摘要
随着越来越多公司转为采用基于加密套接字协议层(SSL)的个虚拟专用网 (VPN )满足远程接入需求,基于普通目的计算机平台的 SSL VPN 解决方案已经不能满足大中型企业和服务供应商的需求的状况已经非常明显。大中型企业和服务供应商这样的客户对安全性、用户体验、响应时间、吞吐量和扩展性都有很高的要求。同时,他们还希望通过在一个单独的VPN 系统中整合多个访问控制列表 (ACL)来使系统变得更有效率,这些访问控制列表如防火墙、LAN 交换机、无线LAN 设备以及应用安全代理设备等。只有基于特定目的的SSL VPN 平台可以满足这些要求。
本白皮书中将会讨论这样一个基于特定目的的SSL VPN 平台-Array Networks SPX-的特性,以及它如何把高性价比的实际利益交付给企业和服务供应商。它的特性包括:
更高的安全性,适应性和控制力度
更高的性能,效率和用户体验
更少的总体拥有成本(TCO)
简介
现在越来越多的公司转为采用基于SSL协议的的VPN来满足他们远程接入的需求。根据Gartner的研究报告:
“截止至2008年,大于三分之二的远程电子办公的雇员、大于四分之三的订约人和大于百分之 九十的临时雇员 (可能0.7)选择SSL VPN作为最主要的远程接入方式。”
“SSL VPN最终也将取代目前处理成千上万个简单SSL会话的B2C门户”
“增长潜力足以吸引每一个网络工作者,以及支撑一个相当大数量的小规模经营者、刚起步者和投资者。”
资料来源:2005年12月8日Gartner发布的John Girard的 《2005年第三季度北美地区SSL VPN魔力象限报告》。
随着移动、多样化用户日益增多-包括那些具有多种安全级别的自己的笔记本电脑的非雇员,企业和运营商正在期待一种使得安全应用程序和网络接入成为他们提供给终端用户资源的一部分的方法。
一般的SSL VPN可以让用户从多个地点和多种计算机设备安全访问数据和应用程序,同时给用户提供精细的、基于身份的访问控制。但是大部分SSL VPN没有注意实际终端用户体验所需的性能以及大规模统一部署所需的扩展性。
普通的SSL VPN是不够的
SSL VPN解决方案利用任何浏览器都具有的SSL加密技术加密数据,提供数据传输的私密性和完整性。Gartner提出,与那些基于IPSec协议或专线接入相比,很多公司一般都选择SSL VPN进行远程访问。
然而,到现在为止,SSL VPN厂商几乎都无一例外地把焦点集中在SSL VPN无客户端接入及应用接入控制所提供的灵活性和安全性方面。他们在保证SSL VPN解决方案的性能和扩展性能够与Ipsec VPN相媲美甚至超过IPSec工作方面作了很少。
现在问题在于大部分SSL VPN解决方案将软件打包在一般的Linux平台上,因此它们不能满足企业客户以下需求:
性能和用户体验性能和用户体验- 接近Ipsec VPN的延迟和吞吐量性能,以及可以在不需要部署和管理昂贵性能和用户体验性能和用户体验的第三方解决方案前提下改善终端用户应用程序性能体验。
扩展性-在一个独立的硬件平台上扩展到更多的并发用户,同时不必降低性能。
安全性-在不影响总体系统性能的情况下不仅可以提供加密技术而且可以提供深度包检测安全性安全性和应用级过滤。
统一接入-在不需要改变任何硬件的情况下把远程用户、分支机构用户、有线和无线LAN统一接入统一接入(WLAN)用户整合到一个独立的SSL VPN平台。#p#
性能
在一般的平台上交付的SSL VPN解决方案在设计和构架方面受到限制,这些限制能够导致增加延迟和减少吞吐量的处理瓶颈。比如SSL批量加密。大部分一般的的SSL VPN解决方案使用一个SSL VPN并发处理器在硬件中交换SSL密钥,但是对于批量加密还是依赖主要的CPU 。批量加密是一种中央处理器密集处理,它让系统的吞吐量付出了沉重的代价,同时也大大增加的延迟时间。
