄協議是為各種應用協議提供基本的安全服務，類似于IPSEC的傳輸模式，應用程序消息參照MTU( 大傳輸單元)被分割成可管理的數據塊(可進行數據壓縮處理)，并產生一個MAC信息，加密后插入新的報頭， 后在TCP中加以傳輸;接收端將收到的數據解密，做身份驗證(MAC認證)、解壓縮、重組數據報然后交給應

　　用協議進行處理。實際上就是在應用層和傳輸層之間加入了一個數據處理層，和傳統的網絡套接字模型在同一層次，這也就是安全套接層的由來。

　　SSL VPN和IPSEC VPN技術的對比

　　SSL VPN與IPSEC VPN相比主要有以下優點：

　　其一,簡單靈活。在SSL VPN的架構下，不需要在客戶端安裝軟件，用戶只要使用瀏覽器進行安全Web訪問(https)即可。這樣只要是任何裝有瀏覽器的裝置，例如可以支持Web的手機或PDA，都可以應用SSL VPN做加密保護。而且對于大多數的操作系統，只要可以支持標準的瀏覽器，不論是Windows、Mackintosh、Unix或是Linux,都可以通過SSL VPN做加密保護。

　　其二，對網絡設備透明。由于是在傳輸層之上進行安全處理，不存在穿越NAT等防火墻設備的問題。

　　其三,應用層安全性高。在應用層建立的通道可以防止病毒、蠕蟲等經由網絡層傳輸的威脅。另外，由于SSL VPN還可以起到代理服務器的作用，所有客戶端的訪問都是由SSL VPN網關轉發，而不能直接訪問應用服務器，從而使服務器

　　不易受到病毒、黑客等攻擊，而且還可以提供細粒度的強訪問控制和日志審計。如果遠程用戶以IPSEC VPN的方式與公司內部網絡建立聯機，內部網絡所連接的應用系統，都可能暴露給黑客攻擊。若采取SSL VPN來聯機，因為是直接開啟應用系統，并沒在網絡層上連接，黑客不易探測出應用系統內部的網絡機制，所受到的威脅也僅是所聯機的應用系統，攻擊機會相對減少許多。