專家教你SSL VPN部署的注意事項，SSL VPN部署不當就會出現(xiàn)掉線，斷流等等問題。深入了解SSL VPN部署配置中的細節(jié)問題對于我們而言是一件很重要的事情，接下來就要詳細地介紹相關(guān)知識。

幾年前，如果想把局域網(wǎng)擴展到組織機房以外的區(qū)域，撥號/專線幾乎是唯一的選擇。隨著技術(shù)不斷的改進，組織經(jīng)歷了Modem撥號、DDN、Frame Relay(幀中繼)、ATM和SDH的不斷演變，但專線的成本高昂和缺乏彈性的特點從未得到徹底改變。Internet的發(fā)展給我們帶來了虛擬專用網(wǎng)絡(luò)(VPN)，通過利用無所不在的互聯(lián)網(wǎng)，VPN把經(jīng)濟性和部署彈性發(fā)揮到了更高的水準，成為了取代專線的首選方案。

在TCP的網(wǎng)絡(luò)層，IPSec協(xié)議通過預共享密鑰和高強度加密算法實現(xiàn)了局域網(wǎng)的安全互聯(lián)，讓組織的分支機構(gòu)融合到了總部的局域網(wǎng)，分支機構(gòu)可以根據(jù)其網(wǎng)絡(luò)規(guī)模和使用人數(shù)選擇和總部連接的方式，硬件VPN網(wǎng)關(guān)，或是VPN客戶端，前者部署在分支機構(gòu)的局域網(wǎng)，后者直接安裝在使用者的PC操作系統(tǒng)上。

然而，組織的成員不會永遠安坐在辦公室，當他們“移動”起來時，例如回到家中、參加會議、出差考察，環(huán)境的頻繁變化讓IPSec難以應對。組織的外界環(huán)境迅速膨脹，合作伙伴、股東、審計部門、供應商、經(jīng)銷商都被納入了組織的網(wǎng)絡(luò)外延，他們需要接入到組織的內(nèi)網(wǎng)，以訪問他們所關(guān)心的應用資源和數(shù)據(jù)報表。

IPSec的部署問題會讓企業(yè)的網(wǎng)絡(luò)人員成為合作伙伴 “公用”的網(wǎng)管。IPSec客戶端不停的安裝、調(diào)試和維護將會成為網(wǎng)管人員生活中不可或缺的一部分，無論你是在工作時間還是8小時之外。

問題還遠沒有結(jié)束，基于IPSec是網(wǎng)絡(luò)層協(xié)議的前提，當遠程設(shè)備從Internet接入后將被虛擬成局域網(wǎng)內(nèi)的一臺PC，也就是獲得了局域網(wǎng)的所有使用權(quán)限。這是相當危險和難以控制的。如果這臺接入的設(shè)備攜帶了病毒、蠕蟲，局域網(wǎng)也會很快地受到感染，使網(wǎng)絡(luò)人員精心構(gòu)建的安全城墻在一瞬間灰飛煙滅。

SSL(安全套接層)VPN被視為IPSec VPN的互補性技術(shù)，在實現(xiàn)移動辦公和遠程接入時，SSL VPN部署更可以作為IPSec VPN的取代性方案。SSL協(xié)議由網(wǎng)景公司提出，是一種基于WEB應用的安全協(xié)議，包括服務器認證、客戶認證(可選)、SSL鏈路上的數(shù)據(jù)完整性和數(shù)據(jù)保密性。

所有標準的WEB瀏覽器均已內(nèi)建了SSL協(xié)議。采用SSL協(xié)議的設(shè)備并不等同于SSL VPN部署，除非它利用SSL協(xié)議實現(xiàn)對WEB及各種使用靜態(tài)或動態(tài)端口的服務做支持。我們舉個例子，看看SSL VPN部署是如何在組織中應用的。

A是一家大型的國際集團，擁有3家上市子公司、7個研發(fā)中心和20余個生產(chǎn)基地，辦事處和員工遍布全球。在A集團中心機房的服務器集群中部署了ERP系統(tǒng)、客戶關(guān)系管理系統(tǒng)(CRM)、郵件系統(tǒng)、辦公自動化系統(tǒng)、文件服務器，以及一些定制化的集團應用。

集團規(guī)模不斷擴大，已有50%的人員分布在企業(yè)總部以外，而且這一比率還在不斷增加。人員在遠離總部的同時，他們離中心機房中的各種應用也“越來越遠”。集團總部的人員同樣也在隨時遠離總部，在家、在會場、機場、酒店、甚至在親友家中。

他們試圖利用各種設(shè)備，自己攢的兼容機、公司配備的筆記本、會場酒店提供的主機、自帶的PDA、MS CE操作系統(tǒng)的移動電話、甚至是親屬家的電腦，接入到總部的內(nèi)網(wǎng)。這些人不是IT專家，但業(yè)務的不可中斷性激發(fā)了他們的移動辦公需求。

VPN工作在傳輸層和應用層之間，使用了瀏覽器自帶的SSL 協(xié)議，當集團的員工希望連接到總部網(wǎng)絡(luò)時，可以盡情使用手頭任何可接入Internet的設(shè)備。通過在瀏覽器中輸入總部SSL VPN部署的網(wǎng)絡(luò)地址，ActiveX控件會自動被下載并安裝，利用管理員發(fā)布的帳號和密碼，員工就可以隨時接入到內(nèi)網(wǎng)。

