SSL VPN和IPSec VPN企業(yè)應(yīng)用分析

梁靜宇，郭建明

（經(jīng)緯股份公司榆次分公司信息工程部，山西 晉中 030601）

文章通過(guò)對(duì)現(xiàn)在流行的SSL VPN和IPSec VPN兩種技術(shù)分析，探討企業(yè)如何應(yīng)用該技術(shù)，實(shí)現(xiàn)分散在不同地域的各分支機(jī)構(gòu)之間、總部與各分支機(jī)構(gòu)之間的信息傳遞及共享的解決方案。

1 認(rèn)識(shí)IPSec VPN

1.1 IPSec VPN簡(jiǎn)述

IPSec VPN指采用IPSec協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)。IPSec協(xié)議是通過(guò)相應(yīng)的隧道技術(shù)來(lái)實(shí)現(xiàn)VPN的。協(xié)議包括網(wǎng)絡(luò)認(rèn)證協(xié)議、封裝安全載荷協(xié)議、密鑰管理協(xié)議和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法協(xié)議等應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系。IPSec規(guī)定了如何在對(duì)等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問(wèn)控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。IPSec最大的特點(diǎn)就是數(shù)據(jù)傳輸過(guò)程的安全性能得到完全保證。這就要求在遠(yuǎn)程接入客戶端必須安裝和配置IPSec客戶端軟件和接入設(shè)備，雖然提高了數(shù)據(jù)傳輸安全級(jí)別，但對(duì)企業(yè)局域網(wǎng)的防火墻等硬件設(shè)備及客戶端軟件要求也隨之提高，否則當(dāng)病毒或黑客利用已連接的客戶機(jī)會(huì)很容易攻擊企業(yè)局域網(wǎng)。

1.2 IPSec VPN應(yīng)用優(yōu)勢(shì)

IPSec協(xié)議工作于網(wǎng)絡(luò)層，通過(guò)包封裝技術(shù)，能夠利用Internet可路由的地址，封裝內(nèi)部網(wǎng)絡(luò)的IP地址，遠(yuǎn)程客戶端會(huì)被自動(dòng)分配虛擬的企業(yè)內(nèi)部局域網(wǎng)IP地址，使其置身于企業(yè)內(nèi)部網(wǎng)，遠(yuǎn)程客戶端通過(guò)相應(yīng)授權(quán)將擁有和內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能，實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通，比如網(wǎng)上鄰居、網(wǎng)絡(luò)共享以及大型C/S結(jié)構(gòu)的程序應(yīng)用等等。

IPSec技術(shù)中，客戶端至站點(diǎn)、站點(diǎn)對(duì)站點(diǎn)、客戶端至客戶端連接所使用的技術(shù)是完全相同的。目前，大多數(shù)的IPSec VPN網(wǎng)關(guān)設(shè)備集成了防火墻及路由功能，網(wǎng)管配置網(wǎng)絡(luò)時(shí)，只需在同一設(shè)備進(jìn)行調(diào)試，簡(jiǎn)化了調(diào)試配置復(fù)雜的工作。

1.3 IPSec VPN不足

很多人認(rèn)為安裝客戶端軟件是IPSec VPN的不足之一，會(huì)給網(wǎng)管帶來(lái)繁重的工作，但筆者認(rèn)為這個(gè)問(wèn)題隨著技術(shù)的進(jìn)步，一些IPSec客戶端軟件能實(shí)現(xiàn)自動(dòng)安裝，不需要用戶參與，很大程度上減輕了網(wǎng)管的負(fù)擔(dān)。關(guān)鍵是部署IPSec需要對(duì)基礎(chǔ)設(shè)施進(jìn)行重大改造，在運(yùn)行和長(zhǎng)期維護(hù)兩個(gè)方面成本相對(duì)較高。IPSec VPN不支持公共Internet站點(diǎn)接入，對(duì)只有WEB級(jí)應(yīng)用的企業(yè)，投入這方面的網(wǎng)絡(luò)建設(shè)就有些浪費(fèi)了。

