|
||||
VPN早已不是什麼新鮮事物,被講的最多的是IPSec VPN與SSL VPN。其中IPSec VPN頗有幾分『當朝元老』的意味,老而彌堅,相信很多企業中部署的VPN還是姓IPSec的,無論是集成商、企業用戶、還是產品制造商首先考慮的一定是技術的成熟程度與成本,從這一角度看,IPSec VPN可謂佔盡了優勢。欲詳細了解IPSec VPN請點擊:實例演示部署IPSec-VPN網絡。簡而言之,IPSec VPN的強大之處再於它工作在OSI模型的第3層,它可以在兩個端點之間建立起一條『隧道』,所有基於IP的應用數據都可以通過這條隧道進行傳輸。
技術總是在向前發展的,當開發人員將IPSec VPN變得日臻完善,越來越好用的時候,其本身所固有的一個些問題也越來越成為人們所抱怨的對象——遠程撥入IPSec VPN用戶需要安裝客戶端纔可使用,客戶端無法做到真正的『零配置』。在人們越來越關心易用性的今天,使用電腦最好像衝速溶咖啡一樣,作為一名網管,千萬不要沈浸在向老板們介紹如何使用咖啡研磨機的喜悅中。
要是飯盒不說,您一定無法確定這就是一款SSL VPN設備(點擊上圖查看更多同類設備)
有人說,世界上最大的網絡設備廠商是買鐵盒的,因此習慣性的將它們歸類於硬件廠商,這一看法其實是錯誤的。曾經有位做『鐵盒』生意的人對飯盒說過:『我們是賣軟件的,我們將軟件內置在鐵盒中,以方案的形式打包出售,所以我們有天下最好的反盜版措施,我們的利潤可觀。』世界上最大的鐵盒販名叫錢伯斯,他就立志將自己的鐵盒工廠發展成為一家軟件工廠。
終於,SSL VPN橫空出世,並且剛一出世就被裝進了鐵盒中。『我們的SSL VPN產品可以實現IPSec VPN一樣的功能,而且不需要安裝任何客戶端軟件!』您可能聽到過有人這樣介紹自家的SSL VPN產品。在這裡,飯盒要說的是,如果您是喝速溶咖啡的,您就信了這句話吧,當然,如果您是玩咖啡研磨機的,那我們就給這句話挑挑毛病。首先,SSL VPN是需要客戶端的,IPSec VPN使用訂制軟件,而SSL VPN使用瀏覽器,基本是IE;再者,如果希望實現類似IPSec VPN一樣的『隧道』功能,還需要為IE安裝Activex控件。接下來,我們簡單講一下,SSL VPN的實現原理。
SSL VPN以HTTPS(Secure HTTP,即支持SSL的HTTP協議)為基礎。SSL VPN廣泛應用在基於Web的遠程安全接入,為用戶遠程訪問公司內部網絡提供了安全保證。SSL VPN的典型組網架構如下圖所示。管理員在SSL VPN網關上創建企業網內服務器對應的資源;遠程接入用戶訪問企業網內的服務器時,首先與SSL VPN網關建立HTTPS連接,選擇需要訪問的資源,由SSL VPN網關將請求轉發給企業網內的服務器,從而達到保護企業網內服務器的目的。
SSL VPN拓撲圖
在網上經常可以見到真假SSL VPN之爭,在飯盒看來,並不存在什麼真假SSL VPN,這不過是一些商家不負責任的宣傳手段罷了。在SSL VPN發展之初,其可用性是被人們打了個問號的,那時,其主要用於承載一些基於WEB的應用上,但純WEB應用能有多少呢?此時落差就出來了,IPSec VPN再一次得到人們的贊許,在今天看來,那時的SSL VPN就成了『假貨』。隨著技術的發展,終於通過為瀏覽器安裝Activex控件,SSL VPN也可以實現類似IPSec VPN一樣的『隧道』功能,此時SSL VPN可支持的應用就不僅限於WEB應用了,這也就是我們常聽到的『真』SSL VPN。
IPSec VPN的『隧道』連接是其優勢之處也是其劣勢之處,因為『隧道』就像一扇敞開的大門,所有流量都可以通過,但同時也無法在『隧道』中基於應用訂制安全策略。SSL VPN正好相反,特定SSL VPN會話可以僅對應某一應用,這樣就實現了細粒度訪問控制(Fine Grained),但這類基本是基於WEB的應用。這種SSL VPN應用環境是我們比較熟悉的,不是我們今天要講的話題,今天我們要向大家介紹的是『增強型』的SSL VPN,這種VPN與IPSec VPN已經非常近,它也可以建立起『隧道』,讓非WEB數據流在其上傳輸。