维普资讯 http://www.cqvip.com 第2期 濮阳职业技术学院学报 Vo1.20 No.2 2007年5月 Journal of Puyang Vocational and Technical College May.2007 SSL VPN应用原理与安全性分析 王卫华 ,王长杰 (1.驻马店市广播电视大学,河南驻马店463000;2.开封人民学校,河南开封475000) 【摘要】对于那些需进入企业内部网站或者进行E—mail通信的远程用户来说,具有防止信息泄漏、拒绝非法 访问、保护信息的完整性等特点的SSL VPN显然是最佳的选择。本文对SSL VPN的工作原理和安全性做了一 些简单的探讨,希望给广大的用户以借鉴。 【关键词】SSL;VPN;原理;安全性 [中图分类 ̄-]TP393 [文献标识码】A [文章编号】1672—9161(2007}02—0013—02 1引言 请求时,请求并没有被直接发送给应用服务器,而是被SSL 随着信息技术的蓬勃发展和电子商务应用的普及,为 VPN接收,接收后的数据首先被SSL VPN进行协议解析, 了提高工作效率和加强合作关系,如何更加安全、快速、方 然后执行身份认证和访问控制等安全策略,最终再将数据 便地远程访问企业内部资源,成为我们要解决的当务之 转换为适当的后端协议,传送给应用服务器。由于在执行安 急。在投入最低的运维成本的情况下,充分利用网络现有的 全策略后才允许数据流进入应用服务器,从而有力地保护 资源优势,SSL VPN作为一种全新的技术正在被广泛关注。 了专用网络。 SSL VPN是解决远程用户访问敏感公司数据最简单最 3 sSL VPN的安全性 安全的技术。SSL利用它的加密和验证功能,并与安全网关 3.1数据的保密性 相结合,提供安全远程访问企业机制。这一点对于拥有大量 在公网中建立的通道,很难被人篡改。说其不安全,是 机器需要与公司机密信息相连接的用户至关重要。 从另一方面考虑的,就是在安全的通路两端,存在很多不安 2 SSL VPN的原理 全的因素。SSL安全通道是在客户到所访问的资源之间建 SSL(安全套接层)协议是一种在Internet上保证发送信 立的,确保点到点的真正安全。无论在内部网络还是在因特 息安全的通用协议,它处于应用层。SSL用公钥加密通过 网上数据都不是透明的。客户对资源的每一次操作都需要 SSL连接传输的数据来工作。SSL协议指定了在应用程序协 经过安全的身份验证和加密。由于使用的是SSL协议,所以 议(如HrIrI’P、Telnet和F1'P等)和TCP/IP协议之间进行数 用户请求在客户端和SSL VPN之间是使用高强度128位 据交换的安全机制,为TCP/IP连接提供数据加密、服务器 SSL连接,SSL VPN通过设置不同级别的用户,设置不同级 认证以及可选的客户机认证。 别权限来屏蔽非授权用户的访问。对于要访问的资源,可以 虚拟专用网络(VPN)指的是通过利用对两个专用终端 具体到每一个URL和服务,这样,对不同的用户和其可以 之间的通讯进行加密的方式在公用的国际互联网上模拟出 访问的资源以及资源的级别做了细粒度的对应。用户的设 专用网络。它在连通性、服务质量和保密性等方面与现存的 置可以有设置账户、使用证书、Radius机制等不用的方式, 典型专用网络具有相同的性能。 使用比较多的是证书方式。另外,SSL VPN都有历史信息的 SSL VPN的工作流程是使用者开启支持SSL功能的浏 清除功能,在客户端关闭浏览器后立即清除COOKIES等访 览器。输入公司SSL VPN服务器网址,和远程的SSL VPN 问信息,这样能够保证不将访问中不安全信息遗留在访问 服务器连接以后,服务器将验证用户的身份,就会利用Ac・ 机器上,防止未经授权的用户通过分析Cookies信息进行攻 tiveX的功能自动在使用端安装特定程序,产生一个虚拟网 击。 络界面。这个时候,使用者就可以点选服务器上面的应用程 而SSL VPN则提供了更加细粒度的访问控制。利用 序画面,然后该应用程序所需的相关数据,就会通过所建立 SSL VPN点击连接,不能访问局域网上的任何资源,用户根 的虚拟网络界面进行转换,将远程公司服务器内部的数据, 据自己被授予的权限浏览文件和访问关键应用,这样就降 通过SSL加密的封包传送到远程计算机当中,让远程计算 低了因访问权限过大而带来的潜在风险。 机使用者可以如同在公司内部一样读写数据。如果使用者 3.2服务器的安全性 要结束程序。只要关闭浏览器,所有的sSL VPN也会同步 SSL VPN没有将访问控制策略放在服务器端,只是开 中断。 启了应用系统。SSL连接不是网络层面的连接,因此后台的 SSL VPN网关位于企业网的边缘,介于企业服务器与 服务器不会暴露在用户面前,黑客不易侦测出应用系统内 远程用户之间,控制二者的通信。SSL VPN网关在传输过程 部网络设置,所有的授权和认证以及策略加固都由防火墙 中起到的主要作用是代理。