传统的解决方案中,员工、客户和合作伙伴可能需要从家里、饭店的房间或者公共WiFi站点访问你的系统。这就意味着他们的通讯是在互联网的后面,在公开的和暴露的环境中。一旦他们联系到你的系统,你们交换的任何信息都能够被攻破。
这个问题的解决方案是VPN(虚拟专用网)
VPN是一种成熟的技术,使用一种名为“隧道”的技术保证在公共互联网上做私人生意的安全,不会破坏数据的完整性。VPN集成到许多防火墙设备(和一些防火墙软件)中,旨在保证整个企业范围内的连接安全,就像使用专用电话线或者本地以太网连接一样有信心。
无论你需要在本地、地区、全国或者全球范围内进行连接,VPN都能提供一种高水平的安全和性能。VPN实际上是在公共连接中建立一个临时的专用连接。VPN有各种风格和各种方法。最有用的风格是基于SSL(安全套接层)的技术和它的后续者TLS(传输层安全)技术。
在这个购买者指南中,你将会发现有关寻找什么产品、如何购买、你期待支付多少钱以及如何实现SSL VPN安全设备投资最大化等问题的细节。SSL VPN安全设备是一种硬件设备,旨在为大中型企业提供全面的数据安全以及高性能和自动防止故障的可用性。
SSL VPN综述
要迅速掌握SSL/TLS VPN技术,首先要学习一些新的词汇及其定义。在开始介绍VPN之前,我们首先了解一下两个加密协议:SSL和TLS。
SSL及其后续者TLS是提供在互联网上进行安全通讯的加密协议。这些互联网通讯任务包括网络浏览、电子邮件、互联网传真、即时消息、VoIP和其它数据传输。由于这两个协议非常相似,因此我们在这个购买者指南的以下部分将使用“SSL”替代“SSL和/或TLS”,尽管事实上SSL已经基本上被TLS取代了。SSL已经建在目前的大多数浏览器中,如火狐和IE浏览器,使SSL协议很容易应用。当你进行在线采购时,购物网站向你发出一个信息称“您将被转换到一个安全服务器”,接下来,浏览器地址栏中的地址的第一个部分将从“http”转变为“https”(s代表安全)。这时候,你在使用SSL。这意味着你在购物的网站和你的浏览器已经同意在一个加密的通讯频道进行通讯。你可以有信心地传输你的信用卡信息,相信这个信息不会被偷窃。
密码术是对秘密信息进行编码和解码的过程,这样,未经允许的人就不能读出这些信息。高速计算机的发展使密码术得到了极大的好处。曾经是非常乏味的加密过程现在几乎可以自动完成了。当一方,或者双向互连网连接中的另一方需要一个安全的HTTP连接时,一系列握手就发生了(看不见,速度很快)。在这个过程中,双方同意采取某一种技术(包括公共密钥或者私人密钥)对明文进行加密。没有这些密钥,身份窃贼就不能从数据流中找到这种保密信息。
VPN是使用私人密钥和公共密钥以及证书加密的。但是,如果你要实现更强大的安全数据传输(例如,FTP、VoIP或者视频会议),你需要一个更快和更灵活的专用通讯网络。VPN就是用在这个地方的。一旦你在互联网上打开一个VPN隧道,强大的加密协议将为任何种类的通信进行编码。虽然SSL过去一直被当作电子商务技术,但是,Aventail和Juniper Networks等厂商已经扩大了这种技术的能力以提供强大的远程接入VPN隧道能力。
“隧道”这个词是指通过公共网络传输保密数据,其方法是让公共网络的路由节点不知道这个数据传输是一个专用通讯的一部分。VPN使用隧道协议阻止探听和数据包嗅探,对双方进行身份识别(封锁探听身份)并且保证信息的完整性。也许还会使用端口转发作为隧道的一个额外的方面。如果你的VPN把通常使用端口80等已知的端口通讯流转移到端口2000以上的端口,这个通讯就很难探测出来。
一个VPN可以使用任何数量的加密协议中的一个加密协议,如开放SSH、安全外壳、SSL或者IPsec (IP安全)。在这个加密协议中,数据使用一个公共密钥和一个私人密钥在两个主机之间进行交换。然而,SSL与其它协议相比有一个更大的优势:你不需要一个专业的客户端软件来设置这个隧道,因为可以使用浏览器的SSL打开使用SSL的VPN。随着越来越多的企业应用程序成为基于浏览器的客户端软件和前端界面,这将是一个日益重要的考虑。