应用级吞吐量是另一个重要的因素。随着SSL VPN变得越来越流行,他们被用来处理那些大部分一般SSL VPN平台所不能够处理的负载。因此许多SSL VPN平台已经达到了他们的实际限制,而这个限制要远远低于供应商在支持的并发用户数方面规定的限制。 这就导致了他们无法正常运行或运行情况不佳,最终导致影响终端用户的效率。
为了达到一个满意的性能水平,客户经常发现他们必须购买大量一般SSL VPN设备,但是同时它们的运行性能却远远低于所宣称的吞吐量和并发用户方面的性能。由于多次失败,当然就导致成本的增加-在初期资本开支和协同管理方面,并且由于多点存在故障带来可靠性的降低。
一些机构遭受如此低的性能导致他们必须购买和维护独立的第三方应用加速解决方案。这样又会导致成本增加和可靠性降低。
扩展性
为了避免这些成本意味着要寻找具有高扩展性的SSL VPN解决方案。扩展性的高低主要由两个因素决定:最大并发用户数和最大并发SSL连接数。
当普通SSL VPN解决方案宣称它们能够扩展到2500个并发用户时,它们实际底线就像上文中提到的一样很有可能远远低于他们所宣称的。然而对于许多的企业和服务供应商而言,2500个并发用户数远远低于他们的需求。
一个提供管理SSL VPN服务的服务供应商必须要有在一个独立的系统中扩展到10000个用户和几百个客户的能力。许多的大型企业比如大部分全球前2000的企业都有超多100000个员工也必须有这样的能力。然而并不是所有的员工都需要安全远程接入,而且那些需要的员工也并不是要在同一时间同时登陆,重要的是要记住使用SSL VPN的不仅仅是员工。在许多情况下,许多的定约人、合作伙伴、供应商以及客户必须能够安全访问。由于SSL VPN操作简易、无客户端的特点,大部分专业IT人士更喜欢使用它们满足不同组织和个人的安全访问需求。但是除非SSL VPN解决方案能够扩展到超过每个系统500到1000个用户的限制,对于如此巨大的需要,它在架构构上和经济上是不可行的。
另外,每个用户团体,无论它是不同的业务部门、合作伙伴、供应商或客户,具有不同级别的接入权限。普通的SSL VPN解决方案可以为不同的用户组提供细粒度的的基于角色的授权,但他们需要分开的SSL VPN设备为每个用户组提供不同的门户。结果,就造成了在增加很多用户的情况下造成了整体拥有成本的增加。
安全
普通的SSL VPN平台在性能和可扩展性的缺陷也造成了安全能力上的一些问题。提供适当的安全需要处理器的处理能力,在一个普通的SSL VPN解决方案中,当一个系统中只有五十个用户时可以把安全性设置在客户想要的级别,但是随着用户的增加,性能降低。最终IT经理可能会降低安全性级别直到性能恢复到可以 受的水平。显然这不是最优的策略。
普通的SSL VPN设备的另一个问题是它们是在安装在现成的操作系统中,因此它们也会受到与那些操作系统关联的攻击和安全漏洞的影响。大部分一般 目的SSL VPN没有任何先进的安全特性,比如集成防火墙和深度包检测,这就意味着客户必须增加其他的设备完成这些功能,这就增加了复杂性、成本和延迟。另外,普通SSL VPN解决方案只在客户和SSL VPN设备之间提供传输安全,而不在SSL VPN设备和任何其他与之连接的服务器之间提供。这就使得用户可能会有受到内部攻击的危险,而这个危险是所有安全威胁中很重要的一个。
实际上,《2005年CSI/FBI 计算机犯罪与安全调查》调查显示,百分之五十六的人表示在过去的12个月中最少有一次攻击是来自他们组织内部。
统一接入
