[网络转载] 移动办公领域—SSL VPN前景广阔 Juniper

一份最近的研究表明，近90% 的企业利用VPN进行的内部网和外部网的连接都只是用来进行Internet访问和电子邮件通信，而这些应用都利用了一种更加简单的VPN 技术 ——SSL VPN。 　　一项调查中结果显示：42%的用户表示，在2009年之前还没有完全过渡到VPN网络的计划，相比有52%的用户已经明确表示2009年之前会使用VPN来代替原有网络，其他7%的用户表示没有计划下一步的行动。另外在用户过渡到VPN网络过程中，部分用户会首先选择混合组网方式，即用VPN代替部分的专线网络。这种方式既节省了用户的通信费用，又保护了运营商原有的投资，是过渡时期一个不错的选择。
　　由于应用趋向网络化发展，基于加密套接字协议层（SSL）作为一种新的方式出现在VPN领域，进而成为远程访问技术发展的新趋势。SSL VPN能提供更方便的远程访问企业核心应用和网络资源的能力，也更加容易配置和管理，由于不需要客户端软件，网络配置成本比目前主流的IPSec VPN要低很多，所以许多企业已经开始利用基于SSL加密协议的远程访问技术来实现VPN通信了。但是总体来看，SSL VPN还没有达到厂商们期望的大规模应用，不过SSL VPN的前景被很多专家看好。
　　SSL 远程访问优势明显
　　长久以来，企业一般都是通过部署IPSec VPN来为移动用户和商业合作伙伴提供访问其后台服务和资源的远程接入通道。现在对于站点到站点（Site-to-Site）的通讯，IPSec VPN恐怕仍是惟一的解决方案。但在客户到企业（Client-to-Enterprise）的连接这方面，IPSec VPN却面临着迅速失宠的尴尬局面，原因之一就在于随着客户端用户人数的增长，为他们安装IPSec VPN客户端和提供技术支持的工作已经让众多网络管理员不堪重负。另外，IPSec隧道也为攻击者留下了打通企业防火墙并直接威胁中心网络的通道。
　　考虑到IPSec VPN 存在这些基本的问题，也就不难解释为什么现在SSL VPN越来越受到IT管理员们的关注。SSL VPN 不需要安装其他的客户端软件，只要有支持SSL的浏览器就行，自然也就不需要对客户端进行什么维护和支持了。这不但节省了IT人员大量的时间和精力，同时也意味着远程用户在进行远程访问时不会再受到地域的限制，不论是在公共网吧或是在商业合作伙伴那里，甚至是随手借一台笔记本，只要有网络，远程访问就没问题。
　　SSL VPN 是基于应用层的 VPN，这就意味着在安全性上已经不仅局限在可以让数据安全传输，而且还能关注传输过来的数据包括什么内容。对于企业而言，采用SSL VPN不仅可以让外地员工对Web 化的企业应用进行访问，而且可以知道访问应用的数据连接究竟是由哪个员工发起、他或者她究竟有哪些权限来进行操作。
　　业界分析师大都看好SSL VPN技术，据Frost&Sullivan市场研究公司预估，SSLVPN技术的市场规模在不断扩大，到2006年市场销售额会突破5亿美元。
　　Gartner 的报告称：那些希望使用更加简单更加灵活的方式部署他们的安全远程访问系统的企业应该考虑使用SSL VPN 。这项基于SSL的技术简单、易用而且不需要高额费用，和IPSec VPN相比，建立在SSL 上的VPN更容易部署和支持。
　　更重要的是，SSL VPN的实现不需要任何连入企业的开放隧道，SSL VPN会对每个连接执行相应的安全策略，并能依据不同的用户身份、地域和设备为其分配访问相应资源的权限，如果再配上良好的安全控制策略，那么在管理员没有明确许可的情况下所有资源都将受到保护并被禁止访问。
　　迁移不是抛弃
　　就算对那些已经在IPSec VPN上投入大量资金的企业来说，向SSL VPN上迁移也是有充分理由的，因为对于IPSec VPN来说，在每个客户身上所花的技术支持费用要远远超过 SSL VPN，而在这方面节省的资金就足够抵消用于购买新设备的开支了。由于SSL VPN所有的东西都集中在一起，长远来看管理起来更加容易。而且 SSL VPN基于客户的浏览器，一旦有策略方面的变动时，客户的下一次连接就能自动适应相应的变动。
　　在安全性上SSL VPN也要胜过IPSec。所有SSL VPN的连接，甚至包括类似IPSec风格的第三层隧道，都要受到相应的访问控制策略的限制，这样管理员就可以限制对某些特定资源的访问，而不像IPSec那样，一旦用户连入后整个网络都暴露在他面前。随着市场的逐步成熟，我们有越来越多的理由期待SSL VPN成为企业的首选 VPN设备。
　　公平地讲，企业没有必要现在就立即抛弃所有IPSec VPN设备而以SSL VPN全部替换之，不过现在开始部署SSL VPN并把用户朝这方面迁移还是很有意义的。IPSec VPN和 SSL VPN完全可以共存并在功能上互补，这样从一个平台迁移到另一个平台的过程就可以更平稳一些。
　　虽然SSL VPN有诸般好处，但SSL VPN并不能取代 IPSec VPN。因为，这两种技术目前应用在不同的领域。SSL VPN 考虑的是应用软件的安全性，更多应用在Web的远程安全接入方面；而IPSec VPN是在两个网站之间通过专线或互联网安全连接以及两台服务器之间的安全连接，保护的是点对点之间的通信，并且，它不局限于Web应用。而且IPSec VPN的厂商也开始研究怎样让IPSec VPN兼容SSL VPN，增强易用性。如果真能做到这点，IPSec VPN的扩展性将大大加强，市场生命力也将更长久。