SSL VPN作為一項(xiàng)近兩年發(fā)展起來(lái)的新技術(shù)，具備無(wú)須安裝客戶端的便捷性和低管理成本的經(jīng)濟(jì)性，這也促使了其在國(guó)外的迅速發(fā)展。不過(guò)回到國(guó)內(nèi)，SSL VPN目前仍然被三大誤區(qū)所困擾。
SSL VPN正值壯年
SSL VPN采用當(dāng)前廣泛使用的工業(yè)級(jí)安全套接層協(xié)議SSL，無(wú)需安裝客戶端軟件，授權(quán)用戶能夠從任何標(biāo)準(zhǔn)的Web瀏覽器和互聯(lián)網(wǎng)連接安全地接入網(wǎng)絡(luò)資源，包括PC、筆記本電腦和移動(dòng)設(shè)備，從而安全可靠地獲取信息。
SSL VPN是解決遠(yuǎn)程用戶訪問(wèn)敏感公司數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。與傳統(tǒng)的IPSec VPN相比，SSL VPN更加適用于客戶端單機(jī)接入中心網(wǎng)絡(luò)的應(yīng)用要求（如移動(dòng)辦公），而IPSec VPN則更適用于兩個(gè)網(wǎng)絡(luò)之間構(gòu)建安全通道。
從2005年開始，IDC以及Gartner的專家都曾陸續(xù)做出過(guò)預(yù)測(cè)，他們認(rèn)為SSL技術(shù)是未來(lái)VPN的發(fā)展趨勢(shì)，SSL技術(shù)具備在Web應(yīng)用方面的巨大優(yōu)勢(shì)，而未來(lái)主流IT應(yīng)用逐步在朝Web、分布式移用方向發(fā)展。特別是隨著3G的大面積推廣，未來(lái)移動(dòng)辦公將更加流行。
另外，除了傳統(tǒng)意義的遠(yuǎn)程連接訪問(wèn)以外，政府機(jī)構(gòu)和大型企業(yè)在享受建立內(nèi)部資源共享基礎(chǔ)上高效率的協(xié)同工作的成果或Web上傳下載的同時(shí)，也面臨著保護(hù)內(nèi)部網(wǎng)絡(luò)及其數(shù)據(jù)安全性的挑戰(zhàn)，包括網(wǎng)絡(luò)反病毒、防入侵、防黑客、數(shù)據(jù)丟失等。此間，基于SSL VPN的應(yīng)用將會(huì)越來(lái)越多。
迷霧一：安全性
不過(guò)，專家的預(yù)測(cè)并沒(méi)有過(guò)多打動(dòng)國(guó)內(nèi)的安全市場(chǎng)，用戶對(duì)于SSL VPN仍然存在疑問(wèn)，首當(dāng)其沖就體現(xiàn)在SSL VPN的安全性上。
要知道，IPSec VPN的每個(gè)客戶端都必須安裝IPSec客戶端軟件，并有多種身份認(rèn)證和數(shù)據(jù)加密方式，其自身技術(shù)成熟且安全性得到了實(shí)際應(yīng)用的證明。而SSL VPN首先就打破了安裝專用客戶端的傳統(tǒng)，倡導(dǎo)的是“隨時(shí)隨地移動(dòng)接入”的新概念，甚至在公共場(chǎng)合（如網(wǎng)吧）、都能夠利用SSL VPN訪問(wèn)內(nèi)網(wǎng)資源。這些現(xiàn)象給國(guó)內(nèi)用戶帶來(lái)了一定的困擾：SSL VPN足夠安全嗎？
深信服科技的技術(shù)經(jīng)理葉宜斌向記者透露，傳統(tǒng)上VPN系統(tǒng)的安全性主要包括三個(gè)層面：數(shù)據(jù)傳輸?shù)陌踩⑸矸菡J(rèn)證的安全、內(nèi)網(wǎng)應(yīng)用的安全。
