首页 > CEO博客

SSL VPN网关不是HTTPS加密网关
2025年5月12日

点击 这里 阅读PDF版本(有全球信任和全球法律效力的数字签名和时间戳,版权所有,抄袭违法必究!转载请注明:转载自零信CEO博客)

笔者最近参加了广西密码铸盾八桂行和武汉网安创新论坛两个重要的会议,同时走访了湖南、湖北、广东、广西和福建5省的合作伙伴和意向客户,发现无论是密码企业还是网安企业,还有用户,都对SSL VPN网关的作用和用途有误解和歧义。所以有必要写篇文章来讲清楚SSL VPN网关与HTTPS加密网关有什么不同,应该如何选购合适的网关产品来满足用户业务系统的HTTPS加密需求。

一、 SSL VPN网关仅用于远程安全接入

根据百度百科的定义:SSL VPN 指采用SSL协议来实现远程接入的一种VPN(虚拟专用网)技术。它包括:服务器认证、客户认证、SSL链路上的数据完整性和保密性。SSL VPN是一种既简单又安全的远程隧道访问技术,使用非常简单。与IPSec VPN相比,SSL VPN具有架构简单、运营成本低、安全性能高的特点,所以在企业用户中得到大规模的使用。

SSL VPN网关是一种远程接入设备,实现在外地的员工可以通过互联网使用浏览器以HTTPS加密方式访问位于内网的Web应用系统。SSL VPN网关当然也需要部署SSL证书实现HTTPS加密,国内厂商的SSL VPN网关是默认配置了一张自签的浏览器不信任的SSL证书,用户要么在使用时接受不安全警告继续使用,要么自己花钱向CA购买一张SSL证书部署后使用。

但是,现在大家都把这个用于远程安全接入内网Web应用的设备当成了实现公网网站HTTPS加密的设备,这就是用错地方了,不仅达不到公网HTTPS加密所需的快速响应用户请求的要求,而且有可能把整个内网都暴露到了互联网上,非常不安全。因为用于SSL VPN接入的用户应该是内部员工,但如果用于互联网用户都可以访问的公网网站那就有很大的安全隐患了。

二、 HTTPS加密网关专用于实现网站HTTPS加密

笔者试图搜一下百度百科对“HTTPS加密网关”的定义,很遗憾没有搜到,这很正常,因为这是一个专用于公网网站实现HTTPS加密的新型网关产品。

网站要实现HTTPS加密,通常是直接在Web服务器上部署SSL证书。但是有些用户不希望Web服务器暴露在互联网上,就得部署一个前置网关来实现HTTPS加密,SSL VPN网关就变成了首选,因为大家都熟悉这个产品,也可以实现HTTPS加密,但是这是一个错误的选择,因为用户需要的是实现网站HTTPS加密,而不是用户远程接入内网。但是,对于用户来讲,这也是一个无奈的选择,因为安全厂商给用户推荐的方案就是部署SSL VPN网关,没有别的选择。

所以,HTTPS加密网关就应运而生了,这是在普及HTTPS加密应用的市场环境下诞生的新产品,一个可以实现HTTPS加密、HTTPS卸载和高速转发的网关产品,一个Web应用反向代理网关产品,一般采用具有高性能的反向代理能力的Nginx实现,类似于常用CDN和WAF服务的实现原理。

HTTPS加密网关一般内置高速密码卡,也就是早期常用的安装在Web服务器上的SSL加密卡或SSL卸载卡,以实现快速HTTPS加密响应和HTTPS解密卸载,并把卸载后的明文流量转发给网关后面的Web服务器。这就是与SSL VPN网关的最大不同,不给访问者分配内网IP地址直接访问内网Web服务器,而且转发访问者的数据请求到内网Web服务器。

当然,HTTPS加密网关也必须有SSL证书才能实现HTTPS加密,也需要用户向CA购买SSL证书并部署在网关上使用。这是同SSL VPN网关一样的,但是不同的,HTTPS加密网关是为了减轻Web服务器的HTTPS加密负担,无需在Web服务器上安装SSL证书,专用于为Web服务器提供HTTPS加密卸载转发服务的网关,不是用于用户远程接入内网Web服务器的网关。

用户在选购网关产品时一定要搞清楚自己的需求是为单位员工远程接入到单位内网Web服务器,还是为公众用户提供HTTPS加密方式的Web服务(如公网网站和服务系统),前者选用SSL VPN网关,后者则选用HTTPS加密网关。

三、 HTTPS加密自动化网关和国密HTTPS加密自动化网关,自动化配置SSL证书

HTTPS加密网关提供的是一个前置Web代理服务,替Web服务器分担了HTTPS加密工作,从而减轻Web服务器的加解密负担而专用于业务系统,并且使得Web服务器不用直接暴露在互联网上,让位于网关后面的Web服务器更安全。

