合理選擇VPN

　　SSL VPN的強勁發展勢頭似乎表明，它將取代IPSec VPN，

　　不過仔細分析你會發現，二者并不矛盾

　　選購理想的虛擬專用網對企業用戶來說相當困難，當前盛行的說法是：風頭漸勁的SSL VPN將迅速趕超并有可能替代傳統的IPSec VPN，這更加大了選購決策的難度。當然，有人堅持認為:SSL VPN這個灰姑娘很快會大放光彩，IPSec VPN將隨之黯然失色。這更是為近期業界的喧鬧加了一把火。

　　業內人士認為，IPSec被淘汰的傳聞說得過早了，但在遠程訪問領域，無疑出現了非常明顯的一股潮流——遠離IPSec，這股潮流源于一些非常實際的原因。

　　穩步發展

　　Infonetics Research是一家國際市場調研和咨詢公司，也是VPN領域的主要專業公司。它稱，SSL VPN取得了長足發展，以至2003年許多IPSec VPN廠商將繼續宣布推出基于SSL的產品。這一幕現在已經呈現在世人面前，諾基亞、思科及其它大玩家紛紛推出了圍繞SSL產品的解決方案。

　　盡管如此，SSL仍舊不會取代IPSec，Infonetics如此認為。因為站點到站點連接缺少理想的SSL解決方案，而說到遠程訪問，許多公司考慮之后，可能為了不同的遠程訪問而同時部署SSL和IPSec，但在近期，這種情況不太可能成為主導性潮流。

　　據Infonetics最近發表的報告表明，IPSec對VPN而言仍是主導性的隧道和加密技術。不過同時，SSL將不斷獲得吸引力。到2005年，74%的移動員工將依賴VPN（比2003年增加15%），預計增長率主要來自SSL，這種IPSec以外的替代方案避開了部署及管理必要客戶軟件的復雜性和人力需求。

　　現在的問題在于，在這個市場的早期階段，許多廠商在如何給基于SSL的產品定位上似乎沒有明確態度。到底把SSL VPN（又叫做應用層VPN網關產品）視為與IPSec競爭還是互補？這還是個營銷難題。

　　Infonetics認為，SSL產品最終的定位最好與IPSec互補。大多數IPSec廠商將開發或購進應用層VPN技術，添加到自己的產品線當中。這種互補性定位對市場能否成功至關重要。如果在今后12個月，在該領域領先市場的廠商決定在SSL和IPSec之間挑起競爭，那么整個市場將會遭殃。

　　區別何在

　　在設計上，IPSec VPN是一種基礎設施性質的安全技術。這類VPN的真正價值在于，它們盡量提高IP環境的安全性。可問題在于，部署IPSec需要對基礎設施進行重大改造，以便遠程訪問。好處就擺在那里，但管理成本很高。就這點而言，IPSec仍是站點到站點連接的不二選擇，但用于其它遠程訪問活動的SSL VPN也引起了人們的興趣。

　　不過，首次登臺亮相時，IPSec VPN被認為與其它遠程訪問解決方案相比有一大優勢。IPSec VPN的誘人之處包括，它采用了集中式安全和策略管理部件，從而大大緩解了維護需求。

　　然而，近期傳統的IPSec VPN出現了兩個主要問題：首先，客戶軟件帶來了人力開銷，而許多公司希望能夠避免；其次，某些安全問題也已暴露出來，這些問題主要與建立開放式網絡層連接有關。

　　首選方案

　　許多專家認為，就通常的企業高級用戶（Power User）和LAN-to-LAN連接所需要的直接訪問企業網絡功能而言，IPSec無可比擬。然而，典型的SSL VPN被認為最適合于普通遠程員工訪問基于Web的應用。因而，如果需要更全面的、面向基于瀏覽器應用的訪問，以及面向遠程員工、把所有辦公室連接起來，IPSec無疑是首選。

　　另一方面，SSL VPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec，這項不需要客戶軟件的功能正是一個重要因素。

　　除此之外，SSL VPN還有其它經常被提到的特性，包括降低部署成本、減小對日常性支持和管理的需求。此外，因為所有內外部流量通常都經過單一的硬件設備，這樣就可以控制對資源和URL的訪問。

　　廠商推出這類不需要客戶軟件的VPN產品后，用戶就能通過與因特網連接的任務設備實現連接，并借助于SSL隧道獲得安全訪問。這需要在企業防火墻后面增添硬件，但企業只要管理一種設備，不必維護、升級及配置客戶軟件。

　　因為最終用戶避免了攜帶便攜式電腦，通過與因特網連接的任何設備就能獲得訪問，SSL更容易滿足大多數員工對移動連接的需求。不過這種方案的問題在于，SSL VPN的加密級別通常不如IPSec VPN高。所以，盡管部署和支持成本比較低，并且使組織可以為使用臺式電腦、便攜式電腦或其它方式的員工提供使用電子郵件的功能，甚至迅速、便捷地為合作伙伴提供訪問外聯網的功能，但SSL VPN仍有其缺點。