当一般 目的SSL VPN解决方案允许远程用户访问公司资源,通常情况下他们不会处理其他企业用户的访问要求,例如那些从公司LAN或无线LAN登陆公司网络的用户。那就意味着SSL VPN平台已经成为IT管理员必须管理访问控制列表 (ACL)的另外一个领域,以及在它们LAN和WLAN交换机、防火墙和公司目录下添加存在ACL的地方。保持所有的ACL与现在的信息同步是一个真正的挑战,但同时如果应对不当的话,会产生安全漏洞。
即使一般 目的SSL VPN宣称它们支持统一接入,他们有限的能力使得服务器供应商或企业范围内的部署不切实际。#p#
基于特定目的的基于特定目的的SSL VPN介绍
普通的SSL VPN的各种缺点都可以通过使用一种专门为SSL VPN设计的平台克服。Array Networks 已经在它的高性能SSL VPN系统的SPX系列中采用这种方法。Array SPX系统是一种基于运行自定义ArrayOSTM操作系统的、基于特定目的的平台。它与普通的SSL VPN相比,他的优化的,线性操作交付具有更高的吞吐量和更低的延迟,却可以支持更多的并发用户数和SSL会话。
图:
Array 基于特定目的的SSL VPN高级架构
普通的计算机平台在经过多层处理时会有很严重的瓶颈和延迟。Array 自定义ArrayOSTM操作系统流线型处理,同时保证了CPU密集型操作例如在硬件中进行的密钥交换和批量加密。
最佳性能和用户体验
实际上, 与Array最 近的SSL VPN平台比较,Array基于特定目的的平台使得它交付的性能、吞吐量和容量是它们的八倍。
大部分性能的提高都归功于ArrayOSTM和SpeedStackTM技术。SpeedStackTM技术是一种处理引擎,它使得多个完整的数据流只执行一次TCP堆栈处理。下面的图描述了多种功能能够不需要数据在内存中濑户机移动即可处理。如果你认为这些特性是由很多功能组成的,那么这里叠加了很多功能。这意味着在任何特定的时间一个功能请求可能为多个特性服务,这样就能更有效的利用资源并且改善性能。
图:
除了在硬件中执行SSL密钥交换和批量加密之外,Array也把压缩和连 复用技术整合在一起,通过减少网络连 和服务器的负载来降低延迟。这就使得Array能够把有500个SSL并发用户的网页的平均反应时间维持在2毫秒,同时把有成千上万个SSL并发用户的网页的平均反应时间维持在个位数。
在那些因应用服务器太贵而不适合执行低级TCP网络操作的环境中,以及WAN带宽对于远程用户来说非常宝贵时,Array SPX提供了整合的应用加速,包括行业领先的TCP连 复用技术和基于硬件的HTTP压缩。这个整合的特性和性能在降低成本的同时还改善了服务器反应时间和终端用户体验。
超强的安全性
Array超强的性能也意味着用户不必为性能而牺牲安全性,而为性能而牺牲安全性正是一般SSLVPN解决方案经常做的。Array可以同时使用户拥有最大安全性和即时用户反应时间。
与所有SSL VPN解决方案一样,Array支持认证、授权和审计 (AAA ),以及清除缓存的终端安全性。但是Array也有许多其他一般SSL VPN解决方案没有的安全特性。
首先是Array拥有专利的ArrayOS操作系统。作为一种基于特定目的的操作系统,ArrayOS没有任何一种一般操作系统如Windows或Linux固有的多余特性和功能,以及伴随这些多余特性和功能的安全漏洞。ArrayOS是一种更加安全、受攻击可能性大大减少的操作系统。
ArrayOS也采用完全反向代理结构,意味着它终止所有的连接,然后与后台服务器立新的连接。
这样做的目的很多。首先,它能使得后台的服务器免遭攻击;因为所有的连接都在Array设备上终止了,下游的设备看不见那些后台的服务器。Array也使用延时绑定技术,它要求在连 传递到应用服务器之前在Array设备上终止连接。这就阻止了不合法的IP地址连接到服务器上,因为他们不会正确地终止。
