合理選擇VPN

　　SSL VPN的強(qiáng)勁發(fā)展勢(shì)頭似乎表明，它將取代IPSec VPN，

　　不過(guò)仔細(xì)分析你會(huì)發(fā)現(xiàn)，二者并不矛盾

　　選購(gòu)理想的虛擬專用網(wǎng)對(duì)企業(yè)用戶來(lái)說(shuō)相當(dāng)困難，當(dāng)前盛行的說(shuō)法是：風(fēng)頭漸勁的SSL VPN將迅速趕超并有可能替代傳統(tǒng)的IPSec VPN，這更加大了選購(gòu)決策的難度。當(dāng)然，有人堅(jiān)持認(rèn)為:SSL VPN這個(gè)灰姑娘很快會(huì)大放光彩，IPSec VPN將隨之黯然失色。這更是為近期業(yè)界的喧鬧加了一把火。

　　業(yè)內(nèi)人士認(rèn)為，IPSec被淘汰的傳聞?wù)f得過(guò)早了，但在遠(yuǎn)程訪問(wèn)領(lǐng)域，無(wú)疑出現(xiàn)了非常明顯的一股潮流——遠(yuǎn)離IPSec，這股潮流源于一些非常實(shí)際的原因。

　　穩(wěn)步發(fā)展

　　Infonetics Research是一家國(guó)際市場(chǎng)調(diào)研和咨詢公司，也是VPN領(lǐng)域的主要專業(yè)公司。它稱，SSL VPN取得了長(zhǎng)足發(fā)展，以至2003年許多IPSec VPN廠商將繼續(xù)宣布推出基于SSL的產(chǎn)品。這一幕現(xiàn)在已經(jīng)呈現(xiàn)在世人面前，諾基亞、思科及其它大玩家紛紛推出了圍繞SSL產(chǎn)品的解決方案。

　　盡管如此，SSL仍舊不會(huì)取代IPSec，Infonetics如此認(rèn)為。因?yàn)檎军c(diǎn)到站點(diǎn)連接缺少理想的SSL解決方案，而說(shuō)到遠(yuǎn)程訪問(wèn)，許多公司考慮之后，可能為了不同的遠(yuǎn)程訪問(wèn)而同時(shí)部署SSL和IPSec，但在近期，這種情況不太可能成為主導(dǎo)性潮流。

　　據(jù)Infonetics最近發(fā)表的報(bào)告表明，IPSec對(duì)VPN而言仍是主導(dǎo)性的隧道和加密技術(shù)。不過(guò)同時(shí)，SSL將不斷獲得吸引力。到2005年，74%的移動(dòng)員工將依賴VPN（比2003年增加15%），預(yù)計(jì)增長(zhǎng)率主要來(lái)自SSL，這種IPSec以外的替代方案避開(kāi)了部署及管理必要客戶軟件的復(fù)雜性和人力需求。

　　現(xiàn)在的問(wèn)題在于，在這個(gè)市場(chǎng)的早期階段，許多廠商在如何給基于SSL的產(chǎn)品定位上似乎沒(méi)有明確態(tài)度。到底把SSL VPN（又叫做應(yīng)用層VPN網(wǎng)關(guān)產(chǎn)品）視為與IPSec競(jìng)爭(zhēng)還是互補(bǔ)？這還是個(gè)營(yíng)銷難題。

　　Infonetics認(rèn)為，SSL產(chǎn)品最終的定位最好與IPSec互補(bǔ)。大多數(shù)IPSec廠商將開(kāi)發(fā)或購(gòu)進(jìn)應(yīng)用層VPN技術(shù)，添加到自己的產(chǎn)品線當(dāng)中。這種互補(bǔ)性定位對(duì)市場(chǎng)能否成功至關(guān)重要。如果在今后12個(gè)月，在該領(lǐng)域領(lǐng)先市場(chǎng)的廠商決定在SSL和IPSec之間挑起競(jìng)爭(zhēng)，那么整個(gè)市場(chǎng)將會(huì)遭殃。

　　區(qū)別何在

　　在設(shè)計(jì)上，IPSec VPN是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)。這類VPN的真正價(jià)值在于，它們盡量提高IP環(huán)境的安全性。可問(wèn)題在于，部署IPSec需要對(duì)基礎(chǔ)設(shè)施進(jìn)行重大改造，以便遠(yuǎn)程訪問(wèn)。好處就擺在那里，但管理成本很高。就這點(diǎn)而言，IPSec仍是站點(diǎn)到站點(diǎn)連接的不二選擇，但用于其它遠(yuǎn)程訪問(wèn)活動(dòng)的SSL VPN也引起了人們的興趣。

　　不過(guò)，首次登臺(tái)亮相時(shí)，IPSec VPN被認(rèn)為與其它遠(yuǎn)程訪問(wèn)解決方案相比有一大優(yōu)勢(shì)。IPSec VPN的誘人之處包括，它采用了集中式安全和策略管理部件，從而大大緩解了維護(hù)需求。

