在VPN領域，SSL VPN無疑是個新貴，由于其與生俱來在遠程安全連接方面的優勢，近幾年逐漸受到業界的追捧。總體來看，SSL VPN還沒有達到廠商們期望的大規模應用，然而最近的種種跡象表明，SSL VPN正在進行一場轟轟烈烈的開辟新天地運動。至于具體倚仗哪些優勢，在整體性能、功能方面有哪些最新進展，本測試報告向讀者一一道來。
一份最新研究表明近90%的企業利用VPN進行的內部網和外部網的連接都只是用來進行Internet訪問和電子郵件通信，而這些應用都利用了一種更加簡單的VPN技術——SSL VPN。基于SSL協議的VPN遠程訪問方案的確更加容易配置和管理，由于不需要客戶端軟件，網絡配置成本比起目前主流的IPSec VPN要低很多，所以許多企業已經開始利用基于SSL加密協議的遠程訪問技術來實現VPN通信了。
SSL VPN是最近幾年才逐步發展成熟的，但是當去年某些機構對其進行全面測試時，可以說并沒有滿足用戶對其較高的期望。相反，許多基本的問題還沒有解決好。時間過去一年多，目前該領域發展到了何種程度？在目前的市場上已經出現了一些廠商的產品與解決方案，它們的優劣都在哪里？與世界最先進的水平相比，多數SSL VPN設備的整體水平如何？帶著這些問題，《網絡世界》評測實驗室組織了2005年度SSL VPN網關公開比較評測。
由于目前市場中的SSL VPN網關設備并不是特別多，此次評測并沒有對參測設備進行詳細劃分級別。我們向所有主流SSL VPN設備廠商發出了邀請，最后有三家廠商接受邀請，送來參測設備并且順利完成我們的所有測試內容，它們是深信服科技的Sinfor SSL VPN Express、Array Networks的SPX 5000和深圳數安的RAP 1000-X。其中，Array Networks的SPX 5000為千兆產品，其他兩家產品為百兆設備。
我們還要特別感謝思博倫通信公司提供了Avalanche測試儀，安氏公司提供領信網絡掃描軟件。同時也對這些勇于參加此次SSL VPN網關公開比較評測的廠商表示贊賞。
性能測試——隨著軟硬件技術的進步，性能有大幅提高，滿足企業要求綽綽有余；
安全測試——盡管在網絡中處于防火墻之后，但是某些設備本身仍存在一定安全風險；
功能測試——經過近一兩年的發展，功能已經獲得巨大突破，可以輕松應對用戶復雜應用。

        性能表現是所有網絡設備極其重要的一個方面，也是我們此次測試的一個重點。SSL VPN網關設備的性能參數中，比較重要的幾個是新建用戶速率（setup/teardown速率）、最大并發用戶數、郵件系統性能以及設備的實際吞吐量（Goodput）等。
setup/teardown速率
setup/teardown速率反映了設備每秒鐘可以新建的用戶數目，Array Networks的SPX 5000可以達到982個/秒，從我們以往測試服務器的經驗來看，這一結果完全超過了一臺高端PC Web服務器的極限，只有后臺使用更高端服務器或者服務器集群才能提供如此高的性能；深信服的Sinfor SSL VPN Express結果為98個/秒，深圳數安的RAP 1000-X達到138.4個/秒，我們認為該數值也足以滿足大型企業級用戶的要求了。
最大并發用戶數
         最大并發用戶數反映設備同時提供服務的最大用戶數目，讀者需要注意，此數值并非使用SSL VPN設備的用戶總數（很顯然，并不是所有需要使用設備的用戶都隨時在線）。據稱，Array Networks的SPX 5000 的最大并發用戶數可以達到64000，我們測試結果為57063；深信服Sinfor SSL VPN Express為150，深圳數安RAP 1000-X為249。
OWA性能
        OWA（Outlook Web Access）性能反映的是設備在承載Outlook Web郵件系統的性能表現，由于郵件系統在SSL VPN的應用中占很大比例，而Outlook郵件系統又具有普遍意義，因此此項結果在用戶使用郵件系統時有很大參考意義。Array Networks的SPX 5000測試結果為7237 會話/秒；深信服RAP 1000-X為207 會話/秒，深圳數安RAP 1000-X為396.45會話/秒。
DDoS攻擊下的OWA性能
        DDoS攻擊是網絡中十分普遍的攻擊類型，我們考察了SSL VPN設備在遭受DDoS攻擊下的Web郵件系統應用的性能表現。從我們以往對各類安全設備進行測試經驗來看，設備對攻擊的防范能力不容小視，有些防范能力較差的設備在攻擊面前束手無策，很容易造成設備工作不正常。從我們的測試結果來看，所有參測設備在攻擊下的性能都有小幅下降，Array Networks的SPX 5000測試結果為7030會話/秒，下降大約2.86％；深信服Sinfor SSL VPN Express為203會話/秒，下降大約1.93％，深圳數安RAP 1000-X為395.78會話/秒，下降幅度最低，僅為0.17％。
Goodput
         按照RFC 2647的定義，我們測試了被測設備最大HTTP實際吞吐量（Goodput)。在我們的測試環境下的結果是，作為千兆設備的Array Networks SPX 5000為160.352Mbps，深信服Sinfor SSL VPN Express為34.199Mbps，深圳數安RAP 1000-X為29.864Mbps。需要說明的是，所有參測設備都沒有提供數據壓縮功能。
測試感言：性能已不是問題
從我們的測試結果來看，性能已經可以完全滿足用戶在遠程安全連接方面的需求。
據我們了解，即便是最高端的用戶，也很少會分配高達100Mbps的帶寬給SSL VPN應用，再加上Internet網速受多方面影響，因此，從實際吞吐量角度，100Mbps是實際應用環境的極限，所有超過100Mbps的設備都無法充分展示拳腳。但是VPN設備可以提供數據壓縮能力，即數據經過壓縮后向外網發送，這可使用戶更加有效地利用昂貴的帶寬資源。從我們查到的資料來看，有些廠商在這方面的技術比較先進，數據壓縮比例可以達到5:1，遺憾的是此次參測的三款產品都沒有提供該功能，因此我們測試時并沒有考察數據壓縮時的性能表現。
從最大并發用戶數角度來看，采取SSL VPN方式，按照慣例一般取1∶10的比例（如果1000個人都可能采取VPN方式，同一時間會有100個人利用VPN隧道），這一點用戶在購買設備時也應該注意——在購買IPSec  VPN時，1000個用戶需要購買1000個客戶端許可證，而如果使用SSL VPN，則可以按照100個并發用戶數購買。
用戶在部署SSL VPN之前一定要對設備進行性能測試，一方面能夠對設備的性能表現有確切掌握，另一方面可以根據實際網絡應用環境進行合理購買。