SSL VPN之技术演变和遥访门系统（Remote Access Pass ）

　   远程访问办公室内部网络资源是各个公司的IT部门最头疼的一件事情，而且这样的头疼由来已久了。

 

　　每天都有成千上万的网络管理员会收到大量要求解决他们网络VPN 安装设置问题的用户电话。被搞得焦头烂额的用户在他们的机器上执行了一些操作，使机器突然之间不能与他们的IPSec VPN连接了。是因为他们外出所在酒店或旅馆的NAT或防火墙设置问题吗？这些设置总是千变万化，公司管理员们真的已经厌倦了做这些费力不讨好的事。
　　对于改变防火墙和内部结构设置，为了与外部人员区分开，公司网络管理员要花费大量时间和精力给公司内部员工进行VPN 客户端配置工作。如何让外出公干的销售人员成功实现安全远程内部访问着实让网管人员费了些心思，如何让他们使用自己的电脑实现在家时查阅email 或访问公司内部重要数据呢？是否管理员要发给他们一张CD 并指导他们如何进行安装设置呢？直到现在，许多公司的网管人员还在被这个问题纠缠着，最近就有一个网络管理员这样说：“要在员工家里的计算机上安装VPN 客户端必须做的工作实在是太多了，为此我们不得不再发给员工另外一台配置好的电脑，让它专门在家里使用。这样做的花费比指导员工自行安装来得要少些。”
　　公司企业需要易于使用的安全远程访问连接，看起来IPSec VPN 实在是太麻烦了！他们不能轻而一举地给客户或是合作伙伴配置让他们安全访问内部数据。我们的最终目的就是在简单易用的前提下提供高性能的安全远程数据访问能力。公司该如何应对这种情况呢？答案到底在哪里？

　　一、SSL VPN的技术演变
　　演化过程
　　随着应用程序从C/S 结构向Web 的迁移，企业必须面对一个新的挑战，就是如何在不影响最终用户使用的前提下实现在任何地方灵活访问这些应用程序。在最近20 年间，用户和管理层听到因为安全原因不能够在公司以外访问内部应用程序的声音不绝于耳。在70 年代，人们对远程访问概念几乎等同于从远端的办公地点访问应用程序，这需要设置非常昂贵的WAN 网并租用连接线路。
　　到了80 年代，一小部分用户可以使用调制解调器直接拨号到modem banks 或他们自己的PC 上，但是使用费用相当高昂只能有非常有限的小部分人使用。而且在那时候，在家使用个人电脑才刚刚成为主流，远程访问需求还不是很大。随着90 年代的来临， 在家用PC 盛行的同时，移动电脑开始显现，在家办公也开始兴起。公司管理者和销售员们开始在外出出差的时候携带他们的笔记本电脑，他们需要实时访问公司内部信息，设立IPSec VPN 可以保护用户远程访问。它可以提供足够的安全性，但是问题是安装和维护相当麻烦。任何在PC 上的改变对VPN 而言可能都是一场灾难，最终用户不得不硬着头皮忍受这些变化，因为他们别无选择。即使是现在，你也很难找到一个用户，他的VPN 一点儿问题也没有。从管理员的角度来讲，使用IPSec VPN 不仅仅意味着要对客户端进行安装和调试，而且还需要调整整个网络的结构。在数据包进行传输时NAT 不能完全工作正常，有时候会出现连接断开的现象，改变防火墙设置可以解决这一问题但是必须要做大量的管理工作。如果IT 管理部门可以完全控制从后端到客户的网络结构，其管理复杂性可以忍受；当IT 管理部门不能完全控制时，管理复杂性就要成倍增加。这种情况同样发生在本地NAT 和防火墙对合作伙伴，在家里或在酒店。
　　如今， 公司开始把眼光放在他们是否选择了合适的安全远程访问系统上。使用IPSec VPN 和租用WAN 线路对于不经常更改网络结构的用户来说是非常好的选择。如果情况并非如此，用户就需要另做选择。现在，已经有公司开始考虑使用架构在因特网上的SSL 协议，在不破坏已有网络布局的前提下进行安全远程访问。SSL 是通过因特网进行加密传输保护一种常用方法，许多公司对他们的内部网和外部网执行了SSL 设置，通过SSL VPN 进行访问控制。

