SSL VPN:敏感数据最简单最安全的解决技术
亿网什么是SSL协议?
安全套接层(SSL,Secure Socket Layer)起源于Netscape,现在被广泛地用于Internet上的身份认证和Web服务器与客户端浏览器之间的数据安全通讯。SSL和SET是目前Internet上比较成熟的安全技术标准。SSL建立在可靠的传输层协议(如:TCP)之上,与应用层协议(如:HTTP,FTP,TELNET…)独立无关,它可以有效地避免网上信息的偷听、篡改、以及信息的伪造。SSL协议在应用层协议通信之前完成加密算法、通信密钥的协商以及服务器认证工作,应用层协议传送加密数据,从而保证通信的私密性。
什么是SSL VPN?
SSL VPN是解决远程用户访问公司敏感数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL 内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。
SSL 与SSL VPN、TLS的区别?
SSL 3.0版本,也被标准组织采纳为TLS(Transport Layer Security传输层安全) 1.0之中,所以SSL VPN也叫TLS VPN。下面是SSL 与SSL VPN、TLS的区别:
- SSL:单纯的实现对某些TCP应用的保护,如HTTPS和SFTP;
- SSL VPN:利用TCP的传输作用以及SSL对TCP会话的保护,实现VPN业务,被保护的VPN业务可以是TCP的、也可以UDP,纯IP的应用;
- TLS:在SSL上进行扩展,能够直接实现对UDP应用的保护,这也是传输层安全的最佳注释。
SSL VPN的优点
SSL VPN的好处在于其强大的认证机制,PKI体系和SSL简直就是一对孪生兄弟。PKI在互联网上实现了和现实生活中一样甚至更加安全的认证体系。签名验签,数据加密,X.509证书认证等高级主题在PKI中都有描述。而SSL的安全很大程度真是建立在PKI之上的。
在网络基础设施的意义上,SSL VPN几乎不需要对网络基础设施进行任何配置,它简单的保护了数据,注意,是数据,而不是网络,因此可能你只需要多打一个字符s就能安全访问应用了。这种简便的特定,使得其接入用户指数级的增加。你要明白一个道理,普通用户几乎不知道什么是路由,如果你告诉他们,为了安全,必须配置一条路由,那他们会疯了的,就算客户端软件自动完成了路由的配置,用户可能为了不装客户端而放弃自己的安全性。
SSL VPN部署方式
只有Windows Server 2008和Windows Vista操作系统,才能够使用SSTP协议访问SSL VPN服务器。VPN服务器如果配置为SSL VPN服务器,VPN客户端没有部署证书之前,使用PPTP协议也可以连接到SSL VPN服务器。
准备工具
一台域控制器(Services服务、WINS服务、DHCP服务器、Active Directory证书服务)、一台SSL VPN服务器、数台应用服务器
部署SSL VPN服务器建议遵循以下流程:1.在域控制器中部署Active Directory Domain Services服务、WINS服务、DHCP服务以及Active Directory证书服务。
2.组策略管理部署计算机证书自动申请策略。
3.在域控制器中创建用户,并赋予其“允许远程访问”的权限。
4.在SSL VPN服务器加入域。
5.SSL VPN服务器通过MMC管理控制台验证证书的状态。
6.在SSL VPN服务器中部署“网络策略和访问服务”,配置“路由和远程访问”。
7.客户端计算机申请证书。
8.客户端计算机查看证书的状态。
9.客户端计算机创建VPN连接,连接到内部网络。