很多公司已經(jīng)改進(jìn)了其IPsec VPN，有的甚至用基于SSL的遠(yuǎn)程訪問(wèn)解決方案替換掉了IPsec VPN。SSL VPN能夠在任何未經(jīng)管理的家用或公用電腦上使用，當(dāng)要決定是否允許訪問(wèn)公司網(wǎng)絡(luò)資源時(shí)，評(píng)價(jià)遠(yuǎn)程端點(diǎn)的安全性是至關(guān)重要的。本文將探討用網(wǎng)絡(luò)訪問(wèn)控制（NAC）功能來(lái)加強(qiáng)SSL VPN網(wǎng)絡(luò)的安全性的原因和措施，并討論其與NAC 優(yōu)先權(quán)的關(guān)系。

機(jī)會(huì)與風(fēng)險(xiǎn)

將瀏覽器用作客戶端平臺(tái)，SSL VPN使用戶遠(yuǎn)程訪問(wèn)IT難以控制的設(shè)備成為可能，無(wú)論從家用PC還是商業(yè)伙伴的便攜式電腦或者PDA設(shè)備都是如此。這種“任何時(shí)間、任何地方”的方法可以將訪問(wèn)擴(kuò)展到更多的工作人員而其成本卻會(huì)大大減少。據(jù)Gartner估計(jì)，到2008年，SSL VPN對(duì)三分之二的遠(yuǎn)程工作人員來(lái)說(shuō)將會(huì)成為主要的遠(yuǎn)程訪問(wèn)方法，而且約有90%的雇員需要使用臨時(shí)性的遠(yuǎn)程訪問(wèn)。

然而，將未被管理的端點(diǎn)設(shè)備連接到公司網(wǎng)絡(luò)會(huì)增加風(fēng)險(xiǎn)。如果一個(gè)遠(yuǎn)程工作人員的家用PC感染了蠕蟲(chóng)或木馬，其VPN通道可將這些威脅轉(zhuǎn)播到公司網(wǎng)絡(luò)資源。如果Internet信息站點(diǎn)有一個(gè)鍵盤(pán)記錄器，那么用戶的全部的VPN會(huì)話，包括登錄名和口令都將被竊取。在這兩種情況下，用戶趨向于將敏感數(shù)據(jù)─無(wú)論是緩存中的口令還是臨時(shí)文件，置于其他人可發(fā)現(xiàn)的地方。很明顯，要確保安全地訪問(wèn)未被管理的端點(diǎn)就需要減輕這些風(fēng)險(xiǎn)。

過(guò)濾空白點(diǎn)

可喜的是，SSL VPN廠商一直努力著手解決這些問(wèn)題。當(dāng)今的SSL VPN設(shè)備提供了一套相當(dāng)成熟的NAC（網(wǎng)絡(luò)訪問(wèn)控制）功能來(lái)抗擊這些威脅。

身份識(shí)別：SSL VPN支持用戶身份驗(yàn)證和目錄，創(chuàng)建一個(gè)基于用戶標(biāo)識(shí)的訪問(wèn)控制基礎(chǔ)。但是一個(gè)特定的用戶可能會(huì)從任何未經(jīng)管理的和被管理的端點(diǎn)設(shè)備來(lái)進(jìn)行連接。因?yàn)椋纫鶕?jù)用戶的身份標(biāo)識(shí)來(lái)判斷，又要根據(jù)設(shè)備的標(biāo)識(shí)和類(lèi)型來(lái)決定。以產(chǎn)品為基礎(chǔ)，SSL VPN可以使用HostID（主機(jī)ID）識(shí)別被信任的端點(diǎn)、計(jì)算機(jī)/域名、設(shè)備證書(shū)、駐留文件、注冊(cè)表項(xiàng)或硬件標(biāo)識(shí)。SSL VPN還可以識(shí)別端點(diǎn)的操作系統(tǒng)和瀏覽器，并相應(yīng)地做出響應(yīng)。

端點(diǎn)完整性：多年來(lái)，VPN僅僅假定被管理的設(shè)備是可信賴(lài)的。未被管理的設(shè)備有極大的風(fēng)險(xiǎn)，但是假定端點(diǎn)將會(huì)免于受惡意軟件的侵害卻并非真正安全。如今，大多數(shù)VPN產(chǎn)品都檢查端點(diǎn)的完整性，并且使用管理員定義的配置文件來(lái)檢測(cè)遺漏的補(bǔ)丁、老病毒特征、非活動(dòng)的或被破壞的反病毒程序、反間諜軟件和防火墻程序、不正常的進(jìn)程或監(jiān)聽(tīng)端口以及惡意軟件的跡象等。 為了簡(jiǎn)化配置，許多產(chǎn)品提供可供選擇的模板、檢查列表或者圖形化的規(guī)則生成器。有一些甚至可以與被管理端點(diǎn)的端點(diǎn)安全程序進(jìn)行交互。而且，大多數(shù)SSL VPN產(chǎn)品還可以執(zhí)行進(jìn)入前檢查，有一些產(chǎn)品還支持后進(jìn)入完整性審計(jì)，確保端點(diǎn)保持清潔。