Array SPX也使用线速、基于状态防火墙和七层数据包检测来快速发现-丢弃-反常的数据包。对于要求点对点安全性、特别敏感的应用程序,Array也可以重新加密Array设备和后台服务器之间的会话。#p#
可扩展的、虚拟统一接入
正如前面所解释的,大型企业和服务供应商需要高扩展性、低总体拥有成本 (TCO),支持大量不同用户的接入控制。Array SPX凭借它行业领先的扩展性,虚拟化和统一接入控制能力,满足了这些迫切的要求。
单台Array系统最多能支持:
64000并发用户
100000并发SSL会话
10000SSL交易/每秒
850Mbps吞吐量
256个虚拟门户
每个虚拟门户都有自己独一无二的统一接入策略,以及外观和安全配置。那意味着从一个单独的系统,企业可以允许它的客户访问它的公开的基于网页的订购系统,允许它的员工访问电子邮件、ERP和CRM系统,以及允许供应商访问他们的外联网。服务供应商从一个单独的Array系统最多可以支持256个不同的客户,这样与一般SSL VPN解决方案相比,大大降低了采购和操作的成本。
在提供统一 入控制方面,与一般的SSL VPN相比,Array已经取得了质的飞跃。Array SSL VP不需要在多个LAN交换机、SSL VPN设备和独立的无线LAN交换机上创 以及维护访问控制列表(ACL)。使用Array SSL VPN,无论用户是从无线LAN远程访问还是直接连 LAN,用户的访问方式都被支持。所有访问网络的用户而不仅仅是远程用户都要执行Array全面安全策略。
安全统一接入依赖于许多Array SSL VPN系统的重要特性,包括:
最大并发用户数和会话数;没有支持大量用户的能力就不可能为统一接入控制添加用户。
反应时间快,吞吐量大,使得Array在为统一接入添加用户时不必降低效率。
整合的高性能网络和应用防火墙,使得组织可以替换当前防火墙的ACL。
为不同用户组最多可以支持256个虚拟门户,使得Array可以为许多用户支持和管理多个门户,无论他们是通过WLAN或LAN远程访问还是直接访问。
先进的基于角色管理,允许在IT部门委派安全和网络策路责任。
Array正在通过使组织在一个地方-Array SSL VPN来控制终端用户访问策路和端点安全来定义市场。这样就不需要在多个LAN交换机、防火墙、SSL VPN设备和单独的WLAN交换机上创和维护访问控制列表 (ACL),从而减少了管理的成本。
满足您的需求
Array提供的统一接入与可扩展接入的结合、更高的安全性与最佳性能结合,意味着客户大大节约了成本和时间。能够用一个独立的系统满足所有远程访问的要求意味着比使用多个一般SSL
VPN系统降低总体拥有成本 (TCO)。Array提供的先进安全特性和集中控制所有访问需求也能够节约更多的成本。同时,Array为客户提供了一个满足将来VPN需求 (包括站点到站点SSL VPN )的基础。
图:
更高性能、更低总体拥有成本 (TCO)
在每个用户的成本方面,Array每个系统支持64000个并发用户和100000个并发SSL会话,创造了一个总体拥有成本(TCO)的神话。甚至在用户数低于1000时,Array的性价比也很好,而随着用户数增加,成本还会大大降低。同时当用户数大于1000时其它竞争对手的解决方案的成本会迅速增加,因为他们需要增加更多的机器,同时还使管理更加复杂。通过减少后台服务器的负载,Array连接复用技术减少了服务器硬件和软件的成本,将进一步降低了总体拥有成本 (TCO)。
当一个拥有130亿美元资产的医疗保健公司需要在两个月内在它的网络中添加5000个人,它考虑过多种VPN和瘦客户端方式。它最终选择了Array系统,因为它比其它竞争的解决方案有更高的性能、可靠性和安全性。同时它能在不升级硬件的情况下扩展到100000个用户并且管理非常简单。