2 認(rèn)識(shí)SSL VPN

2.1 SSL VPN簡(jiǎn)述

SSL VPN是解決遠(yuǎn)程用戶訪問(wèn)公司數(shù)據(jù)最簡(jiǎn)單、最安全的解決技術(shù)。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SSL協(xié)議可分為兩層：SSL記錄協(xié)議，它建立在可靠的傳輸協(xié)議(如TCP)之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議，它建立在SSL記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開(kāi)始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。

2.2 SSL VPN應(yīng)用優(yōu)勢(shì)

隨著企業(yè)信息化的應(yīng)用程序大量轉(zhuǎn)向WEB應(yīng)用模式，對(duì)僅限于運(yùn)用Web瀏覽器接入的應(yīng)用非常適用。其應(yīng)用優(yōu)勢(shì)體現(xiàn)在：①實(shí)施方便，只需要安裝配置好中心網(wǎng)關(guān)即可，其余的客戶端是免安裝的；②容易維護(hù)，網(wǎng)管只要對(duì)設(shè)備網(wǎng)關(guān)維護(hù)就可以了；③安全可靠，SSL是一個(gè)安全協(xié)議，數(shù)據(jù)是全程加密傳輸?shù)摹Ｓ捎赟SL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端，只留下一個(gè)Web瀏覽接口，客戶端的大多數(shù)病毒木馬感染不到內(nèi)部服務(wù)器。

2.3 SSL VPN不足

SSL VPN用戶僅限于運(yùn)用Web瀏覽器接入，這對(duì)新型基于Web的商務(wù)應(yīng)用軟件比較合適，但它限制了非Web應(yīng)用訪問(wèn)，使得一些文件操作功能難于實(shí)現(xiàn)，如文件共享、預(yù)定文件備份和自動(dòng)文件傳輸。用戶可以通過(guò)升級(jí)、增加補(bǔ)丁、安裝SSL網(wǎng)關(guān)或其他辦法來(lái)支持非Web應(yīng)用，但實(shí)現(xiàn)成本高且復(fù)雜，難以實(shí)現(xiàn)。見(jiàn)圖1。

圖1 SSL VPN實(shí)現(xiàn)過(guò)程

3 SSL VPN和IPSec VPN企業(yè)應(yīng)用分析

IPSec和SSL兩者的實(shí)質(zhì)是應(yīng)用范圍不同并不是互相排斥的技術(shù)，實(shí)際上兩者通常部署在同一個(gè)企業(yè)中。它們之間的決定因素并不是在于每種協(xié)議可以做什么，而是在于每種協(xié)議的部署用于實(shí)現(xiàn)什么目標(biāo)。只有考慮到每種部署的成本與效益，以及每種技術(shù)設(shè)計(jì)用于解決什么問(wèn)題，工作人員才會(huì)作出明確的部署選擇。下面以筆者所在單位具體的實(shí)例分析如何組建適合自己企業(yè)的VPN部署方案。

3.1 企業(yè)網(wǎng)絡(luò)的需求

筆者所在公司屬于股份公司的下屬分公司，具有完整的企業(yè)體系，信息化建設(shè)已有近25年的歷程，隨著業(yè)務(wù)的不斷擴(kuò)張及分子公司與總公司之間信息化數(shù)據(jù)的統(tǒng)一集成，公司需要對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行拓展，滿足ERP、CRM、SRM、OA、Email等在不同地域中發(fā)生的業(yè)務(wù)或工作安排數(shù)據(jù)能及時(shí)、準(zhǔn)確、安全地傳遞，同時(shí)滿足分公司同總公司業(yè)務(wù)的數(shù)據(jù)傳遞。