傳統(tǒng)的SSL VPN部署只支持以web為基礎(chǔ)的應用，而如今的SSL VPN部署取得了很大的進步，通過端口轉(zhuǎn)發(fā)和應用重定向技術(shù)，在客戶端訪問常用的C/S應用已經(jīng)輕而易舉。有些SSL VPN部署產(chǎn)品走得更遠，通過在客戶端和總部建立全三層的隧道實現(xiàn)了網(wǎng)絡(luò)擴展，你甚至可以在手持設(shè)備上使用Voip，通過SSH和Telnet管理局域網(wǎng)的網(wǎng)絡(luò)設(shè)備。

從你隔壁辦公室的電腦中下載其共享的mp3。如果員工是在公共場所使用SSL登陸，當客戶端長時間沒有操作時，SSL VPN會自動注銷其用戶，避免主機被其他人利用。當客戶端退出SSL后，其訪問的記錄和保存在瀏覽器中的Cache也會被自動清除，使訪問不留痕跡。

對于合作伙伴的接入，SSL VPN部署利用其所在網(wǎng)絡(luò)層的優(yōu)勢，可以保證“端點到應用的安全”。在合作伙伴接入前，SSL VPN便啟用了其端點安全性掃描功能，通過對遠程終端操作系統(tǒng)、注冊表、進程、防火墻和殺毒軟件的檢測，確保了終端的安全策略符合管理員的要求才可接入。

另外，如今SSL VPN部署的豐富認證功能已經(jīng)帶來了更好的接入靈活性和不可偽造性，CA證書、USB KEY、動態(tài)令牌、短信密碼，這些機制讓合法用戶的身份得到了最大程度的保障。對于A集團來說，其原料供應商、經(jīng)銷商、投資人需要訪問的應用系統(tǒng)各不相同。

網(wǎng)絡(luò)管理人員可以將不同類型的合作伙伴歸為不同的用戶組，再為各個用戶組映射其需要訪問的資源。SSL VPN部署在防火墻等設(shè)備的內(nèi)側(cè)，通過把需要合作伙伴訪問的資源映射到SSL VPN，網(wǎng)關(guān)處只需要開放443端口(HTTPS)即可，而不用開放任何有關(guān)內(nèi)部資源的端口。

當外部受到攻擊時，黑客只能攻擊到SSL VPN為止，而內(nèi)部應用對其來說是不可見的。當合作伙伴接入后，只能訪問管理員授權(quán)的應用。而通過IPSec接入，整個集團的內(nèi)網(wǎng)將暴露在合作伙伴的屏幕上，無非給攻擊和內(nèi)容泄漏敞開了大門。

對于管理員來說，詳細的日志功能是必不可少的。作為集團應用的部署和維護者，系統(tǒng)管理員有權(quán)知道有哪些人在何時登陸了VPN又是從何時注銷的，這些人訪問了何種資源，哪些資源的訪問量最大。而一個完善的SSL VPN日志系統(tǒng)將幫助管理員可以做到記錄和審計工作，這包括完整的用戶、管理員登陸信息統(tǒng)計，以及通過這些統(tǒng)計得到的圖形化報表，用來幫助管理員分析用戶訪問內(nèi)部資源的規(guī)律和趨勢。

除了實現(xiàn)安全接入和移動辦公外，SSL VPN還有新的用武之地，其中之一是對專線內(nèi)資源的保護。由于專網(wǎng)內(nèi)往往存在不同的組織和部門，同一部門的資源并不希望被其他部門所訪問或竊取。但是這很難辦到。

無論是數(shù)據(jù)傳輸中的加密還是對訪問者的身份認證，傳統(tǒng)的安全策略都漏洞百出。例如應用系統(tǒng)的訪問基本都通過系統(tǒng)本身的認證來實現(xiàn)，如傳統(tǒng)的用戶名和密碼。靜態(tài)的口令容易泄漏，通過竊取到的密碼來冒充合法用戶的身份進入系統(tǒng)，未授權(quán)的用戶將會輕易的獲得敏感的數(shù)據(jù)，破壞正常的業(yè)務流程，進而給組織帶來重大的損失。

我們可以把SSL VPN部署在服務器前端用來做訪問保護，讓SSL VPN成為任何人訪問應用系統(tǒng)和數(shù)據(jù)庫的必經(jīng)之路。結(jié)合CA系統(tǒng)，通過CA中心簽發(fā)的證書做雙向身份認證，有效地防止了街區(qū)重播、中間人欺詐等對身份認證的攻擊。

保證了業(yè)務系統(tǒng)用戶的合法身份;同時，利用SSL VPN的端點安全和隧道加密技術(shù)，保證了接入端的安全性，使系統(tǒng)的數(shù)據(jù)免遭安全隱患，而傳輸中的加密更可以保障應用交付過程中的數(shù)據(jù)加密，防止數(shù)據(jù)被專線內(nèi)的不明身份者截取和破解。