Top
首页 > 老文章 > 正文

李云峰:新一代安全远程接入解决方案SSL-VPN

asd

李云峰:新一代安全远程接入解决方案SSL-VPN
发布时间:2006-06-16 16:37        来源:        作者:李云峰
主持人:各位领导、各位里宾下午好,第七届中国国际计算机网络和信息安全展览会暨高峰论坛下午论坛现在开始,首先有请凹凸电子公司产品经理李云峰先生给我们演讲,他演讲的题目是“新一代安全远程接入解决方案SSL-VPN”有请! 李云峰:首先感谢各位领导,各位来宾到来跟我们一起分享凹凸电子的一些想法。我们一起分享一下在信息安全方面的一些成果。 凹凸电子在信息安全界对各位不是特别的响亮,因为我们在中国信息安全市场上前几年一直埋头耕耘自己的核心竞争力,也就是这一两年的时间我们开始在市场上把我们的成果奉献给大家。首先看一下凹凸电子从哪儿来,历史上干些什么事?再看一下针对移动办公、移动网络和安全结合起来能够为办公实现的更方便,同时能空出更多的时间为构建和谐社会贡献一点技术上的力量。 先介绍一下公司的情况,凹凸电子总部在美国硅谷,95年成立,2000年在纳斯达克上市,我们的股票代码是OIIIM,现在在全球有将近2600人,在大陆有北京、上海、深圳、成都有研发机构。整个公司非常注重自己的研发实力,凹凸的口号是没有专利就没有凹凸,我们凹凸每一个产品都有自己的核心专利,包括防火墙芯片。公司现在每年有将近两亿美金的收入。为了开拓新的领域我们在信息安全方面投入了很大力量,我们有自己的ASIC,这是我们在全国各地的布局。在亚太区中国我们投入了很大的力量,投入了非常大的研发和对客户服务的技术力量。 首先介绍一下我们的防火墙系统。我们有一个芯片叫做Sentnelasicchip,在防火墙层面所有的数据都是在芯片里面完成交换的,包括多个接口之间的交换等都是在核心芯片里完成。国内大家看到防火墙也是很多年了,从X86架构,到NP,到自己的ASIC。在我们的芯片里面有自己的专利,第一个就是智能的防御系统,对QS流量控制和路由都是在芯片里完成的这就跟用很多NP做的防火墙功能上有很大的区别,我们一颗新品可以完成5个G的吞吐量。我们可以自100万个并发的绘画,处理并发新建连接速度达到每秒25000个会话。我们国内有一个大学结点上流量能够做到70%,我们的防火墙能够平滑的运行。 大会主题叫国家信息安全等级保护,因为防火墙肯定是这里可以用的设备,今天重点跟我们分享一下我们在SSL-VPN方面的看法。信息安全一个重要的概念就是网络边界的延伸,我们的网络边界是不是可以延伸?以前大家都用专用电路组建自己的网络,这样的网络是封闭的,那样可能会延伸到家里,能延伸到酒店里面,让你能在任何地方访问自己的骨干业务,能够实现办公提供效率,这是很我VPN厂商提供的概念。不同的VPN是不是定义相同呢?VPN目的就是把网络边界进行延伸。最早的时候有远程拨号,现在大家都有Internet进行网络接入,这比不能保证安全,我们一般会看SSL-VPN和IPsec这两个。首先给出两个,MPLS,大家知道MPLS网络实现异地各点之间有自己独立的虚拟的准用路由域,MPLS只是在DDPL表里面打一个标签。DDPL只是实现类似网络拨号的接入本身并没有太多的安全。IPsec即可以实现网络到网络的连接,也可以实现个人多网络的连接。IPsec的缺点也很明显,它必须在终端上安装一些软件备至一些策略。就是IPsec的引入特点,它一定要装软件。我相信在座的很多都是做技术的,装一个IPsec软件不是很难的题。IPsec是不需要装客户端就能实现企业局域网络安全访问的功能。这种功能对于很多非技术的的商务人员用起来特别方便。我们凹凸会申请很多专利,公司有很多从事法律工作的人今年我们在美国德州刚打赢几场官司,我们的公司总部在美国加州到德州打官司、出差律师习惯他们对一些事件进行追踪。利用SSL-VPN他都能对相关的邮件区分出来,很方便。这就验证了SSL-VPN无论是企业什么规模,只要需要把应用比如办公系统和OA系统需要在移动的点跟公司总部之间进行连接,SSL-VPN节可以帮你解决这个问题。 SSL-VPN更多的是体现访问控制的功能,这也跟安全等级保护有一定的关系。就是远程接入的人从家里或者酒店里接进来,安全等级是不是跟企业一样呢?毫无疑问应该是不一样的。因为不知道酒店里面是谁的计算机,因此SSL-VPN更关键的内容是怎么样对接入的人进行控制,和怎么确保这些接入的点是可信的。我们总结了SSL-VPN的一些关键特性。 第一个就是能够实现应用的代理和协议的转换,这个能保证关键应用在远程端点和局域网连接起来。 第二个就是不需要客户端进行访问。 第三个就是远程访问一定要简单易用。不需要支持站点到站点,同时要考虑各种各样的网络链路。 第四点就是支持Extranet。就是比如说我们的合作伙伴,我们的供应商我们的合作伙伴需要到内部网里面取版本,对这样的应用进行支持,对这样的资源要能够控制。 第五,能够支持非常细力度的访问控制。 第六,使用SSL保证通信安全。通信安全包括了网络通信数据的加密和完整性的保护。 利用IPsec有什么问题?第一个就是需要改变防火墙配置。第二个就是要上客户端软件。第三三个就是受网络环境以及用户端配置的影响。第四个就是整个网络暴露在外。