公司對(duì)應(yīng)用程序及應(yīng)用需求作了分析，第一，企業(yè)內(nèi)部ERP系統(tǒng)采用C/S結(jié)構(gòu)，客戶端ERP軟件連接數(shù)據(jù)庫(kù)需要通過(guò)TCP/IP配置，并在數(shù)據(jù)庫(kù)服務(wù)器建立監(jiān)聽(tīng)器用于監(jiān)聽(tīng)客戶端向數(shù)據(jù)庫(kù)服務(wù)器端提出的連接請(qǐng)求；同時(shí)ERP系統(tǒng)程序不斷地在更新，需要在客戶端復(fù)制新的更新程序，因此必須能實(shí)現(xiàn)文件傳輸功能；由于企業(yè)擴(kuò)能，3個(gè)生產(chǎn)車(chē)間處在離主廠區(qū)10 km外的開(kāi)發(fā)區(qū)內(nèi)，必須能保證這3個(gè)車(chē)間能通過(guò)網(wǎng)絡(luò)應(yīng)用企業(yè)所有的信息化應(yīng)用。第二，CRM、SRM、OA、Email等采用B/S結(jié)構(gòu)通過(guò)瀏覽器方式進(jìn)行業(yè)務(wù)工作，這樣要求網(wǎng)絡(luò)能支持遠(yuǎn)程用戶隨時(shí)隨地地訪問(wèn)上述系統(tǒng)進(jìn)行工作。第三，分公司財(cái)務(wù)定時(shí)向總公司傳財(cái)務(wù)憑證，需要和總公司數(shù)據(jù)庫(kù)相連實(shí)現(xiàn)數(shù)據(jù)及時(shí)準(zhǔn)確安全交換。第四，網(wǎng)絡(luò)部署能滿足未來(lái)幾年內(nèi)技術(shù)的發(fā)展及企業(yè)的發(fā)展。

3.2 方案分析

根據(jù)網(wǎng)絡(luò)的應(yīng)用需求，從網(wǎng)絡(luò)成本、網(wǎng)絡(luò)安全、接入網(wǎng)絡(luò)、網(wǎng)絡(luò)運(yùn)維管理等方面全面分析如何部署最適合企業(yè)的VPN方案。

3.2.1 網(wǎng)絡(luò)成本

網(wǎng)絡(luò)配置或拓展“成本”是一個(gè)關(guān)鍵考慮因素，企業(yè)要求ERP系統(tǒng)必須滿足分散在不同區(qū)域的生產(chǎn)車(chē)間的正常使用，因此，IPSec VPN則是符合邏輯且最經(jīng)濟(jì)高效的選擇。然而，通過(guò)瀏覽器訪問(wèn)B/S結(jié)構(gòu)的應(yīng)用程序，則SSL VPN是最經(jīng)濟(jì)高效的選擇。因此，最好選擇的網(wǎng)絡(luò)設(shè)備及部署能同時(shí)兼容IPSec VPN與SSL VPN兩種功能。管理員可以利用現(xiàn)有的網(wǎng)絡(luò)資源，花最少的錢(qián)對(duì)網(wǎng)絡(luò)進(jìn)行拓補(bǔ)實(shí)現(xiàn)功能的最大化。

3.2.2 網(wǎng)絡(luò)安全

SSL和IPSec這兩種協(xié)議所要實(shí)現(xiàn)的目標(biāo)非常相似而且它們都提供安全密鑰交換，并在傳輸過(guò)程中提供強(qiáng)大的數(shù)據(jù)保護(hù)，都能有效地保護(hù)網(wǎng)絡(luò)流量安全，都有強(qiáng)大的加密和認(rèn)證功能，每種協(xié)議都支持領(lǐng)先的加密、數(shù)據(jù)完整性和認(rèn)證技術(shù)，例如：3-DES、128 位 RC4、AES、MD5 或 SHA-1。

3.2.3 接入網(wǎng)絡(luò)

IPSec VPN的作用是實(shí)現(xiàn)企業(yè)LAN或其中VLAN的虛擬擴(kuò)展，這種接入對(duì)于分散型的車(chē)間、廠房、庫(kù)房等管理非常有效，各站點(diǎn)間部署中的用戶與企業(yè)LAN中的用戶都采用相同的安全限制。而SSL VPN應(yīng)用業(yè)務(wù)可以解決來(lái)自不可控制的端點(diǎn)的用戶（如移動(dòng)辦公用戶）接入特定的企業(yè)資源（CRM、OA等）。