当用户发送访问应用服务器的 后面的一台设备来完成,并远离了各个应用服务器,使应用 【收稿日期】2006—12—03 一13— 维普资讯 http://www.cqvip.com 王卫华,王长杰:SSL VPN应用原理与安全性分析 服务器更加安全。 3.4监控性 在TCP/IP的网络架构上,各式各样的应用系统会采 SSL VPN作为一个安全的网络通讯方式,所有的访问 取不同的通讯协议,并且通过不同的通讯端口作为服务器 信息都要经过这个网关,所以强大的日志功能,对于网管来 和客户端之间的数据传输通道。在防火墙上,每开启一个通 说非常重要,可以记录有关每次修改配置的记录、会话数 讯端口,就多一个黑客攻击机会。SSL VPN一般部署在防火 据,显示用户何时登录、何时退出的,以及用户消耗了多少 墙后面,通过SSL VPN的管理界面可以配置企业内部需要 资源。现在的安全产品不仅要忠实地记录访问信息,也要提 被授权外部访问的内部应用,就需要开通安全管理端口 供完善的超强的日志分析能力,这样才能帮助管理员有效 (443,也有一些产品以路由器的方式通过IP地址的配置来 地找到可能的漏洞和已经发生的攻击。还可以对访问人员 管理而不是用端口)到SSL VPN,而不需要开通所有内部应 的每个访问,做的每笔交易、每个操作进行数字签名,保证 用的端口,这样,即使有黑客主动攻击,也只能到SSL VPN, 每笔数据的不可抵赖性和不可否认性,为事后追踪提供了 无法攻击到后台的应用服务器,攻击机会相对就减少。 依据。能自动保存各种活动和报警报告。它与管理其他资源 在远程主机与SSL VPN网关之间,采用SSL通讯端口 一样,可以对访问进行集中管理,对组别、用户或资源的使 443作为传输通道,这个通讯端口,一般是作为Web Server 用进行摘要描述,发现可疑访问,特别标注并进行预警提示,并 对外的数据传输通道,因此,不需在防火墙上做任何修改, 且可以按照日期、使用情况或组别以图表方式进行描述。 也不会因为不同应用系统的需求,而来修改防火墙上的设 4结束语 定。如果所有后台系统,都通过SSL VPN的保护,那么在防 随着企业信息化建设的不断加强,远程访问企业内部 火墙只开启一个443端口就可以,因此大大增强内部网络 网站资源的需求越来越大,同时对远程登陆安全需求也日 免受外部黑客攻击的可能性。 益迫切,SSL VPN依靠高质量的数据访问安全性,必将成为 3.3病毒的防范 企业用户远程安全接入的首选方式,能够让用户随时随地 在Internet的接口处,网络都采取了一定的防毒侦测措 连入企业内网,将给企业带来更大的利益和方便。 施。SSL是一个安全协议,数据是全程加密传输的。另外,由 于SSL网关隔离了内网服务器和客户端,只留下一个Web 【参考文献】 浏览接口,客户端的大多数木马病毒传播会局限于这台主 【1】李春艳,郭轶尊,杨永田.基于IP安全体系结构的虚拟 机,而且这个病毒必须是针对应用系统的类型,不同类型的 专用网【J】.哈尔滨工程大学学报,2001,(6). 病毒是不会感染到这台主机的,感染不到内网服务器。因此 【2】徐家臻,陈莘萌.基于IPSec与基于SSL的VPN的比较 通过SSL VPN连接,受外界病毒感染的可能性大大减小。 与分析【J】.计算机工程与设计,2004,(4). (上接第10页) 有对拉索的截面积对动力性能的影响进行研究,后续工作 应该涉及此项。第二,上部拱结构的尺寸如矢高和拱截面积 等对结构动力性能影响很大。因此在设计过程中应该尤其 注意上部结构各参数的设计。 【参考文献】 【1】崔晓强,郭彦林,王宏.索拱杂交结构及其在中山大学 风雨球场中的应用【J】.钢结构建造,2001,(4). 【2】郭彦林,胡淑辉.一种新型预应力索拱结构的弹性稳定 性能研究【J】.空间结构,2005,(9). 【3】郭彦林,吕 晶.整体张拉及杂交结构体系的特点与应用 【J】.工业建设与设计,2oo5. 图5拱截面积不同情况下频率与振型关系图 【4】李占军.拉索拱结构几何非线性分析的实用方法【J】. 选取的三种拱截面大小不同,其中A1为基本截面,三 建筑结构学报,1999,(6). 种截面大小关系为A2>A1>A3。基频分别为1.3781、 【5】张莉,张其林.徐崇宝菱形双曲抛物面索一拱体系的静 1.2689、1.3403。由图表可见,在低阶自振情况下,三种结构 力性能和参数分析【J】.工业建筑,1999,(6). 的频率相差不是很明显(前五阶),在高阶振动时,截面积越 【6】剧锦三,郭彦林.索~拱结构的平面内稳定性研究【J】. 大,自振频率就越大,这说明上部拱结构的截面积大小对结 建筑结构学报,2001,(4). 构的自振频率影响很大。 【7】剧锦三,王芝芳,郭彦林.索在索一拱结构中的作用【J】. 4结论 中国农业大学学报,2000,(5). 通过对索拱结构各种参数对其动力特性影响的研究分 【8】魏德敏.拱的非线性理论及其应用【M】.北京:科学出 析,可以得到如下结论:第一,大跨度索拱结构的拉索布置 版社,2004. 以及拱的预应力对其动力性能影响不大。限于篇幅,本文没 一l4一
