e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

SSL VPN的几种典型部署场景分析

2009/7/9    来源:万方数据    作者:罗俊      
关键字:防火墙  SSL VPN部署  DMZ  
SSL VPN在实际应用中要想达到理想的效果,是和具体的网络拓朴以及设备部署状况息息相关的。SSL VPN系统的安全性、功能、性能等都会因为部署方式的不同而出现较大的差异,同时对防火墙、路由器、交换机等其他网络和安全设备也会有一定的影响。要想将SSL VPN融入到原有的网络架构之中,需要对整个网络和系统安全策略有—个全局的考量。

    SSL VPN在实际应用中要想达到理想的效果,是和具体的网络拓朴以及设备部署状况息息相关的。SSL VPN系统的安全性、功能、性能等都会因为部署方式的不同而出现较大的差异,同时对防火墙、路由器、交换机等其他网络和安全设备也会有一定的影响。要想将SSL VPN融入到原有的网络架构之中,需要对整个网络和系统安全策略有—个全局的考量。

    SSL VPN的加密通道仅仅存在于客户端与SSL VPN之间,在对SSL数据报文进行解密处理之后,数据将以明文形式转发到目的地,改变的可能只是源、目的IP地址以及传输层端口,这就使得妥善的网络部署显得尤为重要。基于安全性的考虑,SSL VPN一般都部署在防火墙内部,主要有以下四种方式:

    ——和防火墙集成,以同一台设备的形式出现。

    ——作为独立设备部暑于用户内部网络。

    ——作为独立设备部暑于DMZ区。

    ——作为独立设备以双罔卡形式部属于DMZ区。

    下面对这四种部署方式的网络拓扑和优缺点进行分析。

    1.SSL VPN和防火墙集成

    这种方式的SSL VPN以纯软件的方式集成在防火墙上面。如果采用同样的软件架构,已有的防火墙设备可以直接下载SSL VPN软件包使用。防火墙只开放自身外部接口的443端口(H1vrPS)服务,客户端直接和防火墙进行SSL握手,内网服务器直接和防火墙通讯,如图1所示。

    图1防火墙集成SSL VPN模式

    这种部署方式的优点在于:不需要为SSLⅥ)N通道穿越防火墙而提供不受控的连接,防火墙壁垒不存在空隙。同时,由于没有增加任何设备,网络的设计和管理相对简单。缺点也很明显:

    (1)由于用户防火墙和SSL VPN合一,用户失去了选择SSL VPN设备的自由。

    (2)防火墙自身的443端口可以被直接访问,增大了防火墙受到攻击的几率。

    (3)防火墙需要和内网服务器直接建立连接,防火墙的安全性和处理性能都会受影响;最后,防火墙的软件架构由于要兼容SSL VPN,可能会引入新的安全漏洞。

    2.SSL VPN部署于用户内部网络

    这种方式的SSL VPN完全位于防火墙之后,在用户的内部局域网之中。防火墙必须为TCP的443端口完全放开通道,如图2所示。

    图2 SSL VPN位于用户内网模式

责任编辑:赵蔓
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