微軟表示計劃在3/4月份推出的LH Beta3和Vista SP1 Beta中加入SSTP的Beta Release。看來只有等Longhorn Server定型了，Vista才算是完整了吧，特別是Bussiniss這個版本。像殺毒市場進軍一樣,讓VPN的生存廠商難以生存吧.目前國內VPN廠商,還未有幾個建立起這樣的危機意識，安全意識值得我們反思。
在即將到來的Windows Longhron Server Beta3以及Windows Vista SP1中，針對遠程訪問中的VPN 連接，微軟將提供一個新的協議，稱為SSTP（Secure Socket Tunneling Protocol，安全套接字隧道協議）。這個協議將用來替代PPTP和L2TP 協議，以提高VPN訪問的靈活性，不過SSTP還不是一個標準，將來肯定還有一段路需要走。
SSL VPN 定義
SSL協議是由SSL記錄協議、握手協議、密鑰更改協議和告警協議組成，它們共同為應用訪問連接提供認證、加密和防篡改功能。SSL握手協議主 要是用于服務器和客戶之間的相互認證，協商加密算法和MAC(Message Authentication Code)算法，用于生成在SSL記錄中發送的加密密鑰。 SSL記錄協議是為各種高層協議提供基本的安全服務，其工作機制如下：應用程序消息被分割成可管理的數據塊(可以選擇壓縮數據)，并產生一 個MAC信息，加密，插入新的文件頭，最后在TCP中加以傳輸；接收端將收到的數據解密，做身份驗證、解壓縮、重組數據報然后交給高層應用 進行處理。SSL密鑰更改協議是由一條消息組成，其作用是把未定狀態拷貝為當前狀態，更新用于當前連接的密鑰組。SSL警告協議主要是用于 為對等實體傳遞與SSL相關的告警信息，包括警告、嚴重和重大等三類不同級別的告警信息。
作為應用層協議，SSL使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性。SSL安全功能組件包括三部分：認證(在連 接兩端對服務器或同時對服務器和客戶端進行驗證)，加密(對通信進行加密，只有經過加密的雙方才能交換信息并相互識別)，完整性檢驗(進 行信息內容檢測，防止被篡改)。保證通信進程安全的關鍵步驟就是對通信雙方進行認證，SSL握手協議負責這一進程的處理，圖1描述了SSL握 手協議的消息流程。

圖1 SSL握手協議的消息流程

SSL VPN技術特點
IPSec VPN和SSL VPN是兩種不同的VPN架構，IPSec VPN是工作在網絡層的，提供所有在網絡層上的數據保護和透明的安全通信，而SSL VPN 是工作在應用層(基于HTTP協議)和TCP層之間的，從整體的安全等級來看，兩者都能夠提供安全的遠程接入。但是，IPSec VPN技術是被設計用 于連接和保護在信任網絡中的數據流，因此更適合為不同的網絡提供通信安全保障，而SSL VPN因為以下的技術特點則更適合應用于遠程分散移 動用戶的安全接入。
(1)客戶端支撐維護簡單
對于大多數執行基于SSL協議的遠程訪問是不需要在遠程客戶端設備上安裝軟件，只需通過標準的Web瀏覽器連接因特網，即可以通過網頁訪問 到企業內部的網絡資源。
(2)提供增強的遠程安全接入功能
SSL VPN提供安全、可代理連接。通常SSL VPN的實現方式是在企業的防火墻后面放置一個SSL代理服務器。如果用戶希望安全地連接到公司 網絡上，那么當用戶在瀏覽器上輸入一個URL后，連接將被SSL代理服務器取得，并驗證該用戶的身份，然后SSL代理服務器將連接映射到不同的 應用服務器上。
(3)提供更細粒度的訪問控制
SSL VPN能對加密隧道進行細分，使終端用戶能夠同時接入Internet和訪問內部企業網資源。另外，SSL VPN還能細化接入控制功能，提供 用戶級別的鑒權，依據安全策略確保只有授權的用戶才能夠訪問特定的內部網絡資源，這種精確的接入控制功能對遠程接入IPSec VPN來說幾乎 是不可能實現的。
(4)能夠穿越NAT和防火墻設備
SSL VPN工作在傳輸層之上，因而能夠遍歷所有NAT設備和防火墻設備，這使得用戶能夠從任何地方遠程接入到公司的內部網絡。
(5)能夠較好地抵御外部系統和病毒攻擊
SSL是一個安全協議，數據是全程加密傳輸的。另外，由于SSL網關隔離了內網服務器和客戶端，只留下一個Web瀏覽接口，客戶端的大多數 木馬病毒感染不到內網服務器。
(6)網絡部署靈活方便
SSL VPN一般部署在內網中防火墻之后，可以隨時根據需要，添加需要VPN保護的服務器，因此無需影響原有網絡結構。
然而SSL VPN技術也存在一些不足，如認證方式比較單一，只能夠采用證書，而且一般是單向認證，SSL VPN用戶只能訪問基于Web服務器的 應用， SSL VPN只對通信雙方的某個應用通道進行加密，而不是對在通信雙方的主機之間的整個通道進行加密；SSL VPN是應用層加密，性能相 對來說可能會受到較大影響。此外，SSL VPN主要適用于點到點的信息加密傳輸，客戶端到站點的遠程訪問連接。如果要實現網絡到網絡的安全 互聯，只能考慮采用IPSec VPN。
SSL VPN的實際應用
SSL VPN在實際應用中就是要依據安全控制策略為分散移動用戶提供從外網訪問企業內網資源的安全訪問通道。通常企業內部的資源服務器 向外網用戶提供一個虛擬的URL地址，當用戶從外網訪問企業內網資源時，發起的連接被SSL VPN網關取得，通過認證后映射到不同的應用服務 器，采用這種方式能夠屏蔽內部網絡的結構，不易遭受來自外部的攻擊。對于SSL VPN的網關設備應當從三個基本層面來滿足不同的應用需求：
(1)支持Web方式的應用：例如通過SSL VPN建立的安全通道訪問基于Web的電子郵件系統收發郵件。
(2)支持非Web方式的應用：例如終端用戶想要實現非Web頁面的文件共享，那么SSL VPN網關必須將與內網FTP服務器的通信內容轉化為 HTTPS協議和HTML格式發往客戶端，使終端用戶感覺這些應用就是一些基于Web的應用。
(3)支持基于客戶/服務器應用的代理：這種應用需要在終端系統上運行一個非常小的Java或ActiveX程序作為端口轉發器，監聽某個端口上 的連接。當數據包進入這個端口時，它們通過SSL連接中的隧道被傳送到SSL VPN網關中，SSL VPN網關解開封裝的數據包，將它們轉發給目的應 用服務器。
對于一個企業來說不僅提供基于Web的應用，也同時提供大量不基于Web的應用，如OA、財務、銷售管理、ERP等應用。在現階段，SSL VPN 只能訪問基于Web的應用，而IPSec VPN卻幾乎可以為所有的應用提供訪問。對于用戶來說，理想的方式是將SSL VPN和IPSec VPN結合起來使用 。一方面為數量有限的用戶提供IPSec VPN連接，使其能夠訪問企業內網的所有資源；另一方面為多數用戶提供SSL VPN連接，使其可以訪問基 于Web的企業應用。
結束語：隨著企業信息化程度的加深，遠程安全訪問、協同工作的需求會日益明顯，SSL VPN由于其自身的技術優勢，勢必將成為企業用戶遠程安全 接入的首選方式，并且將與IPSec VPN技術一同為企業提供一個安全的遠程接入平臺。國內VPN廠商只有跟進時代的步伐，集精華于一身，才能占領市場。