3.2.4 網(wǎng)絡(luò)運(yùn)維管理

網(wǎng)絡(luò)維護(hù)管理復(fù)雜程度是企業(yè)必須面對(duì)的關(guān)鍵因素，針對(duì)需要接入專用服務(wù)器和子網(wǎng)的可信用戶組，管理員為其進(jìn)行IPSec VPN設(shè)置；如果部署要求逐用戶/用戶組或資源進(jìn)行接入控制，管理員為其進(jìn)行SSL VPN設(shè)置。新的接入管理能力可允許動(dòng)態(tài)認(rèn)證和角色映射，并提供極為靈活的基于資源的認(rèn)證，從而以高效的方式滿足企業(yè)的安全策略。

綜合上述分析，企業(yè)最終采用了IPSec VPN與SSL VPN相結(jié)合的部署方案來(lái)滿足企業(yè)的需求。企業(yè)內(nèi)部使用具有SSL和IPSec二合一的VPN（FVS336G）設(shè)備實(shí)現(xiàn)SSL及IPSEC VPN功能。

圖2 網(wǎng)絡(luò)拓補(bǔ)圖

遠(yuǎn)程移動(dòng)用戶、ERP應(yīng)用用戶等，通過(guò)SSL協(xié)議進(jìn)行WEB訪問(wèn)，客戶端不需要安裝和配置，只需在VPN設(shè)置哪種類型的訪問(wèn)控制和安全級(jí)別（全通道模式、分離通道模式和端口轉(zhuǎn)發(fā)模式）。經(jīng)過(guò)測(cè)試最終選定采用分離通道模式，這個(gè)模式允許遠(yuǎn)程客戶可以完全訪問(wèn)在VPN設(shè)備后面的局域網(wǎng)，同時(shí)將Web訪問(wèn)交給終端用戶的本地連接實(shí)現(xiàn)。在這種模式下，遠(yuǎn)程客戶端使用一個(gè)不同于NETGEAR的LAN子網(wǎng)的IP地址，它然后將被路由到局域網(wǎng)子網(wǎng)上。對(duì)于站點(diǎn)與站點(diǎn)之間的網(wǎng)絡(luò)部署如分公司與總公司之間的數(shù)據(jù)交換、文件傳輸以及財(cái)務(wù)憑證傳遞等可以通過(guò)站點(diǎn)對(duì)站點(diǎn)配置或FVS336G VPN客戶端軟件來(lái)創(chuàng)建IPSec通道。詳細(xì)配置過(guò)程和參數(shù)設(shè)置略。

經(jīng)過(guò)測(cè)試，這種二合一VPN網(wǎng)絡(luò)部署能很好地解決企業(yè)的需求，并有一定的擴(kuò)展能力，各項(xiàng)網(wǎng)絡(luò)指標(biāo)穩(wěn)定、安全，遠(yuǎn)程連接用戶的應(yīng)用程序執(zhí)行效率與在內(nèi)部網(wǎng)內(nèi)運(yùn)行無(wú)明顯差別，用戶反映良好，完全滿足企業(yè)各層面信息化的需求。

4 總結(jié)

總之，用戶在分析適合自己企業(yè)選用IPSEC和SSL VPN哪種網(wǎng)絡(luò)部署時(shí)，一定要先搞清楚每種技術(shù)最適合解決哪些問(wèn)題、部署和管理IPSec VPN和SSL VPN有哪些要求、它們各自的使用范圍及每種協(xié)議部署用于實(shí)現(xiàn)什么目標(biāo)等，并結(jié)合企業(yè)的實(shí)際網(wǎng)絡(luò)需求，根據(jù)實(shí)際需求制定性價(jià)比、安全、運(yùn)維管理最適合企業(yè)的VPN部署，使工作人員能夠接入企業(yè)資源，以實(shí)現(xiàn)最高的工作效率。