SSL VPN是解決遠(yuǎn)程用戶訪問敏感公司數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。與復(fù)雜的IPSec VPN相比，SSL通過簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSL VPN， 這是因?yàn)镾SL 內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)IPSec VPN一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件。

企業(yè)網(wǎng)管煩惱：IPSec VPN帶來的問題

小王是某連鎖服裝公司的網(wǎng)管。公司總部位于廣州，在全國(guó)各大城市開設(shè)了100多家連鎖銷售店，每家店都擁有2~3臺(tái)計(jì)算機(jī)。2008年，為了實(shí)施信息化管理與經(jīng)營(yíng)的策略，企業(yè)部署了IPSec VPN將廣州總部與各個(gè)連鎖店的網(wǎng)絡(luò)連接起來，實(shí)現(xiàn)了物流、財(cái)務(wù)、產(chǎn)品等信息共享。今年，公司計(jì)劃新開100家連鎖店，但是高層領(lǐng)導(dǎo)授意小王，根據(jù)企業(yè)財(cái)務(wù)方面的現(xiàn)狀，采購(gòu)VPN設(shè)備的預(yù)算必須得到控制。不僅如此，小王如果依然采用IPSec VPN的方案，就會(huì)出現(xiàn)以下三個(gè)問題：

1.成本大增。若采用IPSec VPN，每一個(gè)連鎖店都需要安裝一臺(tái)VPN硬件設(shè)備，這就就意味著多增加100多臺(tái)VPN設(shè)備，因此成本將大大增加，不能達(dá)到公司領(lǐng)導(dǎo)的預(yù)算要求。

2.管理與維護(hù)復(fù)雜。對(duì)于新加入的外點(diǎn)遠(yuǎn)程用戶，IPSec VPN的配置非常復(fù)雜，一個(gè)客戶端的參數(shù)配置可達(dá)20多個(gè)步驟，花上近十分鐘的時(shí)間。同時(shí)，加上采購(gòu)合作伙伴、高管等移動(dòng)VPN使用需求，將大大增加網(wǎng)管的工作量。因此，IPSec VPN非常適合固定機(jī)構(gòu)的聯(lián)網(wǎng)，而需要靈活行動(dòng)的用戶則不適用。

3.信息的安全性無法保障。雖然IPSec VPN的整體安全性相當(dāng)高，但是，它無法劃分內(nèi)網(wǎng)使用者的訪問權(quán)限。就是說，一旦與總部聯(lián)機(jī)成功，任何一個(gè)用戶都能夠訪問整個(gè)企業(yè)網(wǎng)絡(luò)。如果這個(gè)用戶碰巧是一個(gè)不懷好意的的員工或商業(yè)間諜，這種情況是很危險(xiǎn)的。

以上的三個(gè)方面，是當(dāng)前IPSec VPN企業(yè)用戶遇到的普遍問題。

企業(yè)部署SSL VPN的必要性

雖然IPSec VPN具有一定的不足，但不可否認(rèn)的是，它的商業(yè)化應(yīng)用進(jìn)程較早，在連接固定的、不需要變動(dòng)的分支機(jī)構(gòu)網(wǎng)絡(luò)上依然具有一定的優(yōu)勢(shì)。因此，IPSec VPN在短時(shí)間內(nèi)還不會(huì)被完全取代。那么，一個(gè)企業(yè)在對(duì)待IPSec VPN和SSL VPN兩個(gè)方案時(shí)，到底該如何選擇呢？

根據(jù)多年的企業(yè)VPN網(wǎng)絡(luò)服務(wù)經(jīng)驗(yàn)，俠諾科技建議，企業(yè)網(wǎng)管可以按照以下四個(gè)步驟去選擇合適的VPN方案。

俠諾VPN方案選擇機(jī)制

與IPSec VPN的不足之處相對(duì)的是，企業(yè)部署SSL VPN具有以下三個(gè)必要性：

1、節(jié)省成本。由于SSL VPN不需要額外的硬件設(shè)備，可大大節(jié)省成本。

2、配置管理簡(jiǎn)便，方便移動(dòng)應(yīng)用。合作伙伴、客戶、供給商及移動(dòng)員工可以隨時(shí)隨地的進(jìn)行遠(yuǎn)程訪問。

3、精細(xì)的權(quán)限控制，可以提高信息安全性。SSL VPN對(duì)應(yīng)用程序、有選擇的地址、嵌入的對(duì)象和資料的訪問權(quán)等，都可以劃分出不同的訪問權(quán)限，意味著可對(duì)員工、高管、合作伙伴等設(shè)置不同的層級(jí)，保證企業(yè)資料的安全性。

即使IPSec VPN與SSL VPN有各自的優(yōu)勢(shì)，但對(duì)于企業(yè)網(wǎng)管來說，理想的方式是將SSL VPN和IPSec VPN結(jié)合起來使用。一方面為一部分員工提供IPSec VPN連接，使其能夠訪問企業(yè)的生產(chǎn)系統(tǒng)和其他非Web應(yīng)用；另一方面為多數(shù)員工提供SSL VPN連接，使其可以訪問基于Web的企業(yè)應(yīng)用。這樣，于網(wǎng)管來說可以減少工作量，于企業(yè)來說大大提升了工作的效率。

俠諾“雙核”SSL VPN方案

俠諾雙核SSL VPN路由器，采用了MIPS雙核CPU，相對(duì)于目前常用的Intel IXP單核處理器，其VPN數(shù)據(jù)包轉(zhuǎn)發(fā)速度更快，網(wǎng)絡(luò)更加通暢。

圖一：俠諾雙核SSL VPN效能提升示意圖

俠諾SSL VPN服務(wù)，提供網(wǎng)絡(luò)服務(wù)、Office等微軟應(yīng)用程序、VNC、RDP等遠(yuǎn)程桌面服務(wù)、在線網(wǎng)絡(luò)鄰居、VPN安全隧道等五大類的服務(wù)項(xiàng)目，應(yīng)用服務(wù)細(xì)項(xiàng)可根據(jù)企業(yè)需求自主調(diào)整，進(jìn)行增加或減少，如ERP、電子簽證、訂單系統(tǒng)、CRM等應(yīng)用服務(wù)企業(yè)都可自己設(shè)置開放給遠(yuǎn)程的員工。

圖二：俠諾SSL VPN提供的應(yīng)用與服務(wù)功能

伴隨中小企業(yè)信息化程度的加深，企業(yè)和分支、企業(yè)和外點(diǎn)員工之間的聯(lián)系將不隨地域分隔而分開，從信息流的傳輸、交融角度來看，它們之間更像一個(gè)整體，遠(yuǎn)程安全訪問、協(xié)同工作的需求會(huì)日益明顯，這給SSL VPN帶來了用武之地。

SSL VPN 還對(duì)那些因?yàn)槭褂眠h(yuǎn)程訪問應(yīng)用系統(tǒng)而降低公司安全性的企業(yè)有所幫助。我們會(huì)在今后繼續(xù)深入討論的

【編輯推薦】

1. VLAN-VPN典型配置
2. SSL VPN的好處與不同類型
3. IPsec和SSL VPNs基礎(chǔ)知識(shí)理解