虚拟专用网络(VPN)已经成为了公司合作伙伴或员工远程安全访问公司资源的事实标准。在本文中,我们将试图解释两种特定的VPN类型,即IPSec VPN和SSL VPN,以及这两种类型应该如何选择。
然而,在深入研究这两个不同类型之前,需要首先对VPN技术进行一个简要的概述。VPN是指有利于远程访问公司资源的一系列技术。这种技术的主要用户,是试图在家或者其他公共场所访问公司资源的公司雇员,以及在公司的基础架构内支持各种系统的合作伙伴或第三方。VPN一般通过在远程站点和公司网络之间建立一个加密通道的方式,利用公共长途IP网络来进行数据传输,这些远程站点包括雇员的笔记本电脑或者第三方系统。
关键技术
当前,最为普及的两种VPN技术分别是基于传统网络安全协议(IPsec)的VPN技术和安全套接字层(SSL)VPN技术,前者主要作用于网络层,而后者主要作用于应用层。它们的不同之处在于:使用的底层技术不同,所服务的功能不同,以及潜在的VPN安全风险不同。
IPsec最初的设计是提供点到点的,在远程站点和中央办公室资源之间进行不间断的连接。在这种情况下,客户端可以是分公司或者供应商。这个协议被设计为工作在网络堆栈的更底层(第3层,网络层),并可以用来传输任何基于IP的协议报文,而不用理会应用程序所产生的流量。随着移动办公时代的到来,IPsec已经得到扩展,用户通过使用一个安装在移动设备上的专用VPN应用程序(客户端)就可以进行远程访问。
另一方面,SSL VPN在设计时就考虑到了移动办公。它的预期目标是提供一个无缝连接的、无客户端的远程访问方式。这样,SSL VPN可以被看做一个应用程序代理,远程用户使用浏览器就可以以某种粒度访问公司的特定资源,而不再需要安装客户端。
优势与劣势
IPsec的关键优势在于它在站点之间提供一个永久连接的能力。工作在网络层(网络堆栈的第3层)也使其与应用程序无关:任何基于IP的协议都能够通过它进行传输。这使得IPsec相对于那些昂贵的租用线路或者专用线路,是一个相当有吸引力的替代品。它也可以作为一个备份链路,即在连接远程站点和中央办公室的主租用线路或专用线路崩溃时起作用。
然而,IPsec中与应用程序无关的设计也是它的弱点。虽然它提供了认证、授权和加密,同时还基本上把公司网络拓展到任何远程用户,但是它没有能在一定粒度级别上限制对资源的访问。一旦隧道建立,远程用户通常可以访问公司的任何资源,就像他们是直接连接到公司网络一样。因为移动办公需要允许诸如智能手机和家用电脑等非托管的IT设备访问公司资源,所以这些安全问题显得更加严重。IT部门对这些设备没有任何可视性和控制权,而且不能保证这些设备符合通常在托管设备上实施的安全水平。
另外,IPsec也需要更多的维护。除了需要建立终止通道的设备,还需要额外的配置和维护来支持远程用户群。在公司使用网络地址解析(NAT)的情况下,还需要特殊的配置确保IPsec与NAT设置充分协调。
相比之下,SSL VPNs从设计的一开始就支持远程访问。它们不需要安装任何特别的软件。远程访问是通过一个基于浏览器的使用安全套接层(SSL)的会话实现的。SSL VPNs还为企业提供粒度级访问控制的能力。特定的身份验证和访问应用程序的授权方案可以被限定在一个特定的用户群。内置的日志记录和审核能力能处理各种合规要求。SSL VPNs还具备在连接到企业的远程设备上运行主机合规性检查的能力,以验证它们配置了合适的安全软件,并安装了最新的补丁。
但这并非意味着SSL VPNs就是所有IPsec缺点的灵丹妙药。当一个远程站点需要与主办公室建立不间断连接时,SSL VPN不是合适的解决方案。与应用程序无关的IPsec能以最小的代价支持大量传统的协议和传统客户/服务应用程序。这与围绕基于Web应用构建的SSL VPNs是不同的。许多SSL VPNs通过在远程设备上安装一个Java或者基于ActiveX的代理控件来解决这个缺点。通常情况下,在远程设备成功通过SSL VPN设备的验证后,相关的安装会准确无误的实现,但是值得注意的是,ActiveX和Java都有其自身的安全缺陷,这也是攻击者通常试图利用的一点。
IPsec VPN还是SSL VPN?
在企业中,每种VPN方案都有其用处。理想情况下,因为SSL和IPsec VPNs服务于不同的目的且具有优势互补的特点,所以它们都应该被采用。IPsec应该在需要与远程办公地点或者合作伙伴/供应商建立不间断连接时使用。这种情况下,粒度访问控制限制和缺失的主机检查能力应该通过一个网络访问控制系统来增加,这就可以确保只有通过验证的远程主机才能连接到企业。在粒度访问控制能力,审核和日志记录,以及安全策略控制等因素至关重要的移动办公情况下,企业应该主要使用SSL VPNs作为远程访问方案。但是请记住,不管你的VPN选择或特定需要如何,一个VPN必须更新,测试并进行性能检测,而且它是作为利用综合性策略和各种网络安全技术的深度防护战略的一部分。