　　然而，近期傳統(tǒng)的IPSec VPN出現(xiàn)了兩個(gè)主要問(wèn)題：首先，客戶軟件帶來(lái)了人力開(kāi)銷，而許多公司希望能夠避免；其次，某些安全問(wèn)題也已暴露出來(lái)，這些問(wèn)題主要與建立開(kāi)放式網(wǎng)絡(luò)層連接有關(guān)。

　　首選方案

　　許多專家認(rèn)為，就通常的企業(yè)高級(jí)用戶（Power User）和LAN-to-LAN連接所需要的直接訪問(wèn)企業(yè)網(wǎng)絡(luò)功能而言，IPSec無(wú)可比擬。然而，典型的SSL VPN被認(rèn)為最適合于普通遠(yuǎn)程員工訪問(wèn)基于Web的應(yīng)用。因而，如果需要更全面的、面向基于瀏覽器應(yīng)用的訪問(wèn)，以及面向遠(yuǎn)程員工、把所有辦公室連接起來(lái)，IPSec無(wú)疑是首選。

　　另一方面，SSL VPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec，這項(xiàng)不需要客戶軟件的功能正是一個(gè)重要因素。

　　除此之外，SSL VPN還有其它經(jīng)常被提到的特性，包括降低部署成本、減小對(duì)日常性支持和管理的需求。此外，因?yàn)樗袃?nèi)外部流量通常都經(jīng)過(guò)單一的硬件設(shè)備，這樣就可以控制對(duì)資源和URL的訪問(wèn)。

　　廠商推出這類不需要客戶軟件的VPN產(chǎn)品后，用戶就能通過(guò)與因特網(wǎng)連接的任務(wù)設(shè)備實(shí)現(xiàn)連接，并借助于SSL隧道獲得安全訪問(wèn)。這需要在企業(yè)防火墻后面增添硬件，但企業(yè)只要管理一種設(shè)備，不必維護(hù)、升級(jí)及配置客戶軟件。

　　因?yàn)樽罱K用戶避免了攜帶便攜式電腦，通過(guò)與因特網(wǎng)連接的任何設(shè)備就能獲得訪問(wèn)，SSL更容易滿足大多數(shù)員工對(duì)移動(dòng)連接的需求。不過(guò)這種方案的問(wèn)題在于，SSL VPN的加密級(jí)別通常不如IPSec VPN高。所以，盡管部署和支持成本比較低，并且使組織可以為使用臺(tái)式電腦、便攜式電腦或其它方式的員工提供使用電子郵件的功能，甚至迅速、便捷地為合作伙伴提供訪問(wèn)外聯(lián)網(wǎng)的功能，但SSL VPN仍有其缺點(diǎn)。

　　業(yè)內(nèi)人士認(rèn)為，這些缺點(diǎn)通常涉及客戶端安全和性能等問(wèn)題。對(duì)E-mail和Intranet而言，SSL VPN是很好；但對(duì)需要較高安全級(jí)別、較為復(fù)雜的應(yīng)用而言，就需要IPSec VPN。

　　連接企業(yè)

　　盡管有人認(rèn)為SSL其實(shí)只適用于訪問(wèn)基于Web的應(yīng)用，而不是直接訪問(wèn)企業(yè)網(wǎng)，它更適合不大懂技術(shù)的用戶，而不是高級(jí)用戶，但現(xiàn)在出現(xiàn)了一種新趨勢(shì)——SSL趨向于被用作基礎(chǔ)設(shè)施技術(shù)，而不是僅僅成為與Web應(yīng)用服務(wù)器相關(guān)聯(lián)、部署于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的其它構(gòu)件等設(shè)備的一項(xiàng)技術(shù)。

　　此外，現(xiàn)在市面上的一些SSL技術(shù)已經(jīng)允許可信的高級(jí)用戶通過(guò)固定設(shè)備進(jìn)行遠(yuǎn)程連接，而固定設(shè)備這端配有可信的PC、防火墻和防病毒及其它保護(hù)措施。簡(jiǎn)而言之，它只是一種可以為所有用戶提供各種所需特性的VPN而已，與IPSec VPN的根本區(qū)別在于，流量是通過(guò)SSL來(lái)傳輸?shù)摹?BR>
　　不過(guò)，許多組織同時(shí)使用SSL和IPSec VPN一定有其理由。但業(yè)內(nèi)專家認(rèn)為，沒(méi)有理由為了遠(yuǎn)程訪問(wèn)而同時(shí)使用兩者。而眼下IT組織并不贊同這種觀點(diǎn)，也就是說(shuō)，在網(wǎng)絡(luò)內(nèi)部，它們把IPSec技術(shù)運(yùn)用于LAN-to-LAN，SSL VPN則專門用于日常性的遠(yuǎn)程訪問(wèn)工作。

