SSL VPN自出现之日起就作为一项主要的技术使企业大大降低其远程存取的费用,同时通过互联网提供专用性的交易服务。VPN带来了巨大的商业价值,但是,只有具备了这样一种前提条件才能够实现这种价值,那就是能够提供适当等级的保护,确保那些只能由获得认证的用户才可以访问的企业信息。为此,它必须能够提供功能强大的认证屏障,能够积极完成对每一名用户和网络完整性的识别,使数据在经过互联网进行传输的过程,不会被篡改。
SSL VPN可以通过特殊的加密通讯协议,在Internet一端的出差员工和另一端的公司总部之间建立一条专有的通讯通道,就好比架设了一条专线。与传统 VPN解决方案相比较,SSL VPN使用维护简单,不用更改现有网络结构;移动性强,无序安全客户端程序;具有强有力的访问控制能力,可以使移动用户轻松访问公司内部B/S和C/S应用和其他核心资源。
作为传统的解决方案,远程存取的完成所利用的是租用专线拨号连接的方法。尽管这种方法的效果相当好,但是,它最典型的缺陷是传输速度偏低,并且巨大的网络费用也使你很难向用户提供他们所需要的服务。但是, SSL VPN可以使你充分把互联网的强大功能运用到远程存取方面。采用这种做法不仅明显地降低了费用;提高了工作效率,改善了服务质量,并且可随时随地的存取信息。目前,许多厂商推出了自己的SSL VPN产品,但是,一个理想的SSL VPN解决方案应该具备以下五大特色。
一、具备强有力的安全保障
我们说SSLVPN是建立在企业移动人员和公司总部之间的一条专用通道,在这条通道中传输的数据是企业内部数据,是不公开的。因此必须要在安全的前提下进行远程连接,以SafeNet公司iGate4.0为例,其安全性包含三层含义:一是客户端接入的安全性;二是数据传输的安全性;三是内部资源访问的安全性。
对于远程移动用户,SafeNetiGate推荐使用iKey+PIN码方式进行认证。iKey是一种用户鉴别身份的 USB硬件设备,和使用ATM机上用的银行卡一样,只有插入iKey并输入正确PIN码后才能通过认证,单有iKey或者只知道PIN码都是行不通的。第二,在合法用户通过验证连接到公司内部网后,客户端设备的安全性就成为影响整个局域网的核心。虽然内部网络建设非常坚固,但是由于移动人员可以使用笔记本电脑、PDA以至于网吧中的公用电脑登录公司内部系统,客户端设备是否安装了个人防火墙防病毒软件就成为黑客病毒入侵企业内部的关键点。 SafeNetiGate中设置了专门的客户端检测功能,它可以扫描出客户端安装的防火墙及防病毒程序,并确定它们的安全级别,从而判定此设备是否满足接入条件,确保整个系统的安全性。第三,在移动用户完成远程访问后,黑客或不法分子可以通过拷贝、复制驻留在客户端缓冲区内数据盗取企业机密。为此, SafeNetiGate在用户离线后可自动清除用户缓冲区的内容。另外,在拔除iKey后,访问也会自动中断。
二、支持全面应用的连接
最早推出的SSLVPN产品只支持Web应用的远程连接,由于大多数企业应用状况非常复杂,企业往往不仅仅应用基于B/S结构的应用程序,还要应用传统的C/S应用和其他非TCP应用,如UDP,这在一定程度上制约了SSLVPN的发展。随着产品研发和升级的推进,目前SafeNet iGate已经支持全网连接,包括基于TCP协议的B/S和C/S应用,UDP应用,如WebDav、SMB文件共享访问、标准email协议、 Lotus Note、Telnet服务、远程终端、Citrix等。
三、易于管理和维护,使用操作性强
SSLVPN的突出优势之一就在移动性强、易用性强,但这些特性往往会增加管理难度。SafeNetiGate界面简单、使用方便、可以灵活、细致地设置访问权限,采用基于用户/组/角色的认证机制,每个文件、网址或应用都可进行单独设置,使访问控制更易于管理。同时,SafeNet iGate还可以直接使用现有的用户数据库进行认证和权限分配,因此可更好的利用现有资源,大大降低管理员的工作强度。对于所有远程访问,iGate会通过报告工具自动纪录访问时间、会话活动和预警信息,管理员可以按照日期、使用情况或组别以图表方式进行描述。
四、不因为处理SSL降低运行效率
由于是集中系统,SSL加速决定整个网络的吞吐量。如果SSL加速跟不上,远程接入就会比实际的Internet接入带宽低很多。 SafeNetiGate采用专门的SSL加速硬件,从而提高了VPN的响应速度。另外,通过数据压缩技术,iGate对所有的传输数据进行压缩后再进行传输,这样就提高了整个网络的运行效率和实用性。
五、运行稳定,无网络中断现象
接入的稳定性是满足用户远程访问的另一关键因素,用户不可能容忍经常出现网络中断现象。过多的功能有时会影响接入稳定性,SafeNetiGate对所有功能进行了优化,使系统拥有良好稳定性。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
工业控制系统网络应防范“内鬼”
来自内部的安全威胁可能比很多外部攻击更强烈,更有破坏力。对于管理着关键基础架构和制造过程的工业控制系统网络来说,尤其如此……
-
RC4加密还可以应用在企业中吗?
最近的一篇论文表明有攻击可攻破RC4加密以及解密用户cookie。那么,这种攻击的工作原理是什么,企业应该如何避免这种攻击?RC4是否还有用?
-
PCI DSS 3.1发布:商家需提供详尽的新SSL安全管理计划
新版本的支付卡行业数据安全标准(PCI DSS)已经发布,其中不仅要求商家做好准备摆脱有问题的数据加密协议,还要求提供有关他们打算如何实现这种转变的详细计划。
-
Blue Coat启动加密流量管理就绪认证计划
ETM就绪认证计划旨在帮助Blue Coat业务保障技术合作伙伴将可互操作的SSL可见性解决方案集成到Blue Coat体系结构,形成一流的安全产品,有效地检测、防御和消除隐藏加密流量中的威胁。