聚焦安全：用SSL VPN设备简化安全访问

　　许多公司使用VPN向公司外部的员工提供企业网络接入。目前，大多数远程接入VPN都使用IP安全扩展(IPsec)加密在公共IP网络上传输的专用IP数据包。然而，随着员工队伍的增长和多元化，IPsec VPN客户对于最终用户来说是很麻烦的，对于网络管理员来说是成本是很高的。通过利用广泛应用的网络浏览器作为一个客户平台，SSL VPN设备将是提供一种简单而安全的外点访问专用企业服务和数据的有希望的替代方法。

　　为什么使用SSL VPN设备?

　　市场研究公司Gartner预测，到2008年，SSL VPN将成为主要的远程接入方式。三分之二以上的远程工作员工、四分之三的承包商和90%以上的需要随机访问企业网络的雇员都将采用这种方式。作为一个基于浏览器的解决方案，SSL VPN几乎能在任何系统上快速启动，不需要安装永久性的客户端软件。对于那些对管理旅行者和远程工作者的笔记本电脑感到厌烦以及那些需要不增加已经很沉重的IT工作量来扩大远程接入的企业来说，上述好处是有吸引力的。

　　用户通常可以使用一台SSL VPN设备从家里的或者公共的PC上加入网络，在任何可用的互联网连接上获得直接的访问。一旦用户通过身份识别，组或者单个规则便允许访问SSL VPN设备后面的代表系统、服务和数据的URL。目标应用一般通过一个浏览器的窗口显示出来，由下载的ActiveX控件或者Java程序实施的。SSL 或者其IETF(互联网工程任务组)的继任者TLS(传输层安全)将用于数据压缩、散列、加密和在用户和VPN设备之间的传输全部信息。总之，SSL VPN设备能够提供安全的访问，较少地依赖客户端软件。

　　应用SSL VPN设备

　　深入挖掘这个漂亮的外表，你将会发现SSL和IPsec VPN之间的巨大差别。例如，IPsec VPN提供访问具体的子网或者整个企业网络。连接的主机必须分配一个这个专用网络地址空间中的IP地址。因为SSL VPN提供具体URL地址的访问，资源规则可以更详细并且能过更容易地隐藏内部网络的结构。从网络工程师的观点看，SSL VPN整合更简单，因为这种设备能够在你防火墙的隔离区中使用，不用增加IP子网或者重新为IP子网编号。

　　另一方面，IPsec VPN创建一个支持任何基于IP的应用程序的强大的、通用的应用程序。根据其设计，SSL VPN设备可能需要逐步努力支持新的应用。例如，详细的设置可能需要把URL镜像为应用对象，并且重写URL以便隐藏内部信息。每一个SSL VPN设备都支持通用商务应用程序，如企业电子邮件和网络文件系统访问等。但是，专有的或者复杂的应用需要客户介入开发或者需要客户方面的端口转发代码。因此，许多公司最初都使用SSL VPN来增强其IPsec VPN，把仅需要访问电子邮件的员工增加到SSL VPN网络，同时保留IPsec VPN以满足真正需要广泛的网络层访问的员工的需求。

　　在SSL VPN设备中寻求什么

　　当然，SSL VPN设备必须有增强的平台的操作系统，并且通过安全界面进行管理。虽然早期的SSL VPN性能与IPsec相比还不是很好，但是，目前的企业设备能够使用硬件加速和高可用性等技术可靠地支持每一个大型的员工队伍。但是，除了对任何网络安全设备的这些基本的考虑之外，当你选择一台SSL VPN设备的时候，你应该考虑什么功能和因素呢?

　　VPN架构——SSL VPN设备是多种多样的：

　　·Web代理设备仅支持Web应用程序。浏览器把普通的HTTP包在SSL中并且发送给这台设备。这台设备检查政策、镜像URL并且把HTTP请求转发给目标互联网服务器。

　　·应用解析设备让用户通过ActiveX或者Java接口与应用程序互动。这种Java接口模仿本地的应用程序图形用户界面，但是以HTTP格式发送请求。这台设备在把这个请求转发到目标服务器(非Web服务器)之前必须要把HTTP解析为每一个应用程序的本地协议。

　　·端口转发设备通过使用一个客户端代理在SSL隧道中转发本地应用协议来支持TCP客户机/服务器应用程序。这个代理与远程主机的应用端口连接在一起，同时，这台设备转发内部服务器(非Web服务器)发出和接收的信息。