從協(xié)議上分析，SSL VPN采用標(biāo)準(zhǔn)的安全套接層協(xié)議對(duì)傳輸中的數(shù)據(jù)包進(jìn)行加密。SSL協(xié)議則是瀏覽器自帶的，加密強(qiáng)度一般為128位，從應(yīng)用的實(shí)際情況看，完全能夠滿足數(shù)據(jù)傳輸層的安全需求。
在身份認(rèn)證的安全上，SSL VPN也日趨成熟。“目前采用多重身份認(rèn)證機(jī)制已經(jīng)成為主流，像用戶名密碼的校驗(yàn)、支持第三方PKI體系且能與CA中心集成的數(shù)字證書、USB KEY認(rèn)證、動(dòng)態(tài)短信發(fā)送密鑰，都已經(jīng)開始了產(chǎn)品化應(yīng)用。”葉宜斌如是說(shuō)。
而對(duì)于內(nèi)網(wǎng)應(yīng)用的安全，其實(shí)SSL VPN更勝于IPSec VPN。對(duì)標(biāo)準(zhǔn)的IPSec VPN而言，并沒(méi)有在內(nèi)網(wǎng)安全上做進(jìn)一步的要求，它只是打開了從分支到總部的通路、對(duì)于里面?zhèn)魇裁磾?shù)據(jù)是沒(méi)有有效保證的。因此也造成了病毒在IPSec VPN內(nèi)部跨網(wǎng)傳播等一系列安全隱患。而SSL VPN則不同，它本來(lái)就是基于應(yīng)用層的VPN。只有開放了的應(yīng)用才允許使用、并沒(méi)有給接入的用戶不受限制的訪問(wèn)權(quán)限。因此，從安全性角度來(lái)分析，SSL VPN完全能夠滿足移動(dòng)用戶的接入安全需求。
迷霧二：應(yīng)用支持與設(shè)備部署
在這一點(diǎn)上，很多用戶收到了誤導(dǎo)。關(guān)于網(wǎng)絡(luò)上很多SSL VPN的介紹文章中，到處充斥著“SSL VPN只支持Web應(yīng)用”的字眼。這其實(shí)是混淆了SSL協(xié)議和SSL VPN的概念。
SSL VPN之所以不需要安裝任何客戶端，就是因?yàn)橛脩艚K端中只要有瀏覽器、就一定會(huì)有SSL協(xié)議。SSL VPN就是用到了系統(tǒng)已有的SSL協(xié)議來(lái)構(gòu)建安全的通道，但并不等于SSL VPN只支持Web應(yīng)用。
SSL VPN除了支持Web應(yīng)用之外，還能支持任何基于TCP的應(yīng)用（如C/S應(yīng)用軟件）、支持Windows網(wǎng)上鄰居、FTP等多種應(yīng)用。因?yàn)閺募夹g(shù)上說(shuō)，只要將所有其他非Web的應(yīng)用進(jìn)行重定向，在客戶端將所有數(shù)據(jù)轉(zhuǎn)入SSL協(xié)議通道傳輸，在中心端進(jìn)行恢復(fù)和還原就可以實(shí)現(xiàn)。
另外，像上海冰峰網(wǎng)絡(luò)、深信服科技等本土廠商，都開發(fā)了獨(dú)特的隧道SSL VPN技術(shù)或IPTUNEL協(xié)議，以便在SSL VPN設(shè)備上運(yùn)行一些類似IPSec VPN的功能。以IPTUNEL協(xié)議為例，該協(xié)議支持UDP應(yīng)用，支持PING通，從而實(shí)現(xiàn)對(duì)視頻等更復(fù)雜應(yīng)用的透明支持。對(duì)客戶端來(lái)說(shuō)，仍然不需安裝任何客戶端軟件，只需在SSL用戶登錄時(shí)自動(dòng)下載部分插件，從而保證了SSL VPN天然的易用性。
