??SSL VPN作為一項近兩年發展起來的新技術,由于其無須安裝客戶端的便捷性和因此大幅降低的實施管理成本,在國內外得到了迅速的應用和發展。與IPSEC VPN相比,SSL VPN更加適用于客戶端單機接入中心網絡的應用要求(如移動辦公),而IPSEC VPN則適用于兩個網絡之間構建安全通道。
??目前阻礙SSL VPN在國內普及應用的因素,主要有以下三個方面:
??一、用戶對SSL VPN安全性仍有疑慮
??IPSEC VPN的每個客戶端都必須安裝IPSEC客戶端軟件、并有多種身份認證和數據加密方式,技術成熟、安全性得到了實際應用的證明。而SSL VPN首先就打破了安裝專用客戶端的傳統,倡導的是“隨時隨地移動接入”的新概念,甚至在公共場合(如網吧)、都能夠利用SSL VPN訪問內網資源。這些現象給用戶帶來了一定的困擾:SSL VPN足夠安全嗎?
??VPN系統的安全性主要包括三個層面:數據傳輸的安全、身份認證的安全、內網應用的安全。從協議上來說,SSL VPN采用標準的安全套接層(SSL)協議對傳輸中的數據包進行加密。SSL協議則是瀏覽器自帶的,加密強度一般為128位,從應用的角度來說、完全能夠滿足數據傳輸層的安全需求。所有的SSL VPN產品在這一點上是相同的。
??第二個層次是關于身份認證的安全。SSL VPN在這一點上也日趨成熟。以Sinfor SSL VPN為例,采取了多重身份認證機制。1、用戶名密碼的校驗;2、數字證書,并支持第三方的PKI體系、能與CA中心集成;3、USB KEY的認證;4、動態短信發送密鑰。這些認證方式可以有效的保障身份認證的安全。
??對于內網應用的安全,其實SSL VPN更勝于IPSEC VPN。對標準的IPSEC VPN而言,并沒有在內網安全上做進一步的要求,它只是打開了從分支到總部的通路、對于里面傳什么數據是沒有有效保證的。因此也造成了病毒在IPSEC VPN內部跨網傳播等一系列安全隱患。Sinfor IPSEC VPN為了解決該問題,提出了“內網權限管理”的概念、在IPSEC VPN內部設定細致的內網訪問權限,但并不是所有的IPSEC VPN都做到了這一點。
??SSL VPN則不同,它本來就是基于應用層的VPN。只有開放了的應用才允許使用、并沒有給接入的用戶不受限制的訪問權限。因此,從安全性角度來分析,SSL VPN完全能夠滿足移動用戶的接入安全需求。
??SSL VPN最大的便利在于不需安裝任何客戶端,這也使得它在一些特殊終端(如支持瀏覽器的PDA)、特殊場合(如不是使用自己電腦時、臨時需要接入總部)具有IPSEC VPN不可比擬的優勢。如果移動用戶使用的是自己的筆記本電腦、SSL VPN的優勢則不那么明顯。因為IPSEC客戶端也就是安裝一次,配置也并不復雜。Sinfor DKEY的即插即用技術更做到了零配置。同時,對于用戶來說往往不僅需要移動用戶接入、還需要站點間的互聯互通,如果需要用戶部署兩套設備(IPSEC、SSL各一套),無疑增加了成本和管理的復雜性。因此,深信服科技創新性的提出了“IPSEC/SSL二合一”的概念,在同一臺設備中同時支持兩種協議,便于客戶規劃整網的VPN。并且,IPSEC和SSL客戶端授權可由用戶自行分配。例如客戶購買了100個客戶端授權,可自己定義多少個用于IPSEC、多少個用于SSL,讓用戶在實際應用中選擇最適合自己的VPN接入方式。
??二、SSL VPN對多種應用的透明支持
??在這一點上,很多外行的報道誤導了用戶。關于SSL VPN的介紹文章中,到處充斥著“SSL VPN只支持WEB應用”這樣的字眼。這完全是混淆了SSL協議和SSL VPN的概念。SSL VPN之所以不需要安裝任何客戶端,就是因為用戶終端中只要有瀏覽器、就一定會有SSL協議。SSL VPN就是用到了系統已有的SSL協議來構建安全的通道,但并不等于SSL VPN只支持WEB應用。
??Sinfor SSL VPN除了支持WEB應用之外,還能支持任何基于TCP的應用(如C/S應用軟件)、支持Windows網上鄰居、FTP等多種應用,該技術的實現原理是將所有其他非WEB的應用進行重定向、在客戶端將所有數據轉入SSL協議通道傳輸,在中心端進行恢復和還原。Sinfor SSL VPN近期進一步通過自主研發的IPTUNEL協議、支持了UDP應用,支持PING通,以實現對視頻等更復雜應用的透明支持。對客戶端來說,仍然不需安裝任何客戶端軟件、只需在SSL用戶登錄時自動下載部分插件,保證了SSL VPN天然的易用性。
??三、SSL VPN價格居高不下
??SSL VPN和大多數IT新技術一樣,是從國外流傳到中國的新技術。目前SSL VPN的產品仍然以國外廠商為主,國內自主研發的SSL VPN產品屈指可數、并且在技術上還沒有形成普遍的突破。這是導致SSL VPN價格高昂的主要原因。而IPSEC VPN由于技術成熟、普及時間長,國內廠商的進步等等,由市場將價格拉到了合適的水平。
??深信服科技一貫堅持“高性價比”的定位,作為國內SSL VPN的排頭兵、除了在技術上趕超國外品牌,同時通過不斷的創新樹立自身特色優勢之外(深信服科技SSL VPN已經擁有了多線路自動選路、短信認證等發明專利和技術優勢,并即將推出客戶化定制頁面、單點登錄等多項優勢功能),也要打破國外SSL VPN暴利的局面。目前,Sinfor SSL VPN的出貨量已經占到了深信服科技M系列產品的50%、已經在與國外廠商的多次較量中獲勝,在政府(如北京朝陽區、石景山區移動辦公項目,上海嘉定區移動辦公項目)、教育(華南師范大學、浙江林學院等數十所高校)、集團用戶(重慶力帆集團、上海交運集團、中石化國際公司等)和郵政、氣象、金融等重要網絡中得到了廣泛應用。
??為了進一步推動SSL VPN應用普及,讓更多的用戶享受到新技術帶來的便利,深信服科技將在全部的M系列VPN產品中缺省配有SSL VPN模塊,用戶只需以購買IPSEC VPN相同的價格、就可以同時擁有支持兩種協議的VPN產品。而對所有的移動客戶端授權,均可以由用戶自主配置(例如用戶購買了100個客戶端授權,可以自己配置多少個用于IPSEC、多少個用于SSL),我們堅信、國外SSL VPN產品的暴利時代必將很快結束,SSL VPN也必將成為廣大用戶買得起、用得好的安全基礎設施。