为了打开一个VPN隧道,在服务器端需要有一台具有VPN功能的安全设备,(在大多数情况下)在另一端需要一个VPN客户端软件。任何希望建立一个通向服务器的VPN隧道的用户都要启动自己的VPN客户端软件。这个客户端软件要求另一方的安全设备设置这个客户端软件。如果用户在使用一台家庭计算机或者安装了客户端软件的笔记本电脑,这是很好的。但是,如果用户要使用一台没有安全客户端软件的公共计算机(例如,在一个WiFi站点),会发生什么事情呢?从任何公共无线接入点都能够访问一个基于SSL的VPN,而基于其它协议的VPN也许就不能。
VPN工作原理
一个VPN在两个或者更多的地方创建一个机密的“隧道”。隧道外面的任何人都不能看到各个地方之间发送的信息。即使你在使用互联网等公共媒介,你的数据传输仍像使用专线一样安全。
有许多加密协议可以用来建立一个VPN隧道。但是,SSL是非常适合VPN服务的。SSL协议是网景公司在90年代初开发的,用于支持在网络上进行的保密的电子商务交易。基于SSL的VPN与其它隧道协议相比有巨大的优势:不用特殊的客户端软件就能够在用户的系统上建立VPN。这就意味着用户能够在网吧的公共计算机、客户的办公室或者一台掌上电脑上建立一个VPN。
设置一个VPN的技术细节太乏味了不在这里讨论(这是我们使用计算机处理这个问题的原因)。但是,这个过程是从握手开始的。这个过程通常是由用户发起的。用户使用一个浏览器或者特殊的客户端软件联系互联网上的VPN设备/防火墙,并申请建立一个VPN。VPN设备做出回应,经过下一个系列的握手之后,这两个系统将同意他们将使用哪一种SSL协议、他们将使用哪一个端口发送和接收数据包以及允许他们安全地编码和解码数据的两个加密密钥。
一旦建立起一个VPN,防火墙将检查进出网络的全部数据。不经过这个VPN的数据像往常一样路由到互联网。然而,从这个VPN的任何一个站点向这个VPN的另一个站点发出的数据(如FTP文件传输、视频、VoIP信息或者电子邮件)都将被加密,并且通过这个VPN传送到它的替代站点,这个站点将解密数据并且把数据传送到最终目的地。
VPN服务器与客户机可能经常协商这个密钥,以便使入侵者很难破解这个代码。
市场综述
据研究公司WinterGreen Research称,VPN和防火墙市场很快将融合为一个单一的市场。基于硬件的产品将开始在这个市场占统治地位。WinterGreen的分析师称,2003年全球防火墙、VPN和集成安全功能的路由器的销售收入为31亿美元。到2009年,这些产品的销售收入可能达到186亿美元。
防火墙执行基本的网络安全功能,一般包括VPN功能。防火墙还强制执行安全限制功能,阻止不适当地访问内部网络。防火墙的工作原理是分析每一个网络接入请求,然后把这些请求与包含批准的源IP地址、应用程序和其它“允许/不允许”参数等内容的列表进行比较。
基于硬件的安全设备的效率日益提高使它们比以前更有吸引力,更不用说包含了VPN功能的硬件设备了。同时,大中型企业已经认识到,具体的应用程序攻击、互联网病毒、蠕虫和高级的钓鱼攻击诈骗能够在几秒钟之内让它们的网络瘫痪,减缓网络通讯速度,劫持保密信息或者破坏重要任务的数据。这种攻击的商业成本可能包括收入损失,引起用户不满,令员工沮丧和给企业的声誉带来永久性的黑点。
与这个代价相比,高端安全设备的成本将很容易被接受(如果你要在保持最高网络性能的情况下保证整个企业范围的网络安全,高端安全设备的价格最高可达7.5万美元)。目前这个市场的安全厂商接近25家。这些厂商将向用户出售各种基于硬件和软件的解决方案,有的包括VPN功能,有的没有VPN功能。本购买者指南重点介绍提供SSL VPN功能的经过市场检验的解决方案。
多年以来,思科和防火墙厂商Check Point/诺基亚在全球基于硬件和软件的VPN和防火墙市场的销售收入一直处于领先地位。然而,这些产品是根据老式的IPsec技术制作的。SSL VPN的出现极大地动摇了整个VPN市场。目前,Juniper Networks是最大的SSL VPN厂商。紧随其后的依次是Nortel(VPN网关)、SonicWALL(SSL VPN)、赛门铁克(网关安全多功能安全设备)、Secure Computing(Sidewinder/Cyberguard网络网关安全和防火墙/VPN设备)以及其它厂商。
本购买者指南及其相关的产品功能对比将帮助你选择正确的VPN和配套的安全设备。
