SSL VPN使您的网络连接更灵活－H3C MSR SSL VPN解决方案-新华三集团-H3C

SSL VPN使您的网络连接更灵活－H3C MSR SSL VPN解决方案

【发布时间：2008-06-06】

1.概述

信息时代的来临，越来越多的企业加大了对自身信息网络系统的建设，同时企业出差员工、分支机构员工、合作伙伴与公司总部业务系统的联系也日益紧密。如何能让市场人员或者分支机构在外也能及时与公司总部的业务系统沟通？如何能让销售渠道随时获得产品信息与供货信息？怎么能让公司的老总们能够在家方便管理公司事务，随时了解公司情况？这些都需要企业构筑一个基于Internet的信息网络，但也要注意到Internet带来便捷的同时，也引入了黑客攻击、数据泄密等不安全的事件，既要充分利用网络的力量，又要保证企业自身的安全需求和利益，是摆在网络建设者面前的难题，SSL VPN正是在当今信息时代无处不在的沟通交流需求中产生的新型VPN连接方式。

SSL(Secure Socket Layer)是在Internet基础上提供的一种保证私密性的安全协议。它能使客户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户进行认证。SSL协议的优势在于它是与应用层协议独立无关的，高层的应用层协议(例如：HTTP，FTP，TELNET，…)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作，在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。

通过以上叙述，SSL协议提供的安全信道有以下三个特性：

l 私密性。因为在握手协议定义了会话密钥后，所有的消息都被加密。

l 确认性。因为尽管会话的客户端认证是可选的，但服务器端始终是被认证的。

l 可靠性。因为传送的消息包括消息完整性检查(使用MAC)。

SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。这使得企业员工出差时甚至不必再携带自己的笔记本电脑，仅仅通过一台接入了Internet的计算机就能访问企业资源，这为企业提高了效率也带来了方便。由于SSL VPN不像IPSec VPN那样要购买和维护远程客户端或软件，因而要比后者有更高的成本优势。

基于H3C MSR路由器的SSL VPN解决方案很好地满足了人们对于网络通信的便捷性、安全性和稳定性的需要，通过提供丰富的客户化功能和通过硬件加速实现的高性能SSL接入能力来支持全网连接应用，另外，还可以配合内置防火墙、用户认证功能和支持热备份，也大大提高了整个网络系统的安全性。

２.基于MSR路由器的SSL VPN的特点

基于MSR全系列路由器的SSL VPN除了具有该VPN与生俱来的技术优势之外，还具有与MSR路由器紧密结合的一些特点和优势：

2.1 强大的路由转发平台提供保证和实现功能扩展

MSR路由器是H3C公司专门面向行业分支机构和大中型企业推出的全新一代路由器网络产品，该系列产品将安全、交换、语音、无线和开放式业务完美地集成在一起，能够为企业用户提供一体化的网络解决方案，同时可充分满足未来业务扩展的多元化应用需求。

SSL VPN作为MSR路由器安全业务下的一个子功能模块，不仅具有SSL VPN本身强大的功能和丰富的特性，而且具有同MSR路由器其它业务模块配合提供更多的业务能力，如结合MSR路由器的QoS技术可提供灵活和可靠的业务保证，结合VoIP技术可以提供基于SSL VPN的IP语音电话，结合MSR路由器独特的NQA、BFD技术可以提供高可靠性的保障等等，总之，基于MSR路由器的SSL VPN完全可以等同于一个专业SSL VPN产品，同时还具有专业VPN产品所不具有的高性价比特点，用户用较低的成本不仅买到了等同于专业SSL VPN的设备，而且还得到了更多的产品附加的增值功能，真正体现的是“物超所值”！

2.2 实现多种VPN技术的统一和硬件加速方案的共享

MSR路由器设备的安全功能和VPN技术最为丰富和完善，几乎囊括目前实际组网应用中的各种VPN技术，目前支持MPLS VPN、IPSec、L2TP、GRE和SSL VPN几种VPN技术，特别是在实际应用组网过程中会同时需要部署和实施几种VPN技术时，如总部和分支机构之间采用IPsec VPN实现通信，而对于移动办公和出差人员则采用SSL VPN技术来实现通信，对于这种组合VPN应用，MSR路由器提供了最为灵活的选择方案。

