近幾年來SSL ×××的應用範圍正在迅速擴大。爲了更好地滿足國內用戶的需求,SSL ×××產品必須不斷豐富功能,進一步貼近需求。
AD: 51CTO雲計算架構師峯會 搶票進行中!
隨着信息安全從單純關注網絡安全轉變爲重點關注以業務爲核心的應用安全,遠程安全接入的重要性日益明顯,SSL ×××以無需客戶端軟件,保護具體應用,細粒度的訪問控制,詳細的審計等特性,在易用性、安全性和管理性方面更勝一籌。因此,近幾年來SSL ×××的應用範圍正在迅速擴大。
關鍵技術
SSL ×××的關鍵技術包括:Web代理、端口轉發、應用轉換、網絡連接(Network Connection, NC),目前大部分的SSL ×××產品,都是以這幾項技術的一項或幾項爲基礎研發實現的。那麼,對國產SSL ×××產品而言,哪些技術尤其重要呢?
首先是Web代理技術。由於用戶需要訪問內網的Web應用,而且希望訪問方式儘量簡便,而只有具備Web代理技術,SSL ×××產品才能做到100%零客戶端,才能爲用戶提供最簡便的接入方式,因此, Web代理技術對國產SSL ×××產品而言是一項必須技術,也是SSL ×××產品是否專業的重要標準之一。
除了Web代理技術,端口轉發技術的重要性也不容小覷。除了要訪問除Web應用外,用戶還需要經常訪問組織內部的C/S架構應用,例如郵件、FTP、文件共享、數據庫、ERP等,這時,SSL ×××產品採用端口轉發技術實現對C/S應用的處理,是再合適不過的了。
至於應用轉換技術,目前國內用戶需求並不迫切。由於SSL ×××產品需要把FTP、Email,SSH等應用以Web的形式重新實現,實現起來比較複雜,還可能存在提供的功能不夠完整,界面不夠友好,不太符合用戶的操作習慣以及控件引用是不合法等一系列問題。從另一個角度來看,用戶在沒有使用SSL ×××之前,都已經習慣通過相應的客戶端軟件對C/S應用進行訪問,在使用SSL ×××後,仍然希望通過使用原來的客戶端軟件訪問內部的各種C/S應用。由此看來,應用轉換技術並不十分適應於國內的用戶,也並非是國產SSL ×××產品的必須功能。
最後再看NC技術,由於NC技術可以實現SSL ×××與應用無關的特性,因此客戶端通過SSL ×××訪問內部整個子網的需求仍然存在。然而,在使用該功能時,需要給客戶端配置虛擬IP地址,這樣一來,就會遇到地址規劃上的一些問題,在配置和使用上也比較複雜。目前,國內已經有SSL ×××廠商注意到這個問題,爲了更好地滿足用戶對易用性的要求,採用了一種“網絡層代理”技術,客戶端通過SSL ×××產品訪問內部整個子網時,不需要藉助虛擬IP地址,也不需要改變內網服務器網關指向,有效地解決了NC功能配置和使用複雜的難題。但目前,“網絡層代理”技術還存在一個問題,即無法處理TCP連接由內向外發起的應用,無法做到“與應用無關”。如果有SSL ×××產品能夠同時具備NC和網絡代理功能,將會受到更多國內用戶的青睞。
更貼心的功能
以上列舉的只是SSL ×××產品的幾項主要技術,爲了更好地滿足國內用戶的需求,SSL ×××產品還必須在功能上進一步貼近需求,不斷豐富。那麼,國產SSL ×××產品在功能上應該如何“修煉內功”呢?
豐富的認證方式:國內用戶類型衆多,對認證方式和安全性要求也不盡相同。除了基本的本地口令外,動態口令、短信口令、口令+動態附加密、證書+USBKEY、口令+證書+USBKEY等多因素認證方式也越來越常見,成爲對SSL ×××產品的基本要求。此外,隨着CA體系在中國不斷健全,越來越多的用戶從專業的CA企業購買服務,因此國產SSL ×××產品能否很好地與標準第三方CA系統兼容,能否提供標準OSCP、CRL等證書校驗接口,在一定程度上決定了該產品能否應用到用戶現有環境中。
線路優化:國內用戶常常向不同的ISP申請了多個公網IP提供服務。如果SSL ×××產品能夠利用多個網口通過多個公網IP對外提供接入訪問,並可以根據接入客戶端的ISP來源選擇最佳路徑,那麼將可以大大提高訪問效率,更好地適應國內的網絡環境。
單點登錄:在用戶的內網中,OA系統通常都帶認證功能,使用者需要提交用戶名及口令纔可登錄。加上SSL ×××後,用戶就首先要登錄SSL ×××,然後再次提交認證信息登錄OA,導致重複認證過程。爲了簡化登陸程序,SSL ×××產品應該能記錄用戶登錄SSL ×××時的認證信息,在用戶訪問OA時,代替用戶提交認證,用戶不需要再次輸入用戶名和口令就可打開登錄成功後的頁面。
端點安全:安裝SSL ×××產品後,端點安全也是不得不考慮的重要方面。是否允許所有PC都接入SSL ×××,在連接SSL ×××隧道後是否允許訪問互聯網,在SSL ×××客戶端註銷後,訪問痕跡是否應該清理,都是SSL ×××需要重點考慮的幾個安全問題。目前,國內很多SSL ×××產品也都有應對措施。在客戶端主機接入之前,先檢測終端主機上是否具備管理員要求的某些特徵,如操作系統版本、IE瀏覽器版本、是否運行了殺毒軟件等等,如果不滿足安全策略,則拒絕連接。在建立隧道後,SSL ×××產品還可以禁止客戶端主機訪問隧道以外的網絡以確保隧道安全;在終端用戶註銷後,還會自動清除此次的訪問痕跡,確保信息不被泄漏。此外,如果產品能實現帳號和客戶端主機特徵綁定以及防僞造功能等,將可以進一步提高客戶端的端點安全性。
應用層防禦:SSL ×××產品是以應用爲核心的安全接入產品,因此應用層的安全防禦必不可少。目前,防SQL注入,防跨站腳本和防非法URL訪問等功能已經出現在一些國內品牌SSL ×××產品上。甚至有廠商還提供了基於賬號的最大併發上限控制功能,有效防止了一個賬號惡意產生大量連接的DoS***行爲,有效保障了應用服務系統。
安全審計:SSL ×××產品相對傳統×××的優勢之一就是審計更加詳細。相比而言,SSL ×××產品更關注賬號而不僅僅只是IP地址。在日誌中應該可以記錄哪個用戶、在什麼時間,在什麼地理位置通過哪個ISP登錄了SSL ×××,訪問了什麼服務,訪問了哪些Web頁面等等。另外,SSL ×××產品還應該提供基於各種條件(如時間範圍、關鍵字等)的查詢功能,甚至可以根據時間範圍生成報表提供瀏覽和下載。
綜合以上所有因素來看,SSL ×××產品與其說是一項技術,不如視之爲服務。誰的SSL ×××產品能在上面所述各項技術和功能中做得更精細,更人性化,更貼近用戶需要,誰的產品就會在激烈的市場競爭中取得勝利