SSL VPN和IPSec VPN企業(yè)應(yīng)用分析

梁靜宇，郭建明

（經(jīng)緯股份公司榆次分公司信息工程部，山西 晉中 030601）

文章通過對現(xiàn)在流行的SSL VPN和IPSec VPN兩種技術(shù)分析，探討企業(yè)如何應(yīng)用該技術(shù)，實(shí)現(xiàn)分散在不同地域的各分支機(jī)構(gòu)之間、總部與各分支機(jī)構(gòu)之間的信息傳遞及共享的解決方案。

1 認(rèn)識IPSec VPN

1.1 IPSec VPN簡述

IPSec VPN指采用IPSec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)。IPSec協(xié)議是通過相應(yīng)的隧道技術(shù)來實(shí)現(xiàn)VPN的。協(xié)議包括網(wǎng)絡(luò)認(rèn)證協(xié)議、封裝安全載荷協(xié)議、密鑰管理協(xié)議和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法協(xié)議等應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系。IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。IPSec最大的特點(diǎn)就是數(shù)據(jù)傳輸過程的安全性能得到完全保證。這就要求在遠(yuǎn)程接入客戶端必須安裝和配置IPSec客戶端軟件和接入設(shè)備，雖然提高了數(shù)據(jù)傳輸安全級別，但對企業(yè)局域網(wǎng)的防火墻等硬件設(shè)備及客戶端軟件要求也隨之提高，否則當(dāng)病毒或黑客利用已連接的客戶機(jī)會很容易攻擊企業(yè)局域網(wǎng)。

1.2 IPSec VPN應(yīng)用優(yōu)勢

IPSec協(xié)議工作于網(wǎng)絡(luò)層，通過包封裝技術(shù)，能夠利用Internet可路由的地址，封裝內(nèi)部網(wǎng)絡(luò)的IP地址，遠(yuǎn)程客戶端會被自動分配虛擬的企業(yè)內(nèi)部局域網(wǎng)IP地址，使其置身于企業(yè)內(nèi)部網(wǎng)，遠(yuǎn)程客戶端通過相應(yīng)授權(quán)將擁有和內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能，實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通，比如網(wǎng)上鄰居、網(wǎng)絡(luò)共享以及大型C/S結(jié)構(gòu)的程序應(yīng)用等等。

IPSec技術(shù)中，客戶端至站點(diǎn)、站點(diǎn)對站點(diǎn)、客戶端至客戶端連接所使用的技術(shù)是完全相同的。目前，大多數(shù)的IPSec VPN網(wǎng)關(guān)設(shè)備集成了防火墻及路由功能，網(wǎng)管配置網(wǎng)絡(luò)時，只需在同一設(shè)備進(jìn)行調(diào)試，簡化了調(diào)試配置復(fù)雜的工作。

1.3 IPSec VPN不足

很多人認(rèn)為安裝客戶端軟件是IPSec VPN的不足之一，會給網(wǎng)管帶來繁重的工作，但筆者認(rèn)為這個問題隨著技術(shù)的進(jìn)步，一些IPSec客戶端軟件能實(shí)現(xiàn)自動安裝，不需要用戶參與，很大程度上減輕了網(wǎng)管的負(fù)擔(dān)。關(guān)鍵是部署IPSec需要對基礎(chǔ)設(shè)施進(jìn)行重大改造，在運(yùn)行和長期維護(hù)兩個方面成本相對較高。IPSec VPN不支持公共Internet站點(diǎn)接入，對只有WEB級應(yīng)用的企業(yè)，投入這方面的網(wǎng)絡(luò)建設(shè)就有些浪費(fèi)了。

2 認(rèn)識SSL VPN

2.1 SSL VPN簡述

SSL VPN是解決遠(yuǎn)程用戶訪問公司數(shù)據(jù)最簡單、最安全的解決技術(shù)。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SSL協(xié)議可分為兩層：SSL記錄協(xié)議，它建立在可靠的傳輸協(xié)議(如TCP)之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議，它建立在SSL記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。

2.2 SSL VPN應(yīng)用優(yōu)勢

隨著企業(yè)信息化的應(yīng)用程序大量轉(zhuǎn)向WEB應(yīng)用模式，對僅限于運(yùn)用Web瀏覽器接入的應(yīng)用非常適用。其應(yīng)用優(yōu)勢體現(xiàn)在：①實(shí)施方便，只需要安裝配置好中心網(wǎng)關(guān)即可，其余的客戶端是免安裝的；②容易維護(hù)，網(wǎng)管只要對設(shè)備網(wǎng)關(guān)維護(hù)就可以了；③安全可靠，SSL是一個安全協(xié)議，數(shù)據(jù)是全程加密傳輸?shù)?。由于SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端，只留下一個Web瀏覽接口，客戶端的大多數(shù)病毒木馬感染不到內(nèi)部服務(wù)器。

