天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

SSL VPN网站守护神 SSL VPN接入保障

2008-2-18赛迪网佚名

  基于SSL(安全套接层)VPN(虚拟专用网)的远程安全访问机制解决了门户网站的特殊安全需求。作为一种接入安全保障机制,它无疑充当着网站守护神的作用。

  门户系统不同于其他业务系统,它涉及企业内部信息以及客户的隐私和安全性问题较多,系统部分或全部暴露于Internet公网之上,安全问题显得尤为重要。

  在实现基于Internet的接入时必须考虑数据传输的安全性和访问的合法性。建设统一门户平台时,存在以下几个安全方面的需求, 保障数据在Internet上传输的安全性,检查各系统间访问的合法性和操作合法性, 记录用户的操作,便于查询和核实; 保护网站平台的安全性,避免恶性攻击或者病毒感染; 能及时进行系统缺陷更新服务和病毒库升级服务。

  SSL VPN接入安全保障

  为了保障内外门户松耦合机制、延伸内部人员办公区域、提高工作效率,在解决安全访问的需求时,必须考虑以下几个问题:

  提供易于操作的界面,便于使用者迅速上手;

  对用户侧没有预安装客户端软件的要求,能方便实用地迅速解决;

  在外工作时必须能穿透各种类型网络的Firewall或者Proxy设备;

  因此最适合以上需求的解决方案是基于SSL VPN(安全套接层,Security Socket Layer)的远程安全访问解决方案,该方案具有以下几个特点:

  可以实现128位数据加密,保护数据在传输过程中不被窃取;

  支持客户端证书的认证,并可以和USB Key结合使用,惟一地鉴定每一客户的合法性;

  支持多种认证方式,提供对客户访问的合法性检查;

  支持多种授权方式,保护客户的私密数据只能被“正确”的用户访问;

  支持多层安全控制机制,保护后台服务器的安全性;

  不需要安装任何客户端程序,所有访问操作都通过浏览器实现,因此非常方便用户使用;

  可以穿透Firewall或者Proxy设备;

  当然, IPSec也是部署VPN所采用的主要技术。附表对两种技术的实现方式做了技术和应用的对比,通过两种技术的优劣对比,选取更加适合门户系统的VPN技术。

  系统部署

  使用SSL VPN安全解决方案来保障系统的接入安全,还可以和公司安全认证系统相结合,通过建立PKI认证系统,确保各种人员、资源的身份,防止网络欺诈行为和抵赖行为。充分利用SSL协议做安全接入,可以统一为门户的客户端接入提供一种安全接入方式。

  企业的业务系统一般已经部署了防火墙、防病毒、IDS/IPS等安全系统,SSL VPN系统可以和原有的安全设施结合起来,共同提高系统的安全性。它一般部署在防火墙的后面,以利用防火墙强大的防护功能。在认证方面,SSL VPN和内部的安全认证系统结合起来,通过PKI认证系统,可以确保各种人员、资源的身份。

  通常在系统的网络边缘部署SSL VPN网关,SP(Service Provider)放在路由器和防火墙的后面,提供SSL VPN 接入。SP产品作为统一门户系统通过一个门户(portal)页面将各系统的对外接口纳入统一管理系统,对外通过Internet利用SSL加密技术安全地向公众开放统一的门户界面,对用户而言访问后台应用是完全透明的。SP在用户与后台WEB服务器之间起到了一个加密隧道的服务形式,所有的数据流通过SSL加密技术在SP上进行中转,用户与后台之间的数据交流完全保密。SSL VPN将实现与内部业务系统的高效无缝集成,能够节省公司的总成本,使网站维护成本降低,信息发布时间缩短。

  统一门户系统需要一个操作实施简单、管理维护容易、不需要改变网络结构、运营成本低廉的方案。SSL VPN是以SSL 协议为基础的VPN技术,最大的好处就是不需要安装客户端程序,远程用户基本上不需要IT部门的支持就可以随时随地从任何安装了支持SSL协议浏览器的客户端安全地访问统一门户系统,从而最大限度地减少分发和管理客户端软件的麻烦。

  SSL VPN通过TCP 443端口作为惟一的传输通道,因此管理员不需要在防火墙Proxy设备上做复杂设置,也不会因为不同系统的需求修改防火墙上的设定,降低了系统部署成本和IT部门日常性的管理支持工作费用。

  SSL VPN检查策略

  SSL VPN由于采用了SSL 技术,可以方便地通过数字证书认证享有PKI的高安全特性。通常选择安装客户端证书进行验证,给每个需要访问SSL VPN的人员分配个人证书,上面可以存放个人的一些信息,包括姓名、单位、部门、地址、EMAIL地址等。当客户端通过标准浏览器访问SSL VPN门户站点时,SSL VPN门户网关SP检查客户端的证书,这里的检查可以分为以下几种验证方法:

  客户端证书+用户名/口令验证:在检查客户端证书的同时,仍需要客户输入其SSL VPN账号和口令,这样可以达到更高的安全性。

  客户端+动态密码认证:支持动态密码认证,如RSA SecrueID、SecureComputing等,提供更高的安全性。

  客户端证书+USB/智能卡验证:客户端证书存放在USB KEY或智能卡里面,只有具有这些硬件介质的用户才能登录SSL VPN。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:赛迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行