HTTPS加密自动化网关,多了“自动化”三个字,则是一个升级产品,实现了自动化为网关配置SSL证书,用户无需向CA申请SSL证书,这是把国际上流行的在Web服务器上安装ACME客户端软件实现HTTPS加密的方案集成到网关上,国际网安大厂的所有相关设备都已经实现了这个SSL证书自动化管理功能。这当然是用户喜爱的功能。

国密HTTPS加密自动化网关,则是自动化配置国密SSL证书实现国密算法HTTPS加密,当然一般都同时自动化配置国际SSL证书,实现自适应算法的HTTPS加密,这非常适合于我国要求完成的Web应用国密改造,因为用户无需向CA申请国密SSL证书和国际SSL证书,只需配置网站域名即可自动化部署双算法双SSL证书,实现HTTPS加密自动化。

四、 零信国密HTTPS加密自动化网关,自动化配置双算法SSL证书和集成WAF服务

零信国密HTTPS加密自动化网关就是一个自动化配置双算法(ECC/SM2)双SSL证书的国密HTTPS加密自动化网关产品,是我国首个也是目前唯一一个通过商用密码产品认证的专用于国密HTTPS加密自动化的网关产品。不仅如此,为了保障Web应用安全,还集成了高性能WAF系统,为用户提供检测能力和识别能力都为A级的Web应用防火墙服务,所以,零信国密HTTPS加密自动化网关也同时是一个国密WAF自动化网关,可用于替代需要用户手动申请和部署SSL证书的传统WAF设备。

HTTPS加密自动化网关

零信国密HTTPS加密自动化网关是一个高端高性能网站安全硬件密码设备,是一个集https加密加速、https卸载转发、国密算法模块、SSL证书自动化、WAF防护、负载均衡、双向认证等多项功能于一体的专用于Web网站系统https加速和卸载的硬件网关产品,内置专业级高性能双算法硬件密码卡实现高速密码运算和网络包转发,并且对内置操作系统、网络协议、SSL/TLS协议、RSA/ECC算法和SM2算法都进行了专业的深度优化,实现了业界领先的极致性能:HTTPS并发连接数可达到150万、HTTPS加密吞吐量可达到9Gbps。

零信国密HTTPS加密自动化网关最大的特点和特色是无需在原Web服务器上安装SSL证书、自动化为网站域名配置双算法SSL证书,自动化实现HTTPS加密,自适应加密算法,支持国密算法和国密证书透明的浏览器采用SM2算法实现国密https加密,不支持国密算法和国密证书透明的浏览器采用ECC算法实现https加密。这是一个端云一体的创新解决方案,内置国密ACME客户端,自动对接零信云SSL服务系统,自动化完成双SSL证书申请、部署和续期,确保业务系统零改造实现https加密,不间断地自动化为多达255个不同域名的网站和业务系统提供5年无忧的自动化https加密服务和WAF防护服务。

零信国密HTTPS加密自动化网关自动化完成了三种不同网络协议的转换工作,一是实现了HTTP明文传输协议到HTTPS密文传输协议的转换;二是实现了两个不同密码体系(RSA和SM2)的转换,使得原Web服务器零改造完成了国密改造,三是实现了两个不同IP地址体系(IPv4和IPV6)的转换,使得原Web服务器也无需改造支持IPv6,但用户可以使用IPv6网络访问Web应用。零信技术端云一体创新实现了一个网关搞定三个协议转换难题,是网站和Web系统实现HTTPS加密的不二之选。

五、 选对网关产品,保障Web应用安全

SSL VPN网关是实现远程安全接入的首选,但不是网站实现HTTPS加密的选项,这个产品选型不能错!要想网站和Web系统实现HTTPS加密,就得选购HTTPS加密网关,但是这类网关需要用户人工申请和部署SSL证书到网关上,费钱费时费力,特别是SSL证书有效期即将缩短为47天,用户必须选购支持SSL证书自动化管理的HTTPS加密自动化网关。而对于要求完成国密改造的用户,不仅仅是为了密评和等保,更重要的是为了满足四部委发布的《互联网政务应用安全管理》要求所有互联网应用都必须实现国密HTTPS加密的合规要求,应该选购同时支持国密SSL证书和国际SSL证书自动化管理的国密HTTPS加密自动化网关。

正确选对网关产品,不仅能实现保障Web应用安全所需的目的,而且能简化网络管理和提升网络安全水平,这非常重要,希望本文能对合作伙伴和用户选购所需的网关产品有所帮助。