2.3 SSL VPN不足

SSL VPN用戶僅限于運(yùn)用Web瀏覽器接入，這對新型基于Web的商務(wù)應(yīng)用軟件比較合適，但它限制了非Web應(yīng)用訪問，使得一些文件操作功能難于實(shí)現(xiàn)，如文件共享、預(yù)定文件備份和自動文件傳輸。用戶可以通過升級、增加補(bǔ)丁、安裝SSL網(wǎng)關(guān)或其他辦法來支持非Web應(yīng)用，但實(shí)現(xiàn)成本高且復(fù)雜，難以實(shí)現(xiàn)。見圖1。

圖1 SSL VPN實(shí)現(xiàn)過程

3 SSL VPN和IPSec VPN企業(yè)應(yīng)用分析

IPSec和SSL兩者的實(shí)質(zhì)是應(yīng)用范圍不同并不是互相排斥的技術(shù)，實(shí)際上兩者通常部署在同一個企業(yè)中。它們之間的決定因素并不是在于每種協(xié)議可以做什么，而是在于每種協(xié)議的部署用于實(shí)現(xiàn)什么目標(biāo)。只有考慮到每種部署的成本與效益，以及每種技術(shù)設(shè)計用于解決什么問題，工作人員才會作出明確的部署選擇。下面以筆者所在單位具體的實(shí)例分析如何組建適合自己企業(yè)的VPN部署方案。

3.1 企業(yè)網(wǎng)絡(luò)的需求

筆者所在公司屬于股份公司的下屬分公司，具有完整的企業(yè)體系，信息化建設(shè)已有近25年的歷程，隨著業(yè)務(wù)的不斷擴(kuò)張及分子公司與總公司之間信息化數(shù)據(jù)的統(tǒng)一集成，公司需要對企業(yè)網(wǎng)絡(luò)進(jìn)行拓展，滿足ERP、CRM、SRM、OA、Email等在不同地域中發(fā)生的業(yè)務(wù)或工作安排數(shù)據(jù)能及時、準(zhǔn)確、安全地傳遞，同時滿足分公司同總公司業(yè)務(wù)的數(shù)據(jù)傳遞。

公司對應(yīng)用程序及應(yīng)用需求作了分析，第一，企業(yè)內(nèi)部ERP系統(tǒng)采用C/S結(jié)構(gòu)，客戶端ERP軟件連接數(shù)據(jù)庫需要通過TCP/IP配置，并在數(shù)據(jù)庫服務(wù)器建立監(jiān)聽器用于監(jiān)聽客戶端向數(shù)據(jù)庫服務(wù)器端提出的連接請求；同時ERP系統(tǒng)程序不斷地在更新，需要在客戶端復(fù)制新的更新程序，因此必須能實(shí)現(xiàn)文件傳輸功能；由于企業(yè)擴(kuò)能，3個生產(chǎn)車間處在離主廠區(qū)10 km外的開發(fā)區(qū)內(nèi)，必須能保證這3個車間能通過網(wǎng)絡(luò)應(yīng)用企業(yè)所有的信息化應(yīng)用。第二，CRM、SRM、OA、Email等采用B/S結(jié)構(gòu)通過瀏覽器方式進(jìn)行業(yè)務(wù)工作，這樣要求網(wǎng)絡(luò)能支持遠(yuǎn)程用戶隨時隨地地訪問上述系統(tǒng)進(jìn)行工作。第三，分公司財務(wù)定時向總公司傳財務(wù)憑證，需要和總公司數(shù)據(jù)庫相連實(shí)現(xiàn)數(shù)據(jù)及時準(zhǔn)確安全交換。第四，網(wǎng)絡(luò)部署能滿足未來幾年內(nèi)技術(shù)的發(fā)展及企業(yè)的發(fā)展。

3.2 方案分析

根據(jù)網(wǎng)絡(luò)的應(yīng)用需求，從網(wǎng)絡(luò)成本、網(wǎng)絡(luò)安全、接入網(wǎng)絡(luò)、網(wǎng)絡(luò)運(yùn)維管理等方面全面分析如何部署最適合企業(yè)的VPN方案。

3.2.1 網(wǎng)絡(luò)成本

網(wǎng)絡(luò)配置或拓展“成本”是一個關(guān)鍵考慮因素，企業(yè)要求ERP系統(tǒng)必須滿足分散在不同區(qū)域的生產(chǎn)車間的正常使用，因此，IPSec VPN則是符合邏輯且最經(jīng)濟(jì)高效的選擇。然而，通過瀏覽器訪問B/S結(jié)構(gòu)的應(yīng)用程序，則SSL VPN是最經(jīng)濟(jì)高效的選擇。因此，最好選擇的網(wǎng)絡(luò)設(shè)備及部署能同時兼容IPSec VPN與SSL VPN兩種功能。管理員可以利用現(xiàn)有的網(wǎng)絡(luò)資源，花最少的錢對網(wǎng)絡(luò)進(jìn)行拓補(bǔ)實(shí)現(xiàn)功能的最大化。

