SSL VPN是解決遠程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術。與復雜的IPSec VPN相比，SSL通過簡單易用的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN， 這是因為SSL 內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件。

企業(yè)網(wǎng)管煩惱：IPSec VPN帶來的問題

小王是某連鎖服裝公司的網(wǎng)管。公司總部位于廣州，在全國各大城市開設了100多家連鎖銷售店，每家店都擁有2~3臺計算機。2008年，為了實施信息化管理與經(jīng)營的策略，企業(yè)部署了IPSec VPN將廣州總部與各個連鎖店的網(wǎng)絡連接起來，實現(xiàn)了物流、財務、產(chǎn)品等信息共享。今年，公司計劃新開100家連鎖店，但是高層領導授意小王，根據(jù)企業(yè)財務方面的現(xiàn)狀，采購VPN設備的預算必須得到控制。不僅如此，小王如果依然采用IPSec VPN的方案，就會出現(xiàn)以下三個問題：

1.成本大增。若采用IPSec VPN，每一個連鎖店都需要安裝一臺VPN硬件設備，這就就意味著多增加100多臺VPN設備，因此成本將大大增加，不能達到公司領導的預算要求。

2.管理與維護復雜。對于新加入的外點遠程用戶，IPSec VPN的配置非常復雜，一個客戶端的參數(shù)配置可達20多個步驟，花上近十分鐘的時間。同時，加上采購合作伙伴、高管等移動VPN使用需求，將大大增加網(wǎng)管的工作量。因此，IPSec VPN非常適合固定機構的聯(lián)網(wǎng)，而需要靈活行動的用戶則不適用。

3.信息的安全性無法保障。雖然IPSec VPN的整體安全性相當高，但是，它無法劃分內(nèi)網(wǎng)使用者的訪問權限。就是說，一旦與總部聯(lián)機成功，任何一個用戶都能夠訪問整個企業(yè)網(wǎng)絡。如果這個用戶碰巧是一個不懷好意的的員工或商業(yè)間諜，這種情況是很危險的。

以上的三個方面，是當前IPSec VPN企業(yè)用戶遇到的普遍問題。

企業(yè)部署SSL VPN的必要性

雖然IPSec VPN具有一定的不足，但不可否認的是，它的商業(yè)化應用進程較早，在連接固定的、不需要變動的分支機構網(wǎng)絡上依然具有一定的優(yōu)勢。因此，IPSec VPN在短時間內(nèi)還不會被完全取代。那么，一個企業(yè)在對待IPSec VPN和SSL VPN兩個方案時，到底該如何選擇呢？

根據(jù)多年的企業(yè)VPN網(wǎng)絡服務經(jīng)驗，俠諾科技建議，企業(yè)網(wǎng)管可以按照以下四個步驟去選擇合適的VPN方案。

俠諾VPN方案選擇機制

與IPSec VPN的不足之處相對的是，企業(yè)部署SSL VPN具有以下三個必要性：

1、節(jié)省成本。由于SSL VPN不需要額外的硬件設備，可大大節(jié)省成本。

2、配置管理簡便，方便移動應用。合作伙伴、客戶、供給商及移動員工可以隨時隨地的進行遠程訪問。

3、精細的權限控制，可以提高信息安全性。SSL VPN對應用程序、有選擇的地址、嵌入的對象和資料的訪問權等，都可以劃分出不同的訪問權限，意味著可對員工、高管、合作伙伴等設置不同的層級，保證企業(yè)資料的安全性。

即使IPSec VPN與SSL VPN有各自的優(yōu)勢，但對于企業(yè)網(wǎng)管來說，理想的方式是將SSL VPN和IPSec VPN結合起來使用。一方面為一部分員工提供IPSec VPN連接，使其能夠訪問企業(yè)的生產(chǎn)系統(tǒng)和其他非Web應用；另一方面為多數(shù)員工提供SSL VPN連接，使其可以訪問基于Web的企業(yè)應用。這樣，于網(wǎng)管來說可以減少工作量，于企業(yè)來說大大提升了工作的效率。

俠諾“雙核”SSL VPN方案

俠諾雙核SSL VPN路由器，采用了MIPS雙核CPU，相對于目前常用的Intel IXP單核處理器，其VPN數(shù)據(jù)包轉發(fā)速度更快，網(wǎng)絡更加通暢。

圖一：俠諾雙核SSL VPN效能提升示意圖

俠諾SSL VPN服務，提供網(wǎng)絡服務、Office等微軟應用程序、VNC、RDP等遠程桌面服務、在線網(wǎng)絡鄰居、VPN安全隧道等五大類的服務項目，應用服務細項可根據(jù)企業(yè)需求自主調(diào)整，進行增加或減少，如ERP、電子簽證、訂單系統(tǒng)、CRM等應用服務企業(yè)都可自己設置開放給遠程的員工。

圖二：俠諾SSL VPN提供的應用與服務功能

伴隨中小企業(yè)信息化程度的加深，企業(yè)和分支、企業(yè)和外點員工之間的聯(lián)系將不隨地域分隔而分開，從信息流的傳輸、交融角度來看，它們之間更像一個整體，遠程安全訪問、協(xié)同工作的需求會日益明顯，這給SSL VPN帶來了用武之地。

SSL VPN 還對那些因為使用遠程訪問應用系統(tǒng)而降低公司安全性的企業(yè)有所幫助。我們會在今后繼續(xù)深入討論的

【編輯推薦】

1. VLAN-VPN典型配置
2. SSL VPN的好處與不同類型
3. IPsec和SSL VPNs基礎知識理解