　　業內人士認為，這些缺點通常涉及客戶端安全和性能等問題。對E-mail和Intranet而言，SSL VPN是很好；但對需要較高安全級別、較為復雜的應用而言，就需要IPSec VPN。

　　連接企業

　　盡管有人認為SSL其實只適用于訪問基于Web的應用，而不是直接訪問企業網，它更適合不大懂技術的用戶，而不是高級用戶，但現在出現了一種新趨勢——SSL趨向于被用作基礎設施技術，而不是僅僅成為與Web應用服務器相關聯、部署于網絡基礎設施的其它構件等設備的一項技術。

　　此外，現在市面上的一些SSL技術已經允許可信的高級用戶通過固定設備進行遠程連接，而固定設備這端配有可信的PC、防火墻和防病毒及其它保護措施。簡而言之，它只是一種可以為所有用戶提供各種所需特性的VPN而已，與IPSec VPN的根本區別在于，流量是通過SSL來傳輸的。

　　不過，許多組織同時使用SSL和IPSec VPN一定有其理由。但業內專家認為，沒有理由為了遠程訪問而同時使用兩者。而眼下IT組織并不贊同這種觀點，也就是說，在網絡內部，它們把IPSec技術運用于LAN-to-LAN，SSL VPN則專門用于日常性的遠程訪問工作。

　　無論有關SSL VPN的說法如何，公司應該牢記：這類技術不可能為每個人解決所有問題。有關SSL VPN的種種說法只是一種市場指標，表明它是解決某幾類問題的另一種方法：解決的不是所有問題，而是某幾類。

　　客戶軟件是關鍵

　　因此，有人堅定地認為，IPSec是提供站點到站點連接的首要工具，通過這種連接，你可以在廣域網（WAN）上實現基礎設施到基礎設施的通信。而SSL VPN不需要客戶軟件的特性有助于降低成本、減緩遠程桌面維護方面的擔憂。

　　但是，SSL的局限性在于，只能訪問通過網絡瀏覽器連接的資產。所以，這要求某些應用要有小應用程序，這樣才能夠有效地訪問。如果企業資產或應用沒有小應用程序，要想連接到它們就比較困難。因而，你無法在沒有客戶軟件的環境下運行，因為這需要某種客戶軟件豐富（Client-Rich）的交互系統。

　　不需要客戶軟件的運行環境肯定有其效率和好處，但在性能、應用覆蓋和兼容性等方面也存在問題。這樣一來，完全采用這種方案顯得更具挑戰性。SSL這種方案可以解決OS客戶軟件問題、客戶軟件維護問題，但肯定不能完全替代IPSec VPN，因為各自所要解決的是幾乎沒多少重疊的兩種不同問題。

　　SSL與應用安全

　　對需要遠程訪問的大多數公司而言，所支持的應用應當包括公司為盡量提高效率、生產力和盈利能力所需要的各種應用。盡管應用安全提供了這種覆蓋寬度，但SSL VPN能支持的應用種類非常有限。

　　大多數SSL VPN都是HTTP反向代理，這樣它們非常適合于具有Web功能的應用，只要通過任何Web瀏覽器即可訪問。HTTP反向代理支持其它的查詢/應答應用，譬如基本的電子郵件及許多企業的生產力工具，譬如ERP和CRM等客戶機/服務器應用。為了訪問這些類型的應用，SSL VPN為遠程連接提供了簡單、經濟的一種方案。它屬于即插即用型的，不需要任何附加的客戶端軟件或硬件。

　　然而，同樣這個優點偏偏成了SSL VPN的最大局限因素：用戶只能訪問所需要的應用和數據資源當中的一小部分。SSL VPN無法為遠程訪問應用提供全面的解決方案，因為它并不有助于訪問內部開發的應用，也不有助于訪問要求多個渠道和動態端口以及使用多種協議這類復雜的應用。不過這對公司及遠程用戶來說卻是一個關鍵需求。譬如說，SSL VPN沒有架構來支持即時消息傳送、多播、數據饋送、視頻會議及VoIP。

　　盡管SSL能夠保護由HTTP創建的TCP通道的安全，但它并不適用于UDP通道。然而，如今企業對應用的支持要求支持各種類型的應用：TCP和UDP、客戶機/服務器和Web、現成和內部開發的程序。

　　應用獨立的安全解決方案應該具備支持各種標準的TCP或UDP。應用安全技術支持使用物理網絡的各種解決方案。除了支持如今各種程序外，應用安全還將支持未來的各種方案，不管是哪種協議或是設計。