HillstoneSSLVPN解决方案.docVIP

Hillstone SSL VPN解决方案 1. 背景介绍 Internet的发展改变了许多公司的内部网络结构。传统上租用专线来建立分支机构互联的企业开始需要访问互联网，另一方面，使用互联网进行互联也可以节省许多费用。VPN技术的出现可以让许多远程办公室和移动用户安全地接入企业的内部网络。 基于IPSec的VPN技术一度是唯一的选择。IPSec建立在国际标准之上，可以保证不同厂商之间的产品互联互通。但是IPSec也有它的弱项，就是远程客户需要预先安装客户端软件，且客户端的配置、使用和维护极为复杂。随着互联网的发展和网页浏览器(例如微软的Internet Explorer)的大量预装使用，一个新型的基于SSL 的VPN技术出现了，为远程安全访问提供了另一种选择。 Hillstone的VPN解决方案可以支持IPSec和SSL两种方式。Hillstone的免费vpn技术结合了两者的优点，在通过IP层面的连接充分保障应用兼容的同时，也提供了细粒度的访问控制。 Hillstone的IPSec VPN支持点对点和星型连接拓扑，可以使用基于策略或者路由的方式来实现远程办公室之间的互联。移动用户可以通过Hillstone的SSLVPN接入分支机构或者总部的内网。Hillstone的SSL 免费VPN无需预先安装和配置客户端，所有的安装和升级都可以在远程接入时自动完成，把IT部门的负担减少到最低，同时集成了基于SSL的用户认证机制。Hillstone的SSL VPN和IPSec VPN都可以是基于路由的，这样可以保证用户的全网访问；同时，通过配置Hillstone的VPN接入网关，可以对用户接入和内网访问实现细粒度的访问控制，保障某些特定的网络资源只能被授权的用户访问。 Hillstone SSL VPN 支持 ● 基于IP层面的接入，兼容所有基于IP的应用 ● 私有IP地址分配 ● 内网的DNS和WINS服务器，提供内部域名解析 ● 多种加密算法 ● 自动配置路由 ● 多个用户域，每个域可以使用自己的认证服务器 ● 通过本地用户数据库、微软的Active Directory、LDAP、RADIUS，或通过USB证书， 或两者的组合实现身份认证 ● 基于用户身份的访问控制可以提供细粒度的访问控制。这种用户身份可以是用户名、 部门的组合 ● 多SSL VPN接入通道提供更高的安全性 ● 在客户端和接入网关处的多重访问记录 ● 用户管理 2. IPSec VPN vs. SSL VPN IETF为IPSec VPN及其相应的密钥交换协议制定了一系列标准。这种基于标准的技术保障了来自不同厂家的产品的互联互通。通过标准制定的加密算法和通讯协议，都经过了严密的审查，其安全性也得到了保证。 IPSec VPN是一项成熟的技术，目前有许多基于硬件的解决方案来保障它的高性能，是远程办公室点对点互联的优选方案。 但是，IPSec VPN存在先天的易用性问题。实施IPSec方案不仅需要人工发放认证的材料，如用户名和密码等；用户还需要知道所使用的加密和认证算法，内网路由配置等诸多繁琐事宜，当然还需要预装客户端软件等。这些不便在移动用户远程访问尤其是个问题，在大规模实施过程中给用户带来了难以负担的工作量和费用。 进一步分析移动用户远程访问的情况，IPSec VPN缺乏自然的用户认证方式。除了使用证书来认证用户以外，许多厂商还使用XAUTH或L2TP-over-IPSec等复杂的接入方式来认证用户身份。这为VPN的配置增加了许多复杂度降低效率，而且非常不易于用户理解。 第一代的SSL VPN技术在2000年发展出来之后被立即应用于移动远程接入，其基于浏览器的接入方式使远程访问更易于实施。同时通过使用HTTPS协议，可以轻易地实施双向认证：客户端可以通过验证HTTPS服务器证书的方式确认服务器的身份；然后服务器可以通过验证客户端的用户名和密码，或者进一步加入硬件证书、密钥等多种方式确认客户身份。 但是SSL VPN并不适用于点对点的远程连接，因为接入时它需要用户认证，而且只能从客户端到服务器单向启动连接。而IPSec VPN可以从任何一方启动连接，并且借助IPSec非常成熟的硬件加速技术，其连接性能远高于SSL VPN。 同时，由于SSL VPN没有标准化，所以不同厂家的产品无法实现互联。 从以上的分析来看，SSL VPN和基于IPSec的VPN技术是非常互补的。SSLVPN非常适用于移动用户远程接入的情形，而IPSec VPN在端对端的互联时更为适合。Hillstone的产品已经集成了这两种VPN方式，为用户提供了更完善的VPN解决方案。 3. SSL VPN的发展 HTTP和应用的匿名代理 第一代的SSL VPN只是一个HTTPS的匿名代理服务器。其核心技术就是改