如今正在兴起的移动办公等远程接入应用方面,SSL VPN有更大的优势。从传输安全、身份认证、接入安全检查、访问授权等方面保证SSL VPN方案的安全性。
1.传输安全
传输的安全性通过SSL协议来保障。SSL确保了数据传输的机密性、完整性和通信双方的相互认证,可用各种公钥(RSA、DSA)算法、对称密钥算法(DES、3DES、RC4)和完整性(MD5、SHIA-1)算法。
2.身份认证
在SSL协议中,Client和Server在握手阶段会认证,该认证是设备间的认证。SSL协议的双向认证保证了终端设备的可信,但不能证明用该终端的人的身份。SSL VPN能在应用层(而不是在SSL层)提供接入用户的身份认证功能。SSL VPN除了可提供传统的用户名/密码认证方式外,还可提供数字证书认证、动态密码认证及接入终端硬件特征码绑定等多种扩展认证方式。
3.接入安全检查
用户所处环境的复杂性、所用终端的不确定性都会潜在的冲击内网安全。面对这一问题,SSL VPN网关引入了终端安全检查和控制策略,检查用户终端的安全性与可信性。由检查结果评估终端的安全状态,然后决定是否允许用户访问内网、能够访问哪些资源。
4.访问授权
SSL VPN的用户是多样的,可对用户基于角色、用户组、单个用户来授权。对于用户已有的授权体系,SSL VPN能支持与外部已有授权系统集成,方便管理员对全网统一部署授权策略。通过对不同用户实施不同的访问授权,SSL VPN网关能只允许合法用户接入。管理员可为用户分组或定义不同的角色,配置不同的资源,使特定用户只能访问授权的特定资源。对内部资源的控制粒度越细,对内网的安全保障越有效,SSL VPN能访问控制URL、IP、端口、应用服务。