　　SSL VPN 的定义
　　SSL VPN 的发展对现有SSL 应用是一个补充，它增加了公司执行访问控制和安全的级别和能力。
　　SSL VPN 还对那些因为使用远程访问应用系统而降低公司安全性的企业有所帮助。从属性上讲，拨号可以保证相对安全性，因为特定的电话线可以确认用户的身份。客户端/服务器和旧版本的VPN 自身也拥有一定级别的安全保障能力，因为客户端软件是需要安装的。但是，以这样的安全策略和属性， 不可否认，黑客入侵、安全威胁、身份欺诈呈增长趋势。现在，使用SSL VPN，安全特性已经发生了改变，人们可以通过浏览器访问应用程序。
　　如果把SSL和VPN两个概念分开，大多数人都清楚他们的含义，但是有多少人知道他们合在一起的意思呢？从学术和商业的角度来讲，因为他们代表的含义有所不同，因而常常会被曲解。
　　SSL通过加密方式保护在互联网上传输的数据安全性，它可以自动应用在每一个浏览器上。这里，需要提供一个数字证书给Web 服务器，这个数字证书需要付费购买，相对而言，给应用程序设立SSL 服务是比较容易的。如果应用程序本身不支持SSL， 那么就需要改变一些链接，这只与应用程序有关。对于出现较大信息量的情况，建议给SSL 进行加速以避免流量瓶颈。通常SSL 加速装置为热插拔装置。
　　VPN 则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。过去，VPN 总是和IPSec 联系在一起，因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层，IPSec VPN 则多用于连接两个网络或点到点之间的连接。
　　以上我们简要介绍了SSL和VPN，现在我们要了解一下SSL和VPN是怎样结合在一起的？大量理论可以证明SSL的独特性以及VPN所能提供的安全远程访问控制能力。到目前为止，SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器（包括家用机，工作机和客户机等等）需要与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全远程访问的新生代。

　　什么是SSL VPN？
　　很多因素都可以证明SSL VPN 是解决远程访问问题的救星。随着越来越多的公司挣扎于如何权衡访问控制、安全和用户易用， SSL VPN 已经给出了最好的答案。在最近Infonetics 的一份调查报告中，他们指出： “到2003 年，59% 的移动用户会使用VPN， 到2005 年，这个数字将上升到74%；增加的部分大多来自SSL VPN， 因为它可以避免客户端安装和管理所带来的麻烦。" Gartner 副总裁John Girard 在最近的一份研究报告中为SSL VPN 做出了精彩评述：” 作为传统VPN 的升级，那些希望使用更加简单更加灵活的方式部署他们的安全远程访问系统的企业应该考虑使用SSL VPN 作为一项新的投资。现在，许多企业已经开始使用这项基于SSL 技术，简单、易用而且不需要高额费用的VPN 解决方案部署他们的系统了。“
　　SSL VPN 的价值包括许多方面，最主要的是提高访问控制能力，安全易用以及高额的投资回报率。
　　访问控制SSL VPN 对访问控制更加有效，因为实施了用户集中化管理。所有的远程访问都是通过SSL VPN 控制台进行控管，这样可以更加有效的监控用户使用权限，这些用户可能是公司内部员工，合作伙伴或客户。所有访问被限制在应用层，而且可以将权限细分到一个URL 或一个文件。
　　而使用IPSec VPN， 安全权限只局限到网络。

　　二、 SSL VPN 之RAP“遥访门”

　　Remote Access Pass （遥访门系统）
　　安全的远程访问解决方案
　　介绍
　　Remote Access Pass （遥访门系统） 能够实现基于浏览器来安全地访问企业局域网内部的任何一台Windows PC.键盘、鼠标以及显示界面的变化被大比例的压缩并加密后传输。使用宽带的用户能够逼真地得到“身临其境”式的体验，即使通过拨号连接，用户对于它那令人赞叹的优异性能也会感到满意。

　　Remote Access Pass （遥访门系统） 包括以下功能：
　　远程控制：基于任何一个浏览器都可以运行自适应程序，通过它就能够交互访问企业内网中的桌面应用（哪怕这个应用不是基于WEB的）。

　　文件传输：在计算机之间快速地传输文件、文件夹和共享目录资源，而且非常简便易用。上传下载文件速度等同于FTP。

　　远程开机：用户可以远程唤醒位于企业内网中自己的主机。

　　Java JSP：动态运行在任何远程终端上的JVM网页。

　　Java Applet：能够运行在任何远程终端上的遥控访问连接，远程用户端支持几乎所有的操作系统，包括Windows、Mac或者Unix PC.