Array系统为每个用户只花费了40美元,而竞争对手的解决方案每个用户至少要花200美元。它需要的技术支持更少,管理更加简单,与其他方法比较,Array系统节约了100万美元。
另一个医疗保健机构,Presbyterian Healthcare,部署Array SPX让医生和其它工作人员安全访问病人的信息。与之前的解决方案比较,它实现了并发用户数量百分之百增加同时终端用户的反应时间提高了百分之五十。另外,这个机构的服务器处理容量增加了百分之四百,每个微软IIS WEB服务器处理的用户数从以前的800增加到现在的4000个。这个机构需要的后台服务器数量也减少了百分之五十。
同样地,为1亿个客户提供移动通信服务的、世界上最大的通信服务供应商之一,它每年在技术支持上花费310万美元帮助它的供应商客户管理他们基于IPsec的VPN访问解决方案。以前的解决方案不能扩展超过2000个用户,然而这个供应商已经有5000个销售商,而且数量一直在增长。改用Array SPX系统使得公司大大减少了技术支持的成本,因为不再需要客户端支持和培训。而且Array系统可以很轻松地支持公司的5000个用户,而且还有能支持更多用户的空间。
Array虚拟化特性也比一般SSL VPN节约了很多成本。相对于为每个用户组购买和管理单独的SSL VPN设备,衡量一下在同一个平台上支持你所有不同的用户组-职员、合作伙伴、供应商、以及客户节省的费用。对于服务供应商而言,部署Array SPX不仅意味着可以在一个单独的平台上支持多达256个客户,而且可以不再在客户端放置设备,同时大大节约了初期资本开支和协同管理的费用。
Array系统不需要客户为了性能而牺牲安全性。具有在硬件中处理许多CPU密集型任务的能力、基于特定目的的构架使得SPX的性能远远超过竞争对手的解决方案。同时整合网页防火墙和深度包检测技术让客户不必额外购买安全产品,而且还减少了总体拥有成本。#p#
安全无处不在:统一接控制
总体拥有成本 (TCO)的另一个方面与公司处理用户访问策略的方式有关,这是一个低效率、冗余和复杂的过程。大部分公司被迫在网络中为相同的用户在无数个点定义用户访问策略,包括:
SSL VPN 设备,为远程访问
WLAN 交换机,为无线访问
LAN 交换机,为有线访问
防火墙
代理服务器,例如为电子邮件和其它应用除了对管理员来说代价很大,定义许多次策略使得很难保证所有的策略同步,这就会导致无意识的生成安全漏洞。
Array SSL VPN 系统让 IT 管理员只需在一个位置定义终端用户访问策略,从而不需要在多个交 换机和设备上创建和维护多个访问控制列表 (ACL)。现在统一接入控制的概念特别重要,因为网络访问已经无处不在,用户可能使用根据或不根据公司安全策略配置的设备、从任何地方登录公司网络。当企业用户、商业合作伙伴或客人上网浏览或远程工作时,他们可能受到未知感染,然后把它们直接带入网络中。同样,如果没有合适的访问控制,公司LAN 上的内部用户在访问国际互联网时可能会给公司网络带来威胁。这些威胁是无法被任何公司接受的,特别是那些必须满足严格的规章要求来保护公司数据的公司。
企业需要集中的统一接入解决方案,它能把用户身份、设备和网络许可的各个方面结合在一起,而且即使对于他们不能控制的组也能同时执行策略。
Array 就能提供这样的解决方案。 Array SSL VPN 系统能够控制用户接入,无论他是从无线LAN远程接入还是直接从有线LAN 接入。同时,所有访问网络的用户,不仅仅是远程用户,都可以执行 Array 全面的安全策略。
Array 具有许多安全特性,包括:
客户端完整性检查,保证客户端机器遵守公司安全策略。具有多种补救方法,包括限制访问,把出错的机器定向到修补程序服务器以及限制访问某些应用或环境。