在設(shè)備部署上，SSL VPN最大的便利在于不需安裝任何客戶端，這也使得它在一些特殊終端（如支持瀏覽器的PDA）、特殊場(chǎng)合（如不是使用自己電腦時(shí)、臨時(shí)需要接入總部）具有IPSec VPN不可比擬的優(yōu)勢(shì)。
葉宜斌同時(shí)表示，利用DKEY的即插即用技術(shù)可以將SSL VPN做到零配置。同時(shí)，對(duì)于用戶來(lái)說(shuō)，往往不僅需要移動(dòng)用戶接入，而且還需要站點(diǎn)間的互聯(lián)互通。因此，如果用戶必須部署兩套設(shè)備（IPSec和SSL各一套），則無(wú)疑增加了成本和管理的復(fù)雜性。因此，現(xiàn)在流行的“IPSec/SSL二合一”的技術(shù)，可以在同一臺(tái)設(shè)備中同時(shí)支持兩種協(xié)議，以便用戶規(guī)劃全網(wǎng)的VPN。并且，IPSec和SSL客戶端授權(quán)可由用戶自行分配。例如用戶購(gòu)買了100個(gè)客戶端授權(quán)，可自己定義多少個(gè)用于IPSec、多少個(gè)用于SSL，讓用戶在實(shí)際應(yīng)用中選擇最適合自己的VPN接入方式。
迷霧三：價(jià)格與接受程度
SSL VPN和大多數(shù)IT新技術(shù)一樣，是從國(guó)外流傳到中國(guó)的新技術(shù)。目前SSL VPN的產(chǎn)品仍然以國(guó)外廠商為主，國(guó)內(nèi)自主研發(fā)的SSL VPN產(chǎn)品屈指可數(shù)、并且在技術(shù)上還沒(méi)有形成普遍的突破。這是導(dǎo)致SSL VPN價(jià)格高昂的主要原因。而IPSEC VPN由于技術(shù)成熟、普及時(shí)間長(zhǎng)，國(guó)內(nèi)廠商的進(jìn)步等等，由市場(chǎng)將價(jià)格拉到了合適的水平。
不過(guò)可喜的是，很多本土廠商已經(jīng)奮起直追，除了在技術(shù)上趕超國(guó)外品牌，同時(shí)加入更多的技術(shù)優(yōu)勢(shì)確保性價(jià)比，如本土廠商中的多線路自動(dòng)選路、短信認(rèn)證等專利，以及客戶化定制頁(yè)面、單點(diǎn)登錄等功能，都出現(xiàn)了挑戰(zhàn)國(guó)外SSL VPN產(chǎn)品的局面。
據(jù)悉，北京朝陽(yáng)區(qū)政府、石景山區(qū)政府、上海嘉定區(qū)政府已經(jīng)明確表示支持SSL VPN的建設(shè)，而華南師范大學(xué)、浙江林學(xué)院等高校用戶已經(jīng)開始了相關(guān)產(chǎn)品的技術(shù)測(cè)試。另外，重慶力帆集團(tuán)、上海交運(yùn)集團(tuán)、中石化國(guó)際公司等大型企業(yè)也都部署了相關(guān)的SSL VPN產(chǎn)品。可以說(shuō)，國(guó)內(nèi)目前對(duì)于SSL VPN的接受程度在不斷提高。
為了進(jìn)一步推動(dòng)SSL VPN應(yīng)用普及，一些本土廠商已經(jīng)在VPN產(chǎn)品中缺省配置SSL VPN模塊，屆時(shí)用戶只需以購(gòu)買IPSec VPN相同的價(jià)格，就可以同時(shí)擁有支持兩種協(xié)議的VPN產(chǎn)品。有分析人士表示，在未來(lái)國(guó)內(nèi)市場(chǎng)中，SSL VPN有望成為企業(yè)用戶買得起、用得好的安全基礎(chǔ)設(shè)施。