【IT专家网独家】针对服务器的远程安全访问一直是服务器安全领域中的一个热点问题,安全访问的方式有哪些,各自具备的特点如何,而Array提供的解决方案又有哪些优势呢?在SSL VPN的系列文章中将向大家一一解答。
目前远程安全访问主要有两种方式IPSec VPN和SSL VPN。大多数应用中远程安全访问的解决方案采用的是IPSec VPN方式。下面让我来详细介绍一下这两种方式的特性。
IPSec是网络层的VPN技术,也就是说IPSec独立于应用程序。IPSec以自己的封包封装原始IP信息,因此可以隐藏所有应用协议的信息。当IPSec建立加密隧道之后,就可以实现各种类型的一对多的连接,比如WEB、文件传输、电子邮件、VOIP等等。而且,每个建立的连接都对应到VPN网关之后的相关服务器上。
但是IPSec VPN在解决远程安全访问时却具有几个比较大的缺点:
1、需要安装客户端软件,但由于客户使用操作系统的多样性,并非所有客户操作系统都能够支持IPSec VPN的客户端程序;
2、IPSec VPN的连接性会受到NAT(网络地址转换)的影响,或受PROXY(网关代理设备)的影响;
3、IPSec VPN需要先完成客户端配置之后才能建立安全的连接通道,而且配置过程非常复杂;
4、IPSec VPN的连接采用隧道方式,使远程接入的安全风险增加;
5、管理IPSec的客户端时,维护费用相对较高;
SSL VPN指的是以HTTPS为基础的VPN,但也包括可支持SSL的应用程序,比如Microsoft Outlook或Eudora等电子邮件客户端程序。目前大多数计算机都已经安装了支持HTTP和HTTPS的WEB浏览器,而HTTPS就是以SSL为基础的HTTP,所以SSL VPN可以通过WEB浏览器实现无客户端的远程访问,SSL VPN也因此经常被称之为无客户端VPN。
目前,SSL已经由TLS传输层安全协议(RFC 2246)整合取代,它工作在TCP之上,和IPSec一样,它必须首先进行配置,包括使用公钥与对应密钥加密以交换信息。这种交换通过数字签名让客户端使用已验证的服务器,还可选择性的通过签名或其他方法让服务器验证客户端的合法性,接着可以安全的产生会话密钥进行信息加密并提供完整性检查。SSL可以利用各种公钥算法(RSA、DSA)、对称密钥算法(DES、3DES、RC4)和完整性算法(MD5、SHA-1)。
与IPSec VPN相比,SSL VPN具有以下优点:
1、 SSL VPN的HTTPS客户端程序,例如Microsoft Internet Explore、Netscape Communicator、Mozilla等已经预装在终端设备中、因此不需要再次安装,简单配置之后即可使用;
2、 SSL VPN可以在NAT(网络地址交换)代理设备上以透明模式工作;
3、 SSL VPN不会受到安装在客户端与服务器之间的防火墙影响,可以穿过防火墙正常工作;
IT专家网原创文章,未经许可,严禁转载!