　　Remote Access Pass （遥访门系统） 的整体结构由以下五部分组成：

　　企业内网主机：处于内网中的目标机控制权属于用户自己，由已被授权的用户注册目标计算机。在注册过程中，将由遥访门基于RSA算法产生证书给目标计算机，连同目标计算机的私钥存于目标计算机中，以认证目标计算机和用户的所属关系及建立SSL安全通道。

　　远程终端：在用户端，工作人员需要打开浏览器，访问企业的公共IP地址，输入用户名和密码，然后点击所要连接的目标主机名。远程用户端会自动向App模块发出一个基于SSL协议的加密请求。

　　App模块：侦听外来的连接请求，并把他们映射给注册的目标机。
　　通过远程浏览器动态运行JSP与该模块中的Java servlet的对应交互， 实现认证及文件的传输。 同时，当一个远程遥控连接完成，App会分配一个session任务给Relay.此时，远程终端的Java Applet程序自动装载运行，任何一个细小或简短的事件都会被精确地执行。

　　Relay中继：负责在远程终端和内网主机之间传送高压缩比的加密数据包。

　　Admin系统管理平台：可以使企业管理员轻松地完成增减用户，设定帐号临时失效或有效，删除目标主机等工作。
　　任何一个企业最关心的都是如何保持企业网络的完整性和敏感数据的机密性。基于Internet来向移动工作者扩展企业的网络应用时，安全是最关键的要素。

　　Remote Access Pass （遥访门系统） 正是基于密钥安全措施来得以建立和发展的，正如本文所描述的那样。

　　彻底的安全性
　　Helm Systems提供的Remote Access Pass遥访门系统是一个非常强大、坚固和安全的系统。

　　安全的设备
　　Remote Access Pass （遥访门系统） 作为硬件工作设备，对于未授权的普通人员是无法对其进行控制和管理的，甚至它连显示屏幕都没有提供。只有企业的系统管理员才能够通过登录来对其进行管理设置，而且所有的操作都是非常简单和容易的。

　　安全的应用平台
　　Remote Access Pass遥访门系统运行在坚固的、高品质的、可靠的Linux应用平台之上。所有的遥访门系统都通过了突破测试，它们时刻监察着任何可疑的行为并做出详细的系统记录。

　　可靠的、伸缩性的系统结构
　　整个系统结构设计是可靠而又安全的，支持集群及冗余功能保证了系统的高实用性和伸缩性。
　　大量的图像压缩和加/解密工作分布在远程终端和内网主机上，而遥访门系统的核心模块则主要负责在连接之初对用户和微机双方的身份进行验证、在远程终端和内网主机建立连接后的交互会话过程中，不断对双方身份的真实性进行再次验证以及抵御外界的非法侵入。这样就非常有效地解决了常见的网络瓶颈问题，而使系统能够得到最佳性能。

　　保护用户的机密
　　Helm Systems知道，任何一个企业对于网络建设最关心的是安全性。Remote Access Pass （遥访门系统）提供强大的安全保密策略来保证个人用户或企业的信息不被泄露。
　　访问用户信息企业的系统管理员是唯一能够管理控制Remote Access Pass （遥访门系统） 的人，当然，这是在被允许的受限范围内。为了进行更好地技术服务，他们要进行一些大家都知道的必需的基本工作。
　　Remote Access Pass （遥访门系统） 的session记录将被企业用来进一步提高网络服务的质量和进行性能分析。遥访门系统记录了交互通讯中的域名、浏览器和MIME类型。当然，这些数据是集中体现和记录的，它不会同任何的个人或企业帐号发生关联。

　　确保传输的保密性
　　使用Remote Access Pass （遥访门系统），系统管理员能够访问到企业内帐号的使用摘要，而不会访问到某个用户的远程联接中去。事实上，尽管Remote Access Pass （遥访门系统） 的Relay中继承担着远程终端与内网主机之间的交互传输工作，但这些信息包都是加密传输的，任何人都无法破解传输信息。除了使用者之外谁也无法拥有产生密钥的计算机遥控密码，因此每个人建立的session活动都不会受到任何的安全威胁。

　　安全的管理策略
　　Remote Access Pass （遥访门系统） 为企业的系统管理员提供一个安全的系统管理平台，通过它可以控制管理那些合法职员的访问和阻止未授权人员的连接。

