SSL VPN认证方式是怎样的？SSL VPN设备选购注意事项有哪些？

　　SSL VPN指的是使用SSL协议来进行远程接入的一种技术，也就是VPN技术，它包括一些数据的完整性和保密性，比如服务器认证，客户认证数据的完整以及SSL链路上面的数据保密等，可见，使用SSL VPN设备能够很好的保证数据的安全性。很多朋友对于SSL VPN的认证方式不是很了解，也不知道如何去选择SSL VPN设备，下面就给朋友们详细的来介绍一下SSL VPN认证方式是怎样的以及SSL VPN设备选购注意事项有哪些等问题。

　　SSL VPN特点

　　SSL VPN是一种既简单又安全的远程隧道访问技术，使用非常简单。SSL VPN采用公匙加密的方式来保障数据在传输的过程中的安全性，它采用浏览器和服务器直接沟通的方式，既方便了用户的使用，又可以通过SSL协议来保证数据的安全。SSL协议是采用SSL/TLS综合加密的方式来保障数据安全的。

　　SSL协议从其使用上来说可以分为两层：

　　第一层是SSL记录协议，这种协议可以为数据的传输提供基本的数据压缩、加密等功能；

　　第二层是SSL握手协议，主要用于检测用户的账号密码是否正确，进行身份验证登录。

SSL VPN

　　与IPSec VPN相比，SSL VPN具有架构简单、运营成本低、处理速度快、安全性能高的特点，所以在企业用户中得到大规模的使用。但是SSL协议是基于WEB开发的，通过浏览器来使用，由于近年来电脑病毒的多样性，要想保障SSL VPN的安全运营，就需要在SSLVPN的安全技术上有所更新。

　　SSL VPN认证方式

　　1、LDAP认证

　　系统组织已经采用LDAP进行用户管理。它只需要在SSL VPN设备中根据LDAP中的OU组结构建立用户组结构，并为用户组绑定相应的OU结构，不需要再在设备中建立具体用户。当用户向SSL VPN提交用户名密码认证身份时，SSL VPN可自动将此认证信息提交给LDAP认证，并根据反馈的信息判断该用户是否为合法用户。当用户通过了LDAP认证，SSL VPN设备就会通过LDAP返回该用户的OU值，将该用户自动归于绑定了该OU的用户组。这时，该用户即享用了该用户组所有的认证、策略和授权等属性。

　　2、Radius认证

　　系统组织中已经采用 Radius实现用户认证管理，在 SSL VPN设备中建立相应的用户组结构，并选用Radius认证并绑定相应的Class属性值。当用户向SSL VPN提交用户名密码认证信息时，SSL VPN就会将此信息以标准的Radius协议格式向Radius服务器发出认证请求，之后Radius将返回认证结果。如果Radius认证通过，则将在返回给SSL VPN的数据包中捎带Class分组属性，SSL VPN会根据绑定该属性的用户组赋予该用户相应的认证、策略和授权等属性。如果Radius认证未通过，SSL VPN则会拒绝该用户登录。

　　3、CA认证

　　内置CA的SSL VPN安全网关，可以支持PKI体系的认证。

　　4、USB KEY认证

　　将CA中心生成的数字证书颁发给USB KEY，并为该USB KEY设置PIN码。利用“硬件存储数字证书+PIN码”的方式为用户提供高安全的认证方式。

　　5、硬件绑定（HardCA）

　　仅使用用户名/密码认证的用户，为了保证用户登录 SSL VPN限定在某一台或是某几台客户端上，有效解决用户账号意外泄露、账号盗用导致数据泄露的问题，可绑定登录客户端。通常情况下，客户端绑定都是采用IP/MAC、MAC、IP绑定方式实现的。

　　6、动态令牌认证

　　动态令牌认证是技术领先的一种双因素身份认证体系，内嵌特殊运算芯片，与事件同步的技术手段。它是通过符合国际安全认可的OATH动态口令演算标准，使用HMAC-SHA1算法产生6位动态数字进行一次一密的方式认证。

