精華區beta About_Life 關於我們 聯絡資訊
發信人hashimoto.bbs@ofo.csie.ntu.edu.tw (MUFC Studio),
看板TWTC-Show
標 題[電子時報] SSL VPN將成VPN設備熱門應用
發信站未來最舊小棧 (Fri Sep 3 00:28:52 2004)
轉信站ptt!Group.NCTU!grouppost
【2004/08/26/Digitimes Lab】 近年來,銷售VPN設備的廠商發現SSL VPN開始竄紅,因為不少客戶本來規劃VPN是為了點 對點的辦公室連接(Site-to-Site),現有的VPN設備多辦公室網路環境當中應用上沒有 問題。但因為客戶的員工外出辦公情況增加,所以管理階層開始考慮到,希望行動工作者 能夠透過VPN連回公司,以免發生員工在外無法控管的情況。雖然大部分的VPN設備都有 客戶(Client)端軟體讓使用者連回公司,但由於外界網路環境相當複雜,並不是所有的 網際網路都能讓使用者透過IPsec VPN的方式連接回公司伺服器。為了解決這類問題,所 以網路設備廠商推出SSL VPN設備,讓使用者能夠透過SSL VPN的方式連接回公司,藉此達 到行動工作者能夠達到與公司同事資料同步運作的效果。 SSL VPN運作原理與優勢 所謂的SSL VPN,其實是VPN設備廠商為了與IPsec VPN區別所創造出來的名詞,指的是使 用者利用瀏覽器內建的Secure Socket Layer封包處理功能,用瀏覽器連回公司內部SSL VPN伺服器,然後透過網路封包轉向的方式,讓使用者可以在遠端電腦執行應用程式,讀 取公司內部伺服器資料。 實際上SSL VPN運作的方式是這樣,使用者開啟支援SSL功能的瀏覽器,輸入公司SSL VPN 伺服器網址,然後鍵入使用者帳號與密碼,遠端的SSL VPN伺服器就會利用ActiveX的功 能,自動在使用者端安裝特定程式,產生一個虛擬網路界面。這個時候,使用者就可以點 選伺服器上面的應用程式畫面,然後該應用程式所需的相關資料,就會透過所建立的虛擬 網路界面進行轉換,將遠端公司伺服器內部的資料,透過SSL加密的封包傳送到遠端電腦 當中,讓遠端電腦使用者可以如同在公司內部般地讀寫資料。如果使用者要結束程式,只 要關閉瀏覽器,所有的SSL VPN也會同步中斷。 由於SSL是網路瀏覽器所內建的功能,因此SSL VPN的連接方式,能夠適用於常見的網際網 路環境,而且不限制使用者用的是Public IP或者是Private IP;再加上ActiveX也是常見 的網頁語言之一,如果使用者要使用SSL VPN的話,MIS人員並不需要在使用者的電腦當中 安裝VPN Client應用程式。只要事先設定好公司SSL VPN伺服器的相關參數,當使用者連 接上來之後,SSL VPN伺服器就會透過ActiveX自動安裝所需程式,結束之後自動移除,可 說是相當方便。 跟傳統走IPsec為主的VPN裝置來比較,SSL VPN在網路穿通能力與跨平台應用上,相容性 要更高,而且透過SSL的加密方式,可以達到一定的安全效果,再加上不用事先安裝程 式,簡化MIS的人力支出,所以近來SSL VPN非常熱門。根據Infonetics Research在2004 年第一季的研究報告指出,預計全球SSL VPN的市場規模會持續成長,在2005年可達到360 百萬美元,而2006年會達到497百萬美元,甚至在2007年可以有591百萬美金的規模。 SSL VPN設備應用的網路架構 在既有網路的架構當中,SSL VPN的應用方式其實是很簡單的,比起傳統IPsec VPN要容易 許多。因為它所在的位置是在防火牆後方,MIS人員只需要針對SSL VPN裝置在防火牆當中 開啟單一設定,就完成安裝了,並不會像IPsec VPN一樣,需要針對不同用戶開啟不同的 VPN Profile設定。因為遠端的使用者是利用瀏覽器連接到SSL VPN設備,然後透過IP封包 轉譯的方式,由SSL VPN設備「模擬」遠端使用者在「內部」進行資料存取,所以才有辦 法突破各種網路的限制,達到執行各種ERP、CRM或者是特定應用程式。 傳統使用VPN Client程式的架構,由於使用者取得的是內部IP位置,因此在執行企業內部 專屬程式的時候,只要該程式所使用的連接協定是VPN裝置所支援,就沒有設定上的問 題,但是SSL VPN的設計卻不一樣。 由於各家的SSL VPN在與內部程式的連接上有不同的設計,所以在規劃使用的時候,必須 要作事前測試。因為依照廠商技術不同,有的是利用Adapter的方式作網路封包轉譯,有 的則是利用Port Forward的方式作介接,不同廠商所使用的技術差異不小,所以在使用前 必須要作應用程式相容性測試。 除此之外,SSL VPN跟傳統VPN在費用計算上最大的差異,是SSL VPN裝置需要使用到網路 認證(Certificate),傳統的VPN裝置是不需要的,因此在產品的費用計算上,您需要額 外計算網路認證的費用支出。 圖1:IPsec VPN與SSL VPN功能規格比較一覽表 http://www.digitimes.com.tw/newsimage/040826109f12_0.gif
圖2:SSL VPN已經成為VPN應用的熱門話題 http://www.digitimes.com.tw/newsimage/040826109f12_1.gif
圖3:SSL VPN硬體裝置的網路應用架構(由Juniper提供) http://www.digitimes.com.tw/newsimage/040826109f12_2.gif
圖4:透過SSL VPN可以在遠端執行特定應用程式 http://www.digitimes.com.tw/newsimage/040826109f12_3.gif
-- 未來最舊小棧 Oldest Future Object ▇█˙通訊頻率 OfO.twbbs.org ◢▉◤ ◆來源座標 210-85-66-124.cm.dynamic.apol.com.tw