進入2005年,我們預計,SSL VPN 將真正從預熱走向全面應用。它所提供的無與倫比的簡單性(無客戶端安裝)、安全性,以及它在移動設備中的廣泛應用前景,將使我們有理由相信,一個在任何地點、任何時間、通過任何設備安全地接入公司關鍵應用的夢想就要實現了。
IPSec VPN的不足之處
我們還是先來認識一下IPSEC的不足之處:在通路本身安全性上,傳統的IPSec VPN還是非常安全的,比如在公網中建立的通道,很難被人篡改。說其不安全,是從另一方面考慮的,就是在安全的通路兩端,存在很多不安全的因素。比如總公司和子公司之間用IPsec VPN連接上了,總公司的安全措施很嚴密,但子公司可能存在很多安全隱患,這種隱患會通過IPsec VPN傳遞給總公司,這時,公司間的安全性就由安全性低的分公司來決定了。
比如駭客想要攻擊應用系統,如果遠程用戶以IPSec VPN的方式與公司內部網路建立連線之後,內部網路所連接的應用系統,駭客都是可以偵測得到,這就提供了駭客攻擊的機會。再比如應對病毒入侵,一般企業在Internet連線入口,都是採取適當的防毒偵測措施。採用IPSec連線,若是客戶端電腦遭到病毒感染,這個病毒就有機會感染到內部網路所連接的每台電腦。
不同的通訊協議,並且通過不同的通訊端口來作為伺服器和客戶端之間的數據傳輸通道。以Internet Email系統來說,發信和收信一般都是採取SMTP和POP3通訊協議,而且兩種通訊協議採用25和110端口,若是從遠程電腦來連線Email伺服器,就必須在防火牆上開放25和110端口,否則遠程電腦是無法與SMTP和POP3主機溝通的。IPSec VPN連線就會有這個困擾和安全顧慮。在防火牆上,每開啟一個通訊埠,就多一個駭客攻擊機會。
SSL VPN的優勢
我們再看看SSL的優勢特點:SSL安全通道是在客戶到所訪問的資源之間建立的,確保點到點的真正安全。無論在內部網路還是在因特網上數據都不是透明的,客戶對資源的每一次操作都需要經過安全的身份驗證和加密。
若是採取SSL VPN來連線,因為是直接開啟應用系統,並沒在網路層上連接,駭客不易偵測出應用系統內部網路設置,同時駭客攻擊的也只是VPN伺服器,無法攻擊到後臺的應用伺服器,攻擊機會相對就會減少。有的廠商如F5公司的產品,可以對客戶端允許訪問的地址、協議、端口都加以限制;可以對客戶端做各種檢查,如作業系統補丁、防病毒軟體及病毒庫更新時間、個人防火牆等等,不符合條件的客戶端可以不允許其登錄,這樣就大大增加了整個系統的安全性。而對於SSL VPN的連線,病毒傳播會局限於這臺主機,而且這個病毒必須是針對應用系統的類型,不同類型的病毒是不會感染到這臺主機的。
因此通過SSL VPN連接,受外界病毒感染的可能性大大減小。因為在遠程主機與SSLVPN 之間,採用SSL通訊端口443來作為傳輸通道,這個通訊端口,一般是作為Web Server對外的數據傳輸通道,因此,不需在防火牆上做任何修改,也不會因為不同應用系統的需求,而來修改防火牆上的設定,減少IT管理者的困擾。如果所有後臺系統都通過SSL VPN的保護,那麼在日常辦公中防火牆只開啟一個443端口就可以,因此大大增強了內部網路受外部駭客攻擊的可能性。
對於SSL VPN的安全性,F5公司市場總監柯文認為,IPSec VPN的安全性一直是個弱點。由於IPSec VPN引起的病毒、木馬、Web攻擊無法徹底根除,而F5的SSL VPN產品FirePass可以很好地解決這個問題。在FirePass的門戶站主機訪問模式下,FirePass可以對上傳的文件做病毒掃描,更可以與企業現有的防病毒軟體聯動,徹底解決病毒問題。而FirePass內帶的內容檢查功能,解決了Web攻擊問題。該產品還可以配置成在退出時自動清除高速緩存。這一點是相當方便用戶的。通過改善以上這些功能使得系統的安全性大大加強。
文章來源: http://tech.ccidnet.com/art/1099/20050905/325177_2.html
- Nov 09 Wed 2005 09:46
IPSec VS. SSL 遠程訪問安全的選擇
close
全站熱搜
留言列表