安全访问网页应用程序,使用基于角色 的安全访问外 网和内网以及隐藏 URL (URL masking)保护网页应用程序。
安全访问文件服务器和客户端/服务器应用程序。
基于角色的管理,把不同组的管理工作分派到合适的IT 工作人员。
强认证,包括支持双因素认证以及与微软活动 目录、RADIUS、UNIX NIS 或本地认证数据库的结合。
整合的网络和应用层防火墙。
Array SPX 平台本身对于提供统一访问时非常关键的。只有一个能够支持大量并发用户和会话、又具有高吞吐量和低反应时间的平台才适合在一个大环境中处理统一访问。
瘦客户端应用安全性
除了能够安全访问网页应用、电子邮件、文件服务器等等,Array SPX 还能为瘦客户端应用 (包
括Citrix 和Windows 终端服务器)提供关键的安全服务。例如,把一台Array设备放在一台Citrix服务器的前面可以减少暴露公司网络。传统上,远程客户是直接连 Citrix服务器,公司网络典型部署一直都是这样的。那就意味着能够访问Citrix服务器的入侵者同样也能够访问其余的网络。
Array反向代理结构消除了这个威胁。所有远程会话都在Array系统上终止,然后Array系统与 Citrix服务器建立连接,这样就防止远程用户访问其他网络资源。Citrix服务器变成又一个受到Array SPX保护的应用 (见图)。
Array SPX也允许管理员精细控制用户访问权利,直至URL、目录或应用级别。Array还具有强大的审计功能,处理从用户登录到退出时的所有动作。#p#
实时事务解决方案
许多机构对快速反应时间的需求越来越迫切。无论是要求从您的面向客户网站获得更好性能的客户,还是在ERP系统上痛苦挣扎的内部用户,对于他们自己想要的东西,没有人愿意等太久。在许多情况下,时间确实就是金钱。例如在金融服务领域,快速反应时间是至关重要的,因为大量的钱取决于及时接入和交易。股票价格几乎每秒钟都在变化,而且从这一分钟到下一分钟变动也非成大。另一个问题是许多经纪人不是在传统意义上的办公室中工作。他们可能在路上,可能在拜访客户,但是他们仍然需要快速、安全地访问交易应用程序。
在这种情况下,SSL VPN解决方案是最好的选择,因为与在每个客户端机器安装和维护IPsec软件相比,它更加简单。一般SSL VPN不可能具有这样的反应时间-低于5毫秒,这个反应时间正是交易应用程序需要的,特别是用户特别多的时候。
然而,Array SPX却能胜任这个任务,它能实现500个并发用户时的反应时间低于2毫秒。
未来基础
显然SSL VPN在远程访问方面代替了IPsec VPN,但是IPsec仍然在站点到站点VPN连接中广泛使用。与远程访问配置相比,在站点到站点配置中,更多的用户可能同时连 到一台单独的VPN设备,这就意味着系统具有更高的扩展性。
今天Array支持64000个并发用户、256个虚拟门户,因此它已经为SSL VPN技术的发展作了充分的准备。
总结
在远程访问需求方面,SSL VPN技术在与IPsec的竞争中取得了胜利。根据Gartner的预测,到2008年SSL VPN将成为大部分商业使用的、主要的远程接入方式。但是随着SSL VPN使用的增加,对接入安全性和性能的要求也越来越高。
一般的VPN解决方案不能满足这些持续增长的需求,达不到在性能、扩展性、安全性、用户体验和统一接入方面的目标。只有建立一个完全符合SSL VPN要求的平台才能满足企业和服务供应商的需求。具有专利ArrayOS操作系统的Array SPX系统能够满足最迫切的需求,支持多达64000个并发用户和1000000个SSL会话。它支持256个不同的虚拟门户。这种虚拟化能力在这个行业中也是无人能比的。如此多的特性使得Array不仅是满足当今客户需求的最好选择,而且也是能和您一起成长、满足未来VPN需求的唯一平台。
【编辑推荐】
