对于IPSec VPN在实现远程接入方面存在的问题,SSL VPN可以很好地给予解决:
(1)网络互联性 SSL工作在TCP层,不会受NAT和防火墙的影响。
(2)客户端的维护 借助浏览器,实现客户端的自动安装和配置。
(3)访问权限管理 解析应用层协议,进行高细粒度地访问控制。
1.SSL连接具有较好的网络互联性
SSL报文是承载于TCP报文之中的,所以地址转换(NAT)对IP头和TCP头的修改,并不会改变SSL报文,也就不会影响到SSL报文的解密和校验,因为SSL报文可以通过NAT进行正常的传输。
SSL服务所使用的TCP端口号是443,为知名端口。网络管理员在配置防火墙时,一般会打开此端口,允许目的端口为443的SSL报文通过。
2.SSL VPN的使用可以减轻客户端的维护工作(www.xing528.com)
SSL VPN实现了一种比较理想的接入方式——Web接入。使用这种接入方式,用户只需要使用Web浏览器就可以从Internet上访问私网中的网络资源。由于目前几乎所有的计算机平台都提供Web浏览器,所以SSL VPN的Web接入可以广泛地应用于电脑、手机和PDA等各式各样的智能终端上。在采用Web接入时,SSL VPN系统本身并不需要提供额外的VPN客户端,而是借用Web浏览器作为VPN客户端,因而在这种情况下SSL VPN可以实现所谓的免客户端特性。各种Web浏览器由各自软件平台的开发者提供,其性能和可靠性都比较高。这样一来也就省去了SSL VPN生产厂家对VPN客户端的维护工作。
但是Web接入也有局限性,目前的Web接入主要用来访问Web站点,而对其他种类的网络应用支持起来比较困难。所以在访问非Web类的网络资源时,SSL VPN仍然需要使用某种形式的VPN客户端程序。借助Web的控件技术,SSL VPN可以实现VPN客户端的自动下载、自动安装、自动运行和自动清除等功能,从而减少了对VPN客户端的维护工作,也方便了用户的使用。
另外,如果VPN的客户端升级了,网络管理员也不必为用户重新安装VPN客户端,只需要升级一下VPN网关上的软件包就可以了。在用户下一次登录SSL VPN网关时,用户的远程主机就会自动升级VPN的客户端。
3.SSL VPN可以对用户的访问权限进行较细致的管理
IPSec VPN部署在网络层,因此,内部网络对于经过VPN的使用者来说是透明的,只要接入到VPN后,就可以不受约束地访问所有的资源;IPSec VPN的目标是建立一个虚拟的IP网络,而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。
SSL VPN重点在于保护具体的敏感数据,可以根据用户的不同身份,赋予不同的访问权限。就是说,接入到SSL VPN网络后,虽然已经接入到网络,但是不同权限账号的可访问的数据是不同的;配合一定的身份认证方式,SSL VPN不仅可以控制访问人员的权限,还可以对访问人员的每个访问和操作进行数字签名保证每个操作的不可抵赖性和不可否认性,为事后追踪提供了依据。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
