如何使用你的SSL VPN

核心提示： 对于合作伙伴的接入，SSL VPN利用其所在网络层的优势，如何使用你的SSL VPN(3)，可以保证“端点到应用的安全”，在合作伙伴接入前，使系统的数据免遭安全隐患，而传输中的加密更可以保障应用交付过程中的数据加密，SSL VPN便启用了其端点安全性扫描功能，通过对

对于合作伙伴的接入，SSL VPN利用其所在网络层的优势，可以保证“端点到应用的安全”。在合作伙伴接入前，SSL VPN便启用了其端点安全性扫描功能，通过对远程终端操作系统、注册表、进程、防火墙和杀毒软件的检测，确保了终端的安全策略符合管理员的要求才可接入。另外，如今SSL VPN配备的丰富认证功能已经带来了更好的接入灵活性和不可伪造性，CA证书、USB KEY、动态令牌、短信密码，这些机制让合法用户的身份得到了最大程度的保障。对于A集团来说，其原料供应商、经销商、投资人需要访问的应用系统各不相同，网络管理人员可以将不同类型的合作伙伴归为不同的用户组，再为各个用户组映射其需要访问的资源。SSL VPN部署在防火墙等设备的内侧，通过把需要合作伙伴访问的资源映射到SSL VPN，网关处只需要开放443端口(HTTPS)即可，而不用开放任何有关内部资源的端口。当外部受到攻击时，黑客只能攻击到SSL VPN为止，而内部应用对其来说是不可见的。当合作伙伴接入后，只能访问管理员授权的应用。而通过IPSec接入，整个集团的内网将暴露在合作伙伴的屏幕上，无非给攻击和内容泄漏敞开了大门。

对于管理员来说，详细的日志功能是必不可少的。作为集团应用的部署和维护者，系统管理员有权知道有哪些人在何时登陆了VPN又是从何时注销的，这些人访问了何种资源，哪些资源的访问量最大。而一个完善的SSL VPN日志系统将帮助管理员可以做到记录和审计工作，这包括完整的用户、管理员登陆信息统计，以及通过这些统计得到的图形化报表，用来帮助管理员分析用户访问内部资源的规律和趋势。

除了实现安全接入和移动办公外，SSL VPN还有新的用武之地，其中之一是对专线内资源的保护。由于专网内往往存在不同的组织和部门，同一部门的资源并不希望被其他部门所访问或窃取。但是这很难办到。无论是数据传输中的加密还是对访问者的身份认证，传统的安全策略都漏洞百出。例如应用系统的访问基本都通过系统本身的认证来实现，如传统的用户名和密码。静态的口令容易泄漏，通过窃取到的密码来冒充合法用户的身份进入系统，未授权的用户将会轻易的获得敏感的数据，破坏正常的业务流程，进而给组织带来重大的损失。我们可以把SSL VPN部署在服务器前端用来做访问保护，让SSL VPN成为任何人访问应用系统和数据库的必经之路。结合CA系统，通过CA中心签发的证书做双向身份认证，有效地防止了街区重播、中间人欺诈等对身份认证的攻击，保证了业务系统用户的合法身份；同时，利用SSL VPN的端点安全和隧道加密技术，保证了接入端的安全性，使系统的数据免遭安全隐患，而传输中的加密更可以保障应用交付过程中的数据加密，防止数据被专线内的不明身份者截取和破解。