授權(quán)認(rèn)可：通過(guò)操作在一個(gè)更高的層次上，SSL VPN提供比IPsec更加精細(xì)的授權(quán)策略。與對(duì)整個(gè)子網(wǎng)授權(quán)相反，許多SSL VPN將訪問(wèn)縮小到單個(gè)服務(wù)器、應(yīng)用程序、命令、URL、文件夾和其它數(shù)據(jù)對(duì)象。將這些精細(xì)過(guò)濾器與用戶身份驗(yàn)證、設(shè)備標(biāo)識(shí)相結(jié)合，端點(diǎn)安全檢查就會(huì)有更大的威力。例如，使用公司桌面PC的工作人員可以被授權(quán)使用寬帶應(yīng)用訪問(wèn)，而對(duì)于從公用PC訪問(wèn)公司資源則被限制為只能使用遠(yuǎn)程終端會(huì)話。如果端點(diǎn)的完整性檢查失敗，工作人員就會(huì)轉(zhuǎn)到一個(gè)自助頁(yè)面來(lái)尋求補(bǔ)救。一些SSL VPN產(chǎn)品將用戶和設(shè)備與小組結(jié)合起來(lái)，簡(jiǎn)化了管理并可促進(jìn)連續(xù)性。.

增強(qiáng): SSL VPN通道的建立并不意味著安全的終止。VPN必須實(shí)施過(guò)濾器來(lái)決定用戶可以發(fā)送的應(yīng)用程序消息，發(fā)往何處，在傳輸中如何進(jìn)行保護(hù)。大多數(shù)SSL VPN產(chǎn)品都得到了強(qiáng)化，以減輕那些未被管理的端點(diǎn)的風(fēng)險(xiǎn)。在會(huì)話期間，用戶可以在一個(gè)安全工作區(qū)中（一個(gè)將活動(dòng)和數(shù)據(jù)與其它端點(diǎn)過(guò)程隔離開(kāi)的虛擬化的環(huán)境）操作。 會(huì)話結(jié)束后（由于顯式退出或非活動(dòng)超時(shí)），SSL VPN可以刪除所有的會(huì)話數(shù)據(jù)，包括Web的cache(高速緩存)、歷史數(shù)據(jù)、cookies、表單記錄及口令等。在這里，措施是基于策略的。例如，在允許文件被存到一個(gè)策略一致的公司膝上型電腦上時(shí)，在一個(gè)高風(fēng)險(xiǎn)的平臺(tái)上要求安全的工作空間。

這些網(wǎng)絡(luò)訪問(wèn)控制功能也有可能沒(méi)有存在于你喜歡的SSL VPN產(chǎn)品中。特定端點(diǎn)的限制也可以執(zhí)行安全檢查，這些檢查并不能通過(guò)管理員權(quán)限來(lái)執(zhí)行，也不能通過(guò)只能建立在Win32 PC上的虛擬環(huán)境來(lái)執(zhí)行。SSL VPN特性在過(guò)去的幾年里已經(jīng)有了極大的擴(kuò)充，這都反映了這個(gè)領(lǐng)域經(jīng)驗(yàn)和技術(shù)的成熟。好好看一下你可以使用的NAC功能吧，你也許會(huì)大吃一驚的。

與NAC的關(guān)系

熟悉思科 Network Admission Control（NAC），微軟Network Access Protection或者TCG的Trusted Network Connect的讀者可能會(huì)想“等一下，這些功能怎么這么像NAC、NAP、TNC？”事實(shí)上，許多概念和技術(shù)都是起源于SSL VPN市場(chǎng)，從端點(diǎn)的安全檢查到基于瀏覽器的客戶端軟件。

SSL VPN有望在NAC的使用中大展風(fēng)采。Infonetics 預(yù)計(jì)到2008年超過(guò)2/3的SSL VPN網(wǎng)關(guān)可以用作一個(gè)NAC部署的部分。在有些情況下，這些SSP VPN 會(huì)成為一個(gè)更寬泛的NAC策略的一部分。許多SSL VPN供應(yīng)商已經(jīng)宣布NAC體系結(jié)構(gòu)或參與到一個(gè)或多個(gè)NAC項(xiàng)目中。例如，Cicso,Microsoft,Juniper都銷(xiāo)售分別適合NAC、NAP和TNC的設(shè)備。Caymas Systems甚至還有一種產(chǎn)品既支持NAC又支持NAP。

在部署為一個(gè)更寬泛的NAC策略的局部時(shí)，一個(gè)明顯的方法就是使SSL VPN設(shè)備集中于控制離站的遠(yuǎn)程用戶的網(wǎng)絡(luò)訪問(wèn),遠(yuǎn)程用戶包括：旅途中的工作人員，遠(yuǎn)程工作人員等等。然而，一些分析人士相信，SSL VPN可以在NAC中扮演明星的角色。特別是，隨著網(wǎng)絡(luò)外圍的消失，越來(lái)越多的設(shè)備可被認(rèn)為是“遠(yuǎn)程的”（外部的）。一些企業(yè)可能會(huì)選擇運(yùn)行所有的網(wǎng)絡(luò)訪問(wèn)，無(wú)論是在站的還是離站的，這些訪問(wèn)都通過(guò)一個(gè)SSL VPN設(shè)備實(shí)施，這樣就能提供更安全的訪問(wèn)控制。