与传统基于浏览器插件、偏于应用接入的SSLVPN相比,中神通公司发布的下一代SSLVPN主打客户端软件+浏览器组合,有远程应用接入、异地翻墙上网和客户端组网互联等多种用途,具体来讲有以下优势:
1)VPN性能更好
用户操作层与数据通讯层分离,提高了数据处理的性能,对外公开的可以只有一个数据通讯端口,用户可以事先在内网中登陆WEB门户修改缺省口令、下载安装软件,外网VPN隧道建立后可以以虚拟IP的方式登陆WEB门户,既安全高效又方便了管理员和用户;
2)数据穿透力更强
传统SSLVPN只能通过TCP协议进行数据传输,遇到只开放DNS(53/UDP)端口的WEB认证网络环境时就无法连通,本SSLVPN既可以用TCP协议也可以用UDP协议,使得数据穿透力更强,使用范围更广;
3)服务端更安全
取消了公网SSLVPN WEB用户登陆及管理后台界面,避免了服务器信息泄露和黑客攻击,所有来自公网的扫描和攻击,例如SQL注入、XSS攻击、域名劫持、钓鱼网站、挂马、后门、拖库、搜索引擎爬虫扫描、弱口令扫描、WEB服务器缺陷扫描等都不在是有效的威胁;
4)客户端更安全方便
具备Windows、Linux、Mac OS X、安卓、iOS等操作系统下的客户端软件,通过安装、运行包含定制配置文件的客户端软件(可提供制作安装程序的源码),杜绝了ActiveX、Java Applet等浏览器插件带来的客户端不安全性和局限性,摆脱了对浏览器的依赖,可以实现开机自动运行以及自动重连的功能;
5)口令机制更完善
强制用户修改缺省口令,保证了口令安全的健壮性,划清了与管理员的责任,也避免了维护RADIUS、AD、LDAP数据库或/及CA、RA、PKI等数字证书公钥基础设施的繁琐;
6)资源定义更灵活
资源定义与访问控制策略分离,需要公开的资源可以显示在WEB门户中,需要保密的资源可以不定义、不显示出来,但仍旧可以连接;
7)VPN使用更有效率
SSL协议可以只用于加密和建立VPN隧道,用户认证、访问控制可以在VPN隧道建立后进行,对于自身加密的应用(HTTPS等),甚至可以直接用DNAT端口映射+用户认证,而不用VPN以提高性能,与传统的SSLVPN需要用户WEB登陆才能建立VPN隧道的使用体验一致,但策略实施更灵活、使用和管理更方便;
8)VPN隧道内流量的管控能力更细致
VPN建立后,还可以对VPN隧道内的流量进行基于用户名/IP地址、时间、流量、会话、QoS的NAT地址转换和ACL访问控制,以及网络审计、上网行为管理、WEB过滤、入侵检测与防御等7层内容过滤,提升了VPN管理员及运营商的管控能力。
9)具备无线接入、虚拟化及云计算的能力
无线用户连接上WIFI后,可以再连接本SSLVPN以确保安全;通过部署虚拟化产品(UTMWALL-VM),可以将本SSLVPN集成到应用系统的Windows环境里,节省了硬件、空间、电力等费用,使得远程应用接入方式又多了一种选择;还可以将本SSLVPN随应用系统或独立部署到公有云、私有云中,实现云VPN功能,让云计算更安全。
更多信息请查看:
1)已知传统VPN安全漏洞
http://www.trustcomputing.com.cn/bbs/tag.php?name=VPN
2)用于服务器接入的防火墙网关的八个关键性功能
http://www.trustcomputing.com.cn/cn/index.php/support/techdocs/101-serverfw
