SSL VPN的选择与建置 [网络技术] www.IT.com.cn IT世界轻松一点

　　前言

　　近来远程访问VPN（Remote Access VPN）越来越受重视，探究其原因，不外乎是行动工作者对于企业内部信息存取的需求日益增加。而过去使用调制解调器拨接连至公司的方式则由于设备昂贵、通信费用庞大且浪费，因此除了一些大型企业外，一般鲜少使用。而本文将着重于讨论近日来新兴热门的SSL VPN技术，并先从分析两种VPN的优劣开始，提供读者多方考虑以降低选错产品的风险。而后再从SSL VPN的各种建置方式，提醒读者应注意之方向。

　　远程访问VPN的选择（IPSec vs. SSL）

　　随着宽带网络的普及与虚拟私有网络（VPN）的出现，一般企业也开始建置VPN以供员工或其它厂商进入存取。由于数据保密的需求与信道（tunnel）的建立，IPSec VPN普遍使用于这些VPN上。而此种路由器之间的VPN只需在路由器上加以设定，便可以建立起加密的通道，但是若想要由使用者计算机端与企业内部网络相连，则必须与VPN网关器（VPN Gateway）建立通道，而使用者端则必须安装客户端软件。

　　而安装客户端软件则代表增加复杂度、降低使用的友善度，首先使用者必须取得该软件，并且必须正确设定此软件，还须承担影响计算机中既有其它软件运作的风险。其次，网管人员也因安装VPN客户端软件后，接踵而来的维护工作而增加负担。另外，如果使用者在外使用的不是自己的计算机，导致无法安装客户端软件时，则形同英雄无用武之地，这也是IPSec VPN远程访问一直无法广泛被使用的原因。

　　而堪称VPN当红炸子鸡的SSL VPN即可解决上述的问题。SSL VPN运用浏览器与VPN网关器建立SSL联机，使数据既可以保密，同时企业内部网络也可经由此信道存取。最重要的是，由于它是透过使用每部计算机都有的浏览器，因此使用者可以在任何地方任何计算机存取企业内部资源。

　　当然相对的，SSL VPN也有它的缺点。由于它不像IPSec VPN在网络层上加密运作，而是在应用程序层上运作，首先效能就无法跟上IPSec VPN（目前尚无SSL VPN的硬件式加速设备）。其次，由于SSL VPN根基于浏览器，因此一些非Web-based的应用程序便必须经过测试与设定才能存取。另外使用者可以存取的应用程序必须是网络管理者事先定义好的（网管者无可避免的负担！），无法像IPSec VPN一样只要连接上网所有IP-based的应用程序都可使用、存取。而目前市面上的SSL VPN产品多能存取Outlook、Notes、Exchange、Citrix、Microsoft Terminal Service等常用软件，telnet、ftp等也多有支持。
　　
　　SSL VPN的建设

　　当网管人员选择一项网络产品时，必须考虑产品与整体架构的三个方向：安全性（Security）、扩充性（Scalability）、稳定性（Availability）。以下即针对此三点分别提出在建置时可采用的选项，以及须注意的地方：

　　安全性 Security

　　在安全性方面，目前大部分的产品都支持各种不同的认证方式，包括数字凭证（digital certificate）、LDAP、Microsoft AD、OTP（One-Time Password）、RADIUS等等。并且可以依据使用者的等级规范出允许存许的范围，限制的范围甚至可以小到URL，也可依据使用时间、远程使用者的IP地址来加以限制。另外，由于SSL VPN具备可在任何地方、任何计算机联机的好处，也相对增加黑客、病毒、网虫利用远程平台入侵内部网络的可能性，因此存取控制将是管理者一大课题。当然，也可利用产品的某些功能来减轻这类的工作，例如，某些厂商宣称可以在认证过后将agent软件推入使用者端，监视是否有执行个人防火墙或防毒软件，如果没有则限制使用SSL VPN。
　　
　　而保护内部网络资源的机制则可有多种的选择以下简介三种方式，第一可选择使用与防火墙等网络安全设备分离、平行的方式（如图一）。这种分离式的布建机制可以降低各种设备设定的复杂度，并且由于SSL VPN设定允许使用者存取的网络资源的方式属正向表列，安全顾虑也不大。

　　第二，也可将SSL VPN网关器放在防火墙的DMZ区（如图二），让使用者透过防火墙进入DMZ区连入SSL VPN网关器，再进入内部网络存取网络资源。这种方法会增加防火墙设定的复杂度，在侦错时也可能要多花些心力，而且在考虑备援时也会增加整体网络设计的困难（将在本文“稳定性”一节讨论），但透过严谨的防火墙存取政策（policy），可以让网络更加安全。