　　SSL VPN设备选购五大注意事项

　　一、应用需求

　　选择 VPN 是为了支持远程访问内部网络的应用，因此这一点也是最先需要考虑的一点，目前，大多数 SSL VPN 支持我们日常经常会用到的邮件系统、 OA 系统、 CRM/ERP 等等，但并不是所有的应用 SSL VPN 都能够提供支持。因此，在决定使用一款 SSL VPN 前一定要先确定是否能支持你的应用。

　　二、安全需求

　　要构建一个安全的 VPN 系统，不仅仅需要传输过程安全，还要提高系统安全性，以下几个方面是缺一不可的：

　　(1) 传输过程安全

　　传输的过程加密强度是确保内部数据不在传输过程中被黑客盗取的关键因素。传输过程加密强度越高，传输安全性就越有保障。如上所述， 40 位和 56 位加密已经不安全，必须选择支持 128 位加密的 SSL VPN 产品，选择时需要特别注意此点。

SSL VPN

　　(2) 用户身份验证

　　用户名加密码的验证方式已经非常不安全了，除了用户名和密码外，能提供其他的双因素验证方式的产品更加具有优势，如：客户端证书认证或 OTP 动态密码认证等。

　　(3) 客户端电脑的安全性：

　　客户端电脑是否安装了防火墙、防病毒软件等。如果客户端电脑不够安全，比如有木马程序，那么系统依然存在安全隐患。目前部分 SSL VPN 能够提供客户端环境检测，比如检测客户端是否安装了防火墙和防病毒软件。当客户端不符合某个条件时，系统将禁止用户登陆。

　　(4) 完成访问后，客户端需要清除客户端电脑的缓存

　　在移动用户完成远程访问后，系统应该提醒用户清除客户端电脑中的各种缓存，否则，如果是共用电脑的话，不法分子可以通过拷贝、复制驻留在客户端电脑中的缓冲区内数据盗取企业机密信息。当然，如果系统支持用户离线后可自动清除用户缓冲区的内容就更好了。

　　(5) 服务端管理和日志跟踪

　　SSL VPN 服务器应该提供访问统计和跟踪功能，这样管理员能够根据日志随时掌握系统访问情况。并且能有实时监控功能，对于发现不安全连接应该有能断开其连接的功能。

　　三、管理需求

　　SSL VPN 的突出优势之一就在于移动性强、易用性强。但这些特性往往会增加管理难度。因此用户在选购 SSL VPN 时要重点考虑产品的管理性能。产品要做到界面简单，使用方便，灵活、细致地设置访问权限 , 采用基于用户 / 组 / 角色的认证机制，每个文件、网址或应用都可进行单独设置，使访问控制更易于管理。

　　四、性能需求

　　由于是集中系统， SSL 加速决定整个网络的吞吐量。如果 SSL 加速跟不上，远程接入就会比实际的 Internet 接入带宽低很多。有的 SSL VPN 产品采用专门的 SSL 加速硬件，从而提高了 VPN 的响应速度。另外，通过数据压缩技术，还对所有的传输数据进行压缩后再进行传输，这样就提高了整个网络的运行效率和实用性。

　　五、服务需求

　　除了上面提到的几点外，具有良好的售前和售后服务也至关重要。 SSL VPN 还是一个在不断发展的技术，更新的可能会比较快，提供 SSL VPN 的厂家是否具有良好的产品服务质量、渠道响应速度和本地支持能力也非常重要。比如承诺免费或低费用升级等等。

　　SSL VPN的认证方式是怎样的？SSL VPN的认证方式有多种，可以是动态令牌认证，还可以是CA认证以及硬件绑定等，大家在选择SSL VPN认证方式的时候，可以根据实际的需求去选择，另外，对于SSL VPN设备的选择，还需要多考虑应用和安全方面的需求，具体的可以登陆官网 www.531vpn.com。