聚焦安全：用SSL VPN设备简化安全访问

　　·网络扩展设备通过使用一个客户端代理在一个SSL隧道中转发IP数据来支持任何IP应用程序。一个安装的代理拦截并且把出网的IP数据传送给这个设备。这台设备像一台网络层网关一样工作，在结构上与IPsec相似，但是没有标准IPsec的限制。

　　任何指定的设备可能都支持一个以上的结构。但是，从这里开始，将帮助你理解产品的客户和应用程序支持。

　　客户支持：每一个SSL VPN使用Web浏览器当作一个客户平台。但是，许多下载的客户端代码限制在公共PC、非Windows主机、移动设备以及外部网合作伙伴的系统上使用。你能够满足客户的要求吗，例如客户对浏览器厂商/版本或者启用ActiveX的要求?这种设备能为现值的客户提供减少的功能，同时为使用VPN门户网页自己安装代理软件的雇员提供更多的功能吗?

　　应用程序支持：除了电子邮件和文件共享之外，考虑你的员工队伍需要的应用程序，这种设备是否/如何支持这些应用程序以及实现这些应用所需要的努力。例如，端口转发设备通常不需要客户化就能够支持许多客户机/服务器。但是，实时的应用(如VoIP)可能需要网络扩展设备。确认你理解了在URL镜像和为你需要的应用程序进行协议解析都涉及到什么。

　　用户身份识别：SSL VPN在提供授权服务之前必须要识别用户的身份。确认这种设备支持你需要的用户身份识别方式以及现有的身份识别服务器和用户数据库(如, RADIUS、主动目录和LDAP)。此外，你要考虑这种设备是否能够从用户账户提取授权属性，并且考虑建立这种工作流所涉及的整合努力。

　　授权：SSL VPN通常有能力强制执行控制用户(或者组)能够访问什么内容的详细规则。评估支持每一个需要的应用程序/资源的授权详细规则，苹果这种设备是否支持你定义的安全政策。例如，一些SSL VPN能够识别远程设备身份，让你限制那些在公共或者家庭PC上的用户的功能。

　　端点安全：在批准访问之前评估端点安全状况和一台设备的状况也是很有用的。SSL VPN支持是为NAC、NAP、TNC和产品具体界面开发的，使它能够检查和/或者强制执行端点安全。采取的方法是要求在端点使用当前的安全补丁或者杀毒软件，或者限制不符合规定的端点能够访问的资源。考虑这种设备如何更好地适应你们公司的端点安全战略和实施。如果你计划支持没有管理的端点，你要评估对客户端安全措施的支持，如浏览器缓存、cookie和历史记录的清除以及"沙盒处理"(sandboxing)。

　　审计与报告：最后，你要考虑这种设备如何跟踪和存档用户访问企业资源，并且考虑这种信息是否足以满足你的公司内部/外部报告的需求。

　　寻找SSL VPN设备

　　据市场研究公司Synergy Research Group称，2006年全球SSL VPN年销售收入达到了2.50亿美元。这个市场领先的厂商是Juniper、Citrix、F5、Aventail、北电网络、Whale和 Array。在经历了快速增长和收购活动的市场中，跟上厂商和产品名称的变化以及新进入这个市场的厂商是很困难的。那些希望现在购买SSL VPN设备的人至少应该考虑下列竞争的产品：

　　Array Networks SPX Series

　　Aventail EX Series

　　Caymas Systems ID-Driven网关

　　Check Point Connectra

　　思科ASA 5500系列产品

　　Citrix Systems接入网关

　　F5 Networks FirePass

　　Juniper Networks Secure Access

　　诺基亚SSL VPN

　　北电网络VPN网关

　　Blue Coat RA

　　SonicWALL SSL VPN