　　無(wú)論有關(guān)SSL VPN的說(shuō)法如何，公司應(yīng)該牢記：這類技術(shù)不可能為每個(gè)人解決所有問(wèn)題。有關(guān)SSL VPN的種種說(shuō)法只是一種市場(chǎng)指標(biāo)，表明它是解決某幾類問(wèn)題的另一種方法：解決的不是所有問(wèn)題，而是某幾類。

　　客戶軟件是關(guān)鍵

　　因此，有人堅(jiān)定地認(rèn)為，IPSec是提供站點(diǎn)到站點(diǎn)連接的首要工具，通過(guò)這種連接，你可以在廣域網(wǎng)（WAN）上實(shí)現(xiàn)基礎(chǔ)設(shè)施到基礎(chǔ)設(shè)施的通信。而SSL VPN不需要客戶軟件的特性有助于降低成本、減緩遠(yuǎn)程桌面維護(hù)方面的擔(dān)憂。

　　但是，SSL的局限性在于，只能訪問(wèn)通過(guò)網(wǎng)絡(luò)瀏覽器連接的資產(chǎn)。所以，這要求某些應(yīng)用要有小應(yīng)用程序，這樣才能夠有效地訪問(wèn)。如果企業(yè)資產(chǎn)或應(yīng)用沒(méi)有小應(yīng)用程序，要想連接到它們就比較困難。因而，你無(wú)法在沒(méi)有客戶軟件的環(huán)境下運(yùn)行，因?yàn)檫@需要某種客戶軟件豐富（Client-Rich）的交互系統(tǒng)。

　　不需要客戶軟件的運(yùn)行環(huán)境肯定有其效率和好處，但在性能、應(yīng)用覆蓋和兼容性等方面也存在問(wèn)題。這樣一來(lái)，完全采用這種方案顯得更具挑戰(zhàn)性。SSL這種方案可以解決OS客戶軟件問(wèn)題、客戶軟件維護(hù)問(wèn)題，但肯定不能完全替代IPSec VPN，因?yàn)楦髯运鉀Q的是幾乎沒(méi)多少重疊的兩種不同問(wèn)題。

　　SSL與應(yīng)用安全

　　對(duì)需要遠(yuǎn)程訪問(wèn)的大多數(shù)公司而言，所支持的應(yīng)用應(yīng)當(dāng)包括公司為盡量提高效率、生產(chǎn)力和盈利能力所需要的各種應(yīng)用。盡管應(yīng)用安全提供了這種覆蓋寬度，但SSL VPN能支持的應(yīng)用種類非常有限。

　　大多數(shù)SSL VPN都是HTTP反向代理，這樣它們非常適合于具有Web功能的應(yīng)用，只要通過(guò)任何Web瀏覽器即可訪問(wèn)。HTTP反向代理支持其它的查詢/應(yīng)答應(yīng)用，譬如基本的電子郵件及許多企業(yè)的生產(chǎn)力工具，譬如ERP和CRM等客戶機(jī)/服務(wù)器應(yīng)用。為了訪問(wèn)這些類型的應(yīng)用，SSL VPN為遠(yuǎn)程連接提供了簡(jiǎn)單、經(jīng)濟(jì)的一種方案。它屬于即插即用型的，不需要任何附加的客戶端軟件或硬件。

　　然而，同樣這個(gè)優(yōu)點(diǎn)偏偏成了SSL VPN的最大局限因素：用戶只能訪問(wèn)所需要的應(yīng)用和數(shù)據(jù)資源當(dāng)中的一小部分。SSL VPN無(wú)法為遠(yuǎn)程訪問(wèn)應(yīng)用提供全面的解決方案，因?yàn)樗⒉挥兄谠L問(wèn)內(nèi)部開(kāi)發(fā)的應(yīng)用，也不有助于訪問(wèn)要求多個(gè)渠道和動(dòng)態(tài)端口以及使用多種協(xié)議這類復(fù)雜的應(yīng)用。不過(guò)這對(duì)公司及遠(yuǎn)程用戶來(lái)說(shuō)卻是一個(gè)關(guān)鍵需求。譬如說(shuō)，SSL VPN沒(méi)有架構(gòu)來(lái)支持即時(shí)消息傳送、多播、數(shù)據(jù)饋送、視頻會(huì)議及VoIP。

　　盡管SSL能夠保護(hù)由HTTP創(chuàng)建的TCP通道的安全，但它并不適用于UDP通道。然而，如今企業(yè)對(duì)應(yīng)用的支持要求支持各種類型的應(yīng)用：TCP和UDP、客戶機(jī)/服務(wù)器和Web、現(xiàn)成和內(nèi)部開(kāi)發(fā)的程序。

　　應(yīng)用獨(dú)立的安全解決方案應(yīng)該具備支持各種標(biāo)準(zhǔn)的TCP或UDP。應(yīng)用安全技術(shù)支持使用物理網(wǎng)絡(luò)的各種解決方案。除了支持如今各種程序外，應(yīng)用安全還將支持未來(lái)的各種方案，不管是哪種協(xié)議或是設(shè)計(jì)。