　　安全的操作界面
　　在线的系统管理平台无须安装任何客户端软件，只需通过一台内网计算机采用浏览器就能实现管理。一旦企业安装部署了Remote Access Pass （遥访门系统） ，该企业的系统管理员会收到详细的使用说明。
　　Remote Access Pass （遥访门系统） 基于X.509数字签名体系进行验证，管理员身份还需通过用户名/密码的再次认证。建立连接后，所有的传输管理都是基于加密的SSL协议来进行，以此保护企业和个人机密不被泄露和修改。

　　添加新用户
　　只有系统管理员是唯一被授权可添加新用户的人，管理员通过系统管理平台可以轻松地进行增加用户的操作。系统会向每个新用户发送邮件，邮件信息中包含了暂时的随意密码。之后，用户自行更改密码。
　　该密码通过MD5等一系列不可逆算法变换成新的大数密码存入数据库，以便认证。这种方式非常适合企业进行大范围的网络部署，而又保持了严谨的企业认证管理。
　　停用和删除用户帐号系统管理平台还可被用来检查个人或群组的活动状态，可以临时地停用或永久地删除用户帐号。对于受到影响的用户，系统会自动向他们发送邮件来说明帐号被停用或删除的信息。在其后，这些帐号的用户，他们的访问要求都会遭到拒绝。

　　安全的安装服务
　　Remote Access Pass （遥访门系统） 的软件安装和升级程序都是从企业安全的角度来考虑和设计的。

 

　　数字签名的应用软件
　　在内网中的用户通过“注册计算机”操作来进行主机服务程序的自动下载。在注册过程中，将由遥访门基于RSA算法产生证书给目标计算机，连同目标计算机的私钥存于目标计算机中，以认证目标计算机和用户的所属关系及建立SSL安全通道。内网主机的注册程序是必须的，而客户端则不需要安装任何软件。
　　所有Remote Access Pass （遥访门系统） 的应用程序都是经数字签名的，而且它们会保持自动更新和升级。所有的安装和升级过程都要经过签名验证，这是为了防止那些伪装成合法Remote Access Pass （遥访门系统） 软件的“特洛伊木马”程序。
　　在客户端没有任何安全参数的设定，系统只验证用户的登录名、帐号密码和计算机遥控密码。此举是为了防止用户发生错误的参数设置，因此，每个用户都要安全地保护自己的密码。

　　防火墙的兼容性
　　Remote Access Pass （遥访门系统） 具备防火墙友好性。它仅利用HTTP/TCP的80、443端口实现访问。因为大多数的防火墙都是开放了这些端口与互联网进行通讯。使用遥访门系统进行远程访问，您就不需要设置旁路访问或对总公司、分公司、远程办公场所的防火墙设置进行任何改变。
　　许多其他的解决方案都要求目标主机具有公用的IP地址。而Remote Access Pass遥访门系统则不同，内网主机会以固定的时间间隔，向App模块不断发送“Upcall”命令以检查连接请求。这就使得遥访门系统同各种应用代理的防火墙、动态IP、NAT/PAT设置完全兼容。因此，企业能够非常容易和简单得对Remote Access Pass（遥访门系统）进行控制管理。

　　保护计算机访问
　　企业内网中的目标主机必须进行遥访门系统注册才能够建立远程连接。注册程序必须在目标主机前物理地进行，它不支持远程部署，这样也防止了“安置”特洛伊程序的可能。
　　只有已被授权的用户才能对自己的微机进行注册。作为计算机的拥有者，他必须以授权的用户名、临时密码登录，然后开始进行自身微机的管理工作，包括注册目标主机、修改临时密码和建立计算机遥控密码。

　　保护机密数据
　　Remote Access Pass （遥访门系统） 将数据形成高压缩比的加密包来传输，它能保证数据的安全性而并不以牺牲性能为代价。所有在客户端和目标机之间的传输应用，例如屏幕图象、文件传输、键盘/鼠标输入等，都是基于安全的SSL协议的加密保护。
　　当每一次合法联接最初建立之时，遥访门系统会为其分配一个一次性的随机32位数。通过这个随机数系统可以确定当前连接的唯一性，这样就防止了黑客采用重放技术进行攻击或加入合法连接的可能。
　　对于第三方攻击者来说，加密的二进制数据使得通过传输分析来修改信息包或猜测加密密钥的工作变得极度困难。

　　受严格验证保护的访问
　　Remote Access Pass （遥访门系统） 的机密性是建立在严格的、强大的验证基础之上的。Remote Access Pass （遥访门系统） 的每部分，包括App模块、Admin管理平台、Relay中继、远程终端和内网主机都会得到同样严格地验证，只有验证通过才能够加入到安全的企业资源中来。
　　长串组合的复杂密码Remote Access Pass遥访门系统要求每个被设定的密码可以包含字母和数字，并支持大小写敏感。密码设置的越长、越复杂，就会得到越强壮地保护。

