SSL——为新VPN铺路

VPN舞台上安全套接层（SSL）的出现，使得基于IP安全的VPN厂商不得不重新思考它们的产品方略。

为新VPN铺路
基于IP安全协议的VPN已经占领了很大一部分市场，但另外一种选择，即使用安全套接层的VPN也正开始稳步地抢占着地盘。

熟悉网络安全的少数人会认为，SSL可能会完全替代IPSec协议。但SSL的支持者们却不这么认为，他们认为，当企业工作人员需要远程访问Web应用如电子邮件或者接入企业内网的时候，SSL不过是一种更低廉而且更容易部署的选择而已。现在，传统的IPSec VPN厂商为了满足这方面的需求，正在匆忙地为其产品增加SSL性能。

基于浏览器的SSL VPN产品与IPSec VPN不同，它不要求企业在其远程设备上安装VPN客户端软件。有权接入企业网的用户可以通过任意一台带有浏览器的笔记本或者台式机安全接入企业网。这是因为SSL防火墙通常都是打开的，所以防火墙就不需要重新配置才能提供接入。

而用IPSec VPN，每个远程设备都必须运行客户端软件，该软件还必须按需要进行更新。同样，防火墙和IPSec设备必须进行协同配置才允许接入企业网。

市场中的SSL
市场研究专家们预计，在今后几年中，SSL VPN设备的全球销售将会出现增长。Infonetics研究公司预测，这一市场将会从2002年的5600万美元增长到2005年的8.4亿美元。不过，该公司也认为，IPSec产品将继续占据VPN市场的最大份额。Infonetics预计，IPSec VPN和防火墙的销售会从2002年的15亿美元增长到2005年的25亿美元。

Infonetics的执行经理Jeff Wilson说，“SSL将主要面向所有并不需要访问很多应用的远程工作人员。它为他们提供了一种简单接入方式，来使用比如企业电子邮箱，查询保险金或者工资单等信息。只有那些需要使用很多应用，而且并非所有应用都基于Web的用户才需要IPSec客户端。”

但是随着基于Web的应用越来越多，以及远程接入需求的增长，SSL就成了一个市场热门，成了传统IPSec VPN厂商需要考虑的一个发展方向。

Check Point曾于去年7月发布过一款SSL“无客户端”VPN产品，它认为SSL对于需要通过Extranet与业务合作伙伴交换数据但又不想安装VPN客户端的企业来说非常理想。其他IPSec VPN厂商像北电网络和SonicWall都同意此观点。北电网络于去年9月发布了Alteon SSL设备；SonicWall则在两年以前收购Phobos的时候就开始提供SSL产品了。NetScreen也说，它正在与一些可能的合作伙伴共同评估提供SSL产品的问题。

其他IPSec VPN支持者，如赛门铁克，正在估量如何将SSL集成进它的产品线。当然，在这些厂商中间也不是没有阻力，他们或多或少地已将SSL视为一种竞争的技术。但由于对无客户端VPN连接的需求在逐渐增长，理性在支配着他们必须将SSL产品纳入其产品线中。

另外一些已经意识到SSL VPN市场需求增长的小厂商还有Aspelle,Aventail,Neoteris和Whale通信公司等。

SSL蓄谋
有些企业客户甚至在想同时拥有SSL和IPSec VPN。Quad/Graphics，一家打印服务公司，就为部分数量有限的员工提供IPSec VPN（思科产品）连接，因为他们需要访问企业的生产系统和其他非Web应用。但同时，它也为大多数员工提供SSL VPN（使用Whale的e-Gap远程接入产品）的远程接入，可供其接入Intranet和电子邮箱。

在Quad/Graphics安装Whale的SSL产品之前，该企业的大多数员工没有其他的远程接入方式。Quad/Graphics的技术服务经理Damian Drewek说，“有1万名员工希望从家里或者旅途上接入企业网，但我们不可能安装1万套VPN客户端软件。我们知道，这要是维护起来简直是一场噩梦。”

Whale的SSL产品只需运行在该企业数据中心的一台服务器上。利用这种无客户端接入方式，该企业就能够提供安全的连接，而不需要改写上万台最终用户设备上的程序。

纽约的德勤咨询公司也在混合使用SSL和IPSec VPN。该公司的大多数员工都可以通过SSL VPN（Aventail产品）接入企业网络，少数员工则通过IPSec VPN（北电网络产品）接入，因为这些员工需要访问运行在该企业4个数据中心中的应用。

德勤的CIO Larry Quinlan就很喜欢SSL VPN，因为它具有可穿越防火墙而不必重新配置防火墙的性能。他说，“这很重要，因为安全部门不必着急去重新配置防火墙了。”

Quinlan认为，SSL的缺陷在于只能访问Web应用。但IPSec也有其缺陷，因为它不容易穿越防火墙，所以当移动工作人员需要在旅店或分支办公地点接入企业网时就难以实现。

SSL只能用于Web应用已经让一些用户有所退避。芝加哥的一家个人服务公司Divine就主要采用了NetScreen公司的IPSec VPN，因为它的很多远程工作人员都是咨询师，需要访问企业众多的应用程序，不可能只限定在Web应用上。

Divine的网络服务部经理Chuck Horvat说，他们还没有发现需要使用SSL VPN的理由。不过，该公司也有一个Web应用前端和内置的SSL加密。微软的Outlook就是这个前端。远程工作人员通过身份认证和口令可获得访问公司邮箱和目录的权限。

Horvat说，“对我们来说，拥有IPSec VPN管道是最好的，因为我们的人有很多应用需要访问。他们可以通过SSL获得电子邮件，但大多数人需要的应用都不是电子邮件。虽然有另外一种选择是很不错，但每个人的需求是非常不同的。”

未来的SSL
虽然有很多人都认为SSL将会取代IPSec VPN，但大多数工业观察家却认为这两种VPN将会共存，两者的市场空间都不小。

Infonetics的Wilson总结说：“两者将会共同创建一个更大的远程接入市场”。(责任编辑：liucl)