本文将对目前业界领先的六款SSL VPN产品其各自的特点做一次横向比较,同时分析SSL VPN产品相对传统的IPSec VPN产品来说有哪些突出的优点,希望能让读者对目前SSL VPN领域的发展状况有一个直观的认识。
长久以来,企业一般都是通过部署IPSec VPN来为移动用户和商业合作伙伴提供访问其后台服务和资源的远程接入通道。现在对于站点到站点(Site-to-Site)的通讯,IPSec VPN恐怕仍是唯一的解决方案,但在客户到企业(Client-to-Enterprise)的连接这方面,IPSec VPN却面临着迅速失宠的尴尬局面,原因之一就在于随着客户端用户人数的增长,为他们安装IPSec VPN客户端和提供技术支持的工作已经让众多网络管理员不堪重负。另外,IPSec隧道也为攻击者留下了打通企业防火墙并直接威胁中心网络所可以利用的通道。
考虑到IPSec VPN存在这些基本的问题,也就不难解释为什么现在SSL VPN越来越受到IT管理员们的关注。SSL VPN不需要安装其他的客户端软件,只要有支持SSL的浏览器就行,自然也就不需要对客户端进行什么维护和支持了,这不但节省了IT人员大量的时间和精力,同时也意味着远程用户在进行远程访问时不会再受到地域的限制,不论是在公共网吧或是在商业合作伙伴那里,甚至是随手借一台笔记本,只要有网络,远程访问就没问题。
更重要的是,SSL VPN的实现不需要任何连入企业的开放的隧道,SSL VPN会对每个连接执行相应的安全策略,并能依据不同的用户身份、地域和(或)设备为其分配访问相应资源的权限,如果再配上良好的安全控制策略,那么在管理员没有明确许可的情况下所有资源都将受到保护并被禁止访问。
下面我们要对六款来自不同厂商的SSL VPN设备进行评测,看看做为产品来说它们到底是否成熟,是否有能力替代现有的企业级IPSec VPN产品,并且看看其中是否有哪一款能够脱颖而出成为部署SSL VPN的首选。
随着产品的不断发布与升级,SSL VPN技术也在逐步走向成熟。下面要评测的产品许多已经发展到了第三代,从技术上可以说已经相当成熟,主要的区别在于它们实现安全策略和处理远程接入端的方式,以及对终极用户来说整体使用体验的透明感等等。
存取访问策略的粒度是SSL VPN产品的一大亮点,这里评测的所有产品均支持让管理员按照不同的登陆用户和登陆地点创建并分配相应的访问权限,另外它们也都支持某种终端安全检测软件,只不过有些比其他做地更好一点。终端安全检测软件可以扫描分析一台客户端设备并评估该设备的安全级别,再依照预先定义好的“信任域”为其分配相应的访问权限。举个例子,检测软件可能会发现某台笔记本上不但运行有防病毒软件而且还装了个人防火墙,按道理其安全级别应该足够高,但由于这台笔记本正在使用“星巴克”提供的无线接入服务进行连接,这时候SSL VPN设备就只会为其分配代理访问权,而不象IPSec VPN第三层隧道那样将整个企业网络暴露在访问者面前。目前终端安全控制还没有一套工业标准,不过一些公司如Cisco和微软正在开展相关的工作以改变这种局面。
除了访问控制外,所有这些我们评测的产品都提供其他额外的安全控制措施。比如它们都支持“安全浏览”客户端,这些客户端在SSL会话期间能创建所谓的虚拟沙盒(Virtual Sandbox),当用户关闭连接后,期间所产生的所有临时文件和会话信息也将随之彻底消失。另外这些SSL VPN产品绝大多数都附带用于客户机的缓存清除软件,它们能跟踪用户的动作并在会话结束后删除相应的临时文件、cookie和其他会话信息,这些措施对于那些使用公共电脑进行连接的用户来说非常重要,不过相比较而言它不如虚拟沙盒有效,因为被删除的东西常常有被恢复的可能。
其他一些功能对某些客户来说也具有相当的吸引力,比如虚拟局域网和集群。虚拟局域网可以在同一物理网络内对数据流进行隔离,这点对服务提供商和大型企业来说非常有用。而利用集群的自动错误恢复和负载平衡机制则能保证SSL VPN服务的高可靠性,并且能很容易地扩展服务所支持的并发在线人数,甚至能达到上千人。由于我们所要评测的产品在性能上基本打成平手,所以对客户来说其购买天平最终倾向哪款产品常常是由某些额外的特色功能所决定的。