3.2.2 網(wǎng)絡(luò)安全

SSL和IPSec這兩種協(xié)議所要實(shí)現(xiàn)的目標(biāo)非常相似而且它們都提供安全密鑰交換，并在傳輸過程中提供強(qiáng)大的數(shù)據(jù)保護(hù)，都能有效地保護(hù)網(wǎng)絡(luò)流量安全，都有強(qiáng)大的加密和認(rèn)證功能，每種協(xié)議都支持領(lǐng)先的加密、數(shù)據(jù)完整性和認(rèn)證技術(shù)，例如：3-DES、128 位 RC4、AES、MD5 或 SHA-1。

3.2.3 接入網(wǎng)絡(luò)

IPSec VPN的作用是實(shí)現(xiàn)企業(yè)LAN或其中VLAN的虛擬擴(kuò)展，這種接入對于分散型的車間、廠房、庫房等管理非常有效，各站點(diǎn)間部署中的用戶與企業(yè)LAN中的用戶都采用相同的安全限制。而SSL VPN應(yīng)用業(yè)務(wù)可以解決來自不可控制的端點(diǎn)的用戶（如移動辦公用戶）接入特定的企業(yè)資源（CRM、OA等）。

3.2.4 網(wǎng)絡(luò)運(yùn)維管理

網(wǎng)絡(luò)維護(hù)管理復(fù)雜程度是企業(yè)必須面對的關(guān)鍵因素，針對需要接入專用服務(wù)器和子網(wǎng)的可信用戶組，管理員為其進(jìn)行IPSec VPN設(shè)置；如果部署要求逐用戶/用戶組或資源進(jìn)行接入控制，管理員為其進(jìn)行SSL VPN設(shè)置。新的接入管理能力可允許動態(tài)認(rèn)證和角色映射，并提供極為靈活的基于資源的認(rèn)證，從而以高效的方式滿足企業(yè)的安全策略。

綜合上述分析，企業(yè)最終采用了IPSec VPN與SSL VPN相結(jié)合的部署方案來滿足企業(yè)的需求。企業(yè)內(nèi)部使用具有SSL和IPSec二合一的VPN（FVS336G）設(shè)備實(shí)現(xiàn)SSL及IPSEC VPN功能。

圖2 網(wǎng)絡(luò)拓補(bǔ)圖

遠(yuǎn)程移動用戶、ERP應(yīng)用用戶等，通過SSL協(xié)議進(jìn)行WEB訪問，客戶端不需要安裝和配置，只需在VPN設(shè)置哪種類型的訪問控制和安全級別（全通道模式、分離通道模式和端口轉(zhuǎn)發(fā)模式）。經(jīng)過測試最終選定采用分離通道模式，這個模式允許遠(yuǎn)程客戶可以完全訪問在VPN設(shè)備后面的局域網(wǎng)，同時將Web訪問交給終端用戶的本地連接實(shí)現(xiàn)。在這種模式下，遠(yuǎn)程客戶端使用一個不同于NETGEAR的LAN子網(wǎng)的IP地址，它然后將被路由到局域網(wǎng)子網(wǎng)上。對于站點(diǎn)與站點(diǎn)之間的網(wǎng)絡(luò)部署如分公司與總公司之間的數(shù)據(jù)交換、文件傳輸以及財務(wù)憑證傳遞等可以通過站點(diǎn)對站點(diǎn)配置或FVS336G VPN客戶端軟件來創(chuàng)建IPSec通道。詳細(xì)配置過程和參數(shù)設(shè)置略。

經(jīng)過測試，這種二合一VPN網(wǎng)絡(luò)部署能很好地解決企業(yè)的需求，并有一定的擴(kuò)展能力，各項網(wǎng)絡(luò)指標(biāo)穩(wěn)定、安全，遠(yuǎn)程連接用戶的應(yīng)用程序執(zhí)行效率與在內(nèi)部網(wǎng)內(nèi)運(yùn)行無明顯差別，用戶反映良好，完全滿足企業(yè)各層面信息化的需求。

4 總結(jié)

總之，用戶在分析適合自己企業(yè)選用IPSEC和SSL VPN哪種網(wǎng)絡(luò)部署時，一定要先搞清楚每種技術(shù)最適合解決哪些問題、部署和管理IPSec VPN和SSL VPN有哪些要求、它們各自的使用范圍及每種協(xié)議部署用于實(shí)現(xiàn)什么目標(biāo)等，并結(jié)合企業(yè)的實(shí)際網(wǎng)絡(luò)需求，根據(jù)實(shí)際需求制定性價比、安全、運(yùn)維管理最適合企業(yè)的VPN部署，使工作人員能夠接入企業(yè)資源，以實(shí)現(xiàn)最高的工作效率。