　　多级的嵌套密码
　　用户在输入登录密码时，遥访门系统采用了密写技术来保护敏感数据，输入的密码都采用了密文显示。
　　Remote Access Pass （遥访门系统） 使用多重嵌套密码以保证其安全性。APP模块使用数字签名进行自身验证，对于所有的Java程序和系统软件它都会进行数字签名。远程用户的验证通过基于MD5算法加密的用户名/密码登录来实现。当内网主机向App注册时，将由遥访门基于RSA算法产生证书给目标计算机，连同目标计算机的私钥存于目标计算机中，以认证目标计算机和用户的所属关系及建立SSL安全通道。

　　端到端的验证
　　当远程终端同内网主机建立连接时，他们同样使用用户二次输入的密码（计算机遥控密码）对保护数据的密钥来进行加密交换， 即使用遥控密码对这个密钥码进行数字签名。达到远程终端和内网主机间数据包的加解密。该密钥保护基于Trib-DES算法的签名信息来进行相互的认证。
　　只要用户安全地保护他的密码，那么就只有他本人才能够建立与内网主机的连接。

　　休止超时设定
　　远程访问者可能会没有Logout就离开了公用的PC或是无人管理的家用PC.Remote Access Pass（遥访门系统）会采用休止状态的超时设定功能以减轻来自这方面的危险。如果用户的Session保持15分钟的休止状态，远程用户帐号将自动从Remote Access Pass （遥访门系统） 退出登录。

　　远程终端不留痕迹
　　远程终端仅使用浏览器及动态运行Java JVM， 当用户退出该应用或关闭浏览器后， Session将被清除， 在远程终端不会留下任何用户痕迹。

　　系统级的访问控制
　　Remote Access Pass （遥访门系统） 提供系统级的远程访问控制技术，能够使用户更有效的控制企业局域网中的资源。使用遥访门系统的远程用户输入他的Windows登录密码，而后他就取得了企业为其授权的文件级、拥有者和域级许可权限。换句话说，远程用户并没有另辟奚径来访问企业内部网，他们只能进入到专有的桌面应用，而且是在现有局域网的管理控制之内的。

　　为公司提供监控访问
　　通过Remote Access Pass （遥访门系统） 的系统管理平台，企业可以记录连接情况和维护session日志，这都是出于安全、统计和审核的目的。
　　企业的系统管理员能够查看活动中和历史的session记录。包括用户名、主机名、客户端的IP地址、session的开始/结束时间、session使用时间以及session的类型。
　　同样也能够通过遥访门系统的Admin管理平台，来统计各种所需的数据，包括用户数量、session统计、session接入时间等。标准的统计报告可用来进行“非常规访问”模式的分析，包括例外的长时间session、意外的客户端IP地址、异常关闭的代码等。这些信息对于进行故障诊断、排除问题是非常有益处和帮助的。
　　系统管理员对于这些信息的访问都是在限制范围之内的，他们只会进行一些必要的基础工作。

　　远程内网WEB服务器访问
　　总结
　　SSL VPN之RAP的作用：提供安全的远程访问服务并以实际行动来保护用户的机密；不断完善企业级结构的安全和远程访问控制工具；采用多级认证和先进的加密技术来保护交互式的远程session的安全性。其最终结果就是：Remote Access Pass （“遥访门”系统） 是强大的、安全可靠的远程访问解决方案。

　　国外SSL VPN的技术优势、劣势
　　1、 大部分国外产品经过国外市场的考验，基本上是成熟产品，但是不乏有一些为了赶上SSL VPN这个时髦概念的伪SSL VPN产品。
　　2、 国外的SSL VPN除了whale communications外其他的产品都是采用的反向代理技术来处理内部的HTML网页，所以导致很多特殊的应用不能支持。
　　3、 很多国外产品并不是严格的无客户端的产品，在很多实际应用的时候采用了动态下载插件或者ActiceX等方式，带来不安全隐患，而且技术上也比较简单，容易实现。
　　4、 国外SSL VPN 通常不支持远程桌面的访问。
　　5、 国外的SSL VPN产品目前来讲，支持的应用比较丰富，比如邮件、lotus 、exhange、ftp、telnet、等应用目前已经支持。

 

转载：http://www.2000xg.com/article.asp?id=819