比如你的客户端是在客户的办公网里面这都不能保证第一你的病毒是不是会进来?第二会不会有黑客通过这个路径进来,这样会违反病毒的意见。 上SSL-VPN,第一只需浏览器即可访问,第二不受任何网络影响。前面从四个主要的方面看IPsec和SSL-VPN他们分别面临什么样的挑战和怎么样解决?我们有很多对比的项目可以看SSL-VPN和IPsec因为定位不一样,SSL-VPN更适合作为远程接入的解决方案。而且它成本很低,不需要配置客户端维护成本也很低。也能够限制接入的人不能完全接入到网络里,只能把也应用连接起来。这样就能做等级的保护。初始投资比较便宜,没有安装费用。大量远程用户推广的使用用SSL-VPN非常方便,只要告诉每个用户SSL-VPN的域名或者地址就可以了。 从技术角度来讲IPsec和SSL-VPN也有很多不同的地方。SSL-VPN作为一个远程接入最关键的两个特性一个是传输的安全和访问的控制。大部分的SSL-VPN都会支持两种模式,一种是单臂模式,一种是双臂模式。单臂就是不需要串在网络里,这个就是设备配置好任何网络地址网络规划都不需要改变,可以马上让全国各地的人通过SSL-VPN远程接入到公司里面来。因为SSL-VPN不会影响路由的改变。前面我们给大家分享了SSL-VPN这样的产品具备的特点。我们简单回顾一下SSL协议?它最初的设计目的是对外部数据传输的安全SSL被网景公司定义发展到第三版,第一版有漏洞,第三版包括做安全分析的学术界的人没有找到SSL第三版的问题。SSLv3跟TLS是一致的,SSL协议利用对称密码进行加密,同使用公钥技术进行认证,密钥协商。大家都知道一个协议是有握手和会话两个层面组成,这样可以保证会话层的密钥比较安全。 一个完整的握手是标准的三次握手就可以执行完。大家都知道安全协议分析里面只要有三次握手就可以实现没有漏洞的双向的认证。有很多文章研究这个问题,SSL标准草案里也是这样写的,包括我们国家有些学者也参与了SSL的撰写。只要有三次消息就可以实现双向认证,这已经是公认的恩情了。之后就是应用数据的加密,这是比较标准化的东西了。 刚才是SSL协议本身的技术,我们前面也看了SSL-VPN应该具备什么样的特性,怎么在协议基础上实现SSL-VPN呢?大概有四种方式。一种是代理,一种是应用转换,就是把C/S的应用客户端转化成WEB方式。第三种是端口转发、包括我们常用的OUT-Look等等。端口转发避免了作为应用转换性能的问题。因为提到性能转化最大的问题是对应用特性的支持绝对跟不上原厂客户端软件的特性,第二就是性能会很低。最后一种网络连接它的本意是用SSL实现类似IPsec的功能。它的好处有些使用动态端口比如IP电话、视频会议,单口转发支持起来比较困难,但是NC模式就能实现了,但是这也会有一定的访问上的风险。 使用NC时候需要考虑的因素。 优势:相比IPsec而言可实现类无客户端,没有IPsec需要的复杂的配置问题,能够控制端点安全。 劣势:不再是纯粹无客户端,不利用企业对机密信息的保护。 从我个人角度来看,我的观点认为在大部分的企业应用,包括实践有这样的经验,80%以上的企业用端口转发都可以实现一定的应用,只是有一些特别的应用需要用到NC。 下面把我们的产品给各位做一个简单汇报。我们的Succendo产品作为第一家国内研发的设备在北美最严格的安全认证里面已经取得了认证证书,目前全球取得这个认证的不超过10家。在大陆研发的目前看来只有我们这一个产品。通过认证说明我们在整个系统的安全方面对SSL-VPN的几个关键特性把握都做到了。可以帮助大家省去一些评估的工作,因为SSL-VPN实际上已经帮大家评估了,这个产品在访问控制方面,在SSL-VPN实现了业界应该认为实现的东西了。我们产品有502、2000、这两个已经在市场上销售。今年11月份我们会推出5000,明年会做Succendo 10000。这个产品是根据同时容纳用户的数量区分它的不同层面的。 前面已经介绍了很多SSL-VPN具有的共同的特性,这个图片告诉大家除了基本特性之外我们还具备什么突出的地方。第一个就是我们不需要装客户端,我们基于角色的访问控制。支持丰富的TCP/UDP应用服务,CIFS/NFS应用、文件共享。完整的主机安全检查,强认证机制,支持口令、证书、USB Key、其他的各种恩令牌;支持多种认证协议,RADIUS五/AD/LDAP。 对Session用户以及系统子的实时监控做的非常好。多种系统的安全控制。 产品的特性:基于角色的细粒度访问控制。针对每个登陆人定制的客户界面。兼容Windows应用,避免改变用户使用习惯,减少培训费用,提高工作效率。对认证的支持非常全面。实时监控,我们的监控以图表、报表的方式管理员可容易知道在某一个时间段哪些人访问的次数最多,传递的流量最多,这个对于安全人士提交每周报表非常方便。 总结来看,凹凸在客户端方面有多方面的积累,凹凸掌握核心技术,包括基于自主ASIC芯片的Firewall,IPsec、SSL-VPN,灵活的商业模式。我们有强大的本地支持。 我的汇报就这么多,非常感谢各位今天下午能跟我们凹凸科技一起分享安全方面的一些认识和产品的情况。有更感兴趣朋友可以访问我们的网站,或者打800电话,非常感谢各位。谢谢!
(e129)
加载更多

专题访谈

合作站点
stat