今年以来,SSL VPN市场出现了走出概念,进入应用市场,并呈突飞猛进的势头。有关SSL VPN产品及应用的报道很多,大多是正面推进SSL VPN的应用,但我们也看到了目前还存在着一些关于SSL VPN的误区,随便在网上搜索,就可以看到有待商榷的说法,比如:“SSL VPN和IPSec VPN各有优缺点,SSL VPN只能适用于Web应用”,“市场出现集IPSec VPN与SSL VPN于一体的设备,必将大大促进VPN的市场推广,这就引入了几个问题:1、究竟SSL VPN有哪些功能?是否只能解决Web应用?2、什么样的产品才是一个真正的SSL VPN产品?怎样区别市场上林林总总的SSL VPN产品?3、如何衡量SSL VPN产品的性能?为此,我们走访了有关专家,并整理了访谈资料,希望对读者客观认识SSL VPN有所帮助。
问:究竟SSL VPN有哪些功能?是否只能解决Web应用?
答:SSL VPN的出现是为了解决IPSec VPN的固有缺点,SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致、与应用无关的优点,避免了因客户端而导致的使用维护不便、某些网络条件下无法接通、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题。SSL VPN功能主要包括网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等功能。因此,SSL VPN可以提供C/S应用和B/S应用访问,并非只能解决Web应用。这其中最为重要的是网络访问功能,SSL VPN的网络访问功能避免了IPSec VPN的缺点而又继承了IPSec VPN的优点。
记者问:什么样的产品是一个真正的SSL VPN产品?怎样区别市场上林林总总的SSL VPN产品?
专家答:现在有很多厂商声称自己的产品是SSL VPN,或者说融合了IPSec VPN和SSL VPN的功能,实际上大部分的厂商只是实现了SSL VPN中的网上应用程序,也就是Web反向代理的功能。比如,某厂商介绍其产品是集IPSec VPN与SSL VPN于一体的设备,也只是在原有的IPSec VPN设备上增加了Web反向代理的功能,还不能称之为真正的SSL VPN产品。那么什么样的产品才是一个真正的SSL VPN产品?
前面提到,SSL VPN的功能包括网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等,其中网络访问是SSL VPN最为重要和标志性的功能,只有具备了网络访问这个看似是IPSec VPN而又从根本上解决了IPSec VPN缺陷的功能,才称得上是一款真正的SSL VPN产品。诚然,为了安全性考虑的终端安全检查和审计、与企业认证服务器的结合等功能也是一款优秀SSL VPN的必备功能。
www.vpnc.org中有通过该组织认证的SSL VPN厂商列表,在这儿可以查到SSL VPN厂商的相关产品,有助于用户了解真正的SSL VPN产品。
问:如何衡量SSL VPN产品的性能?
答:谈到SSL VPN产品的性能,首先要区分的是SSL Server和SSL VPN两者的概念,SSL Server相当于SSL VPN中的反向代理功能,二者的要求是不一样的。SSL Server面对的是业务系统,如电子商务网站、网上银行等等,它强调的是性能,目前国内可见的SSL Server产品性能可达20000TPS和400万同时在线用户数;而SSL VPN面向的是远程接入即管理系统,它强调的是易于使用和管理、安全性等等。一个SSL VPN用户的登录包括SSL握手、认证、授权、记录日志等过程,其中认证、授权、记录日志所耗费的时间远远高于SSL握手,不可能达到SSL Server那样高的性能,如果需要非常高的性能,要使用多台SSL VPN堆叠来实现。
Spirent Avalanche是一款优秀的基于Web应用的测试仪器, 比较适用于SSL Server的性能测试,对SSL VPN的性能测试不甚适用。举例来说,某厂商的设备集合了SSL Server 和SSL VPN的功能,在测试中SSL Server的指标显然会高于SSL VPN,不能凭此作出孰强孰弱的结论,更不能因此引起SSL Server和SSL VPN之间的混淆。利用Spirent Avalanche的测试结果证明自己的SSL VPN具有很高的性能,有失片面,因为测试的只是其中SSL Server的性能。
SSL VPN的性能测试,因为涉及建立VPN隧道,非常复杂,应该使用业界某些测试软件如LoadRunner 加上厂家自己的动态库来实现,在厂家自己的测试实验室来做。只用某种测试仪器来统一测试所有厂家的SSL VPN性能是值得探讨的问题,基于这种情况,目前更多的是要参考各个厂家自己提供的性能。相信有责任感的厂家提供的产品性能是可信的。
在SSL VPN应用中有争议、有探讨不是件坏事,“兼听则明,偏听则暗。”也许经过专家指点迷津,能帮助我们走出认识误区,并最终将实惠落实到用户身上。
|
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|||
| 名称:2006中国IT论坛精品集合 简介:本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛(网站)。制作本书的目的是为了集中大家的优势资源,将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。 |
|
|||
| · Java基础教程 · VPN技术 · ARP攻击防范与解决方案 · SQL Server 2005全解 · SOA 面向服务架构 · SQL Server 2005全解 · Java编程开发手册 · RAID——磁盘阵列基础 |
· 三层交换技术专题 · SQL Server入门到精通 · Windows Server 2003企.. · Windows远程桌面应用 · C#技术开发指南 · VPN技术 · Solaris 10 配置管理 · C#技术开发指南 |
||
|
|||
| · ARP攻击防范与解决方案 · VPN技术 · SQL Server 2005全解 · Java基础教程 · SQL Server入门到精通 · SQL Server 2005全解 · SOA 面向服务架构 · Java编程开发手册 |
· C#技术开发指南 · 三层交换技术专题 · C#技术开发指南 · Windows远程桌面应用 · RAID——磁盘阵列基础 · Windows Server 2003企.. · 邮件服务器专题 · wimax技术与趋势 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 51CTO.com编辑部.. 推荐阅读 |
|
| ·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看.. |
· · |
| 张振伦 的博客 |
|
| ·拯救系统管理员 ·美国选民:我为什么选布什 |
·VMware公司中文命名挑战赛 ·我们真缺乏创新吗? |
| 梁林 的博客 |
|
| ·J0ker的CISSP之路:复习-.. ·J0ker的CISSP之路:复习-I.. |
·9月第3周安全回顾 内网安.. ·教你几招识别和防御Web网.. |
| 组网建网 |
安全频道 |
| · NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入 |
· 教你使用Anti ARP Sniff.. · 网络嗅探教程:使用Snif.. · 常见病毒手工清除方法大.. |
| 编程频道 |
前沿技术 |
| · C++是垃圾语言?! · 2007年IT界七大抄袭事件 · Java实用开发全集 |
· 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · 热门 IT 培训认证官方资.. · Ubuntu 中文开源频道 · Solaris基础知识入门 |
· 费力不讨好 数据中心主.. · AMD Phenom三核处理器解.. · 51CTO主编推荐经典专题 |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· 存储2006,一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术 |
相关 