MSR路由器在实现VPN技术的同时也充分地考虑到了硬件资源的共享以较大程度地保护用户投资和提高部署实施的便利性。基于MSR路由器的加密扣卡不仅可以实现IPsec VPN的硬件加速，也可以实现SSL VPN的硬件加密功能，这不仅提高了IPSec VPN和SSL VPN的加密效率，还保证可以共享相同的硬件资源，这种价值保护对于用户来说是最需要的。

2.3 提供最为完善的工作模式和业务功能

基于MSR路由器的SSL VPN方案支持的工作模式和业务也相当完善和丰富，目前提供WEB、TCP Proxy和IP Proxy三种工作模式，几乎能够满足各种应用的需要，用户可以灵活地根据自己的业务需要和实际情况进行选择，而支持的业务也较为丰富，几乎囊括目前一些常见的应用，如WEB服务器访问、WEB邮件、文件共享、远程桌面、telnet应用等等，充分满足用户当今多业务应用需求。

2.4 独特的主动安全检查机制消除安全隐患

基于MSR路由器的SSL VPN提供了“主机检查”和“缓存清除”两个安全技术机制。“主动检查”可实现用户接入终端的系统版本检查和资源评估，评估内容包括：操作系统版本、浏览器版本、文件的检查等等，并且有多个级别的评估，评估通过后用户可以使用相应级别的资源，如果任何级别的评估都不通过则禁止用户访问相应的资源。“缓存清除”可自动清除Internet Explorer历史痕迹，包括cookie、客户端程序的安装文件夹、临时文件、注册表信息等等，即可主动消除网络访问中的安全隐患，大大提高了SSL VPN应用的安全性。

３.基于MSR路由器的SSL VPN组网应用

3.1 SSL VPN的WEB应用访问

随着Internet的广泛普及和推广，基于B/S模式的应用越来越受到企业客户的青睐，很多企业将越来越多的基于传统C/S模式的应用改造成B/S模式并部署和实施到企业的网络中，如财务报销系统、业务流程系统、固定资产管理系统等等。由于这种模式不需要安装和配置任何客户端软件就可以通过Web浏览器安全的访问数据了，系统的部署和用户的使用都极为方便，因此能够被广大用户所接受并推广应用。

从目前的技术发展情况来看，而SSL VPN是提供基于WEB应用的最理想模式，它能够让用户按照现有的WEB方式实现企业内部网络的应用访问，同时又能保证网络访问的安全。而内置SSL VPN技术的MSR路由器又是用户的较佳选择，不仅性价比高，而且功能丰富完善，另外还可以通过MSR的硬件加密卡来加速SSL VPN的应用。实际上基于MSR路由器的SSL VPN不仅仅支持单一的WEB服务器访问模式，它还提供基于TCP Proxy和IP Proxy的代理模式，这种两种模式可以使用户采用SSL VPN技术访问传统的C/S模式的应用，这大大提高MSR路由器对于SSL VPN应用的适应性和灵活性。下面是基于MSR路由器的SSL VPN网络部署的典型组网图：

3.2 IPsec VPN和SSL VPN的组合应用

SSL VPN虽然对于用户端是“免维护”的，因为有WEB浏览器就能上网访问应用，但SSL VPN并不能完全取代IPSEC VPN，因为这两种技术目前应用在不同的领域，各自有自己的优势。SSL VPN考虑的是应用软件的安全性，更多应用基于Web应用的远程安全接入方面；而IPSEC VPN是在两个局域网之间通过Internet建立的安全连接，保护的是点对点之间的通信，并且它不局限于Web应用，而是构建了局域网之间的虚拟专用网络，功能更强和应用更广阔。现在已经有多个网络设备提供商要将两者结合在单一设备里，IPSec VPN对内提供服务，SSL VPN对外的移动员工、合作伙伴提供服务，实现两者的完美结合和互补。

在实际组网应用中，需要实现IPsec VPN和SSL VPN混合组网的需求很普遍，特别是在一些有总部、多个分支机构和移动人员的企业中，在总部和分支机构之间通过IPsec VPN互联实现了两个网络之间的互访，而采用SSL VPN可以实现移动办公人员或单一的合作伙伴访问总部网络，这种模式很好地满足了用户的需求和应用的需要。而基于MSR路由器又是满足这种模式应用的理想选择，它能够很好地将IPsec VPN和SSL VPN完美地结合在一起，提供丰富功能的同时还能实现访问的硬件加速，保证网络的畅通可靠。下面是IPsec VPN和SSL VPN混合应用的典型组网图：