抛弃IPSec VPN 选择SSL VPN的理由

在企业上网如火如荼地普及开后，下一波企业网络建设的投资热潮将是企业总分部之间的跨INTERNET联网。现在的企业家已经认识到网络给企业生产力提高带来的巨大收益，纷纷要上OA、ERP、CRM等应用系统，甚至跨互联网部署。企业联网方案由于VPN技术的成熟和几乎“无处不在”的已经部署好的广域网——INTERNET，让这个目标的实现变的非常容易。投资的设备和通信费用更是比传统的帧中继、DDN等联网方案低很多。甚至在DDNS、目录服务等技术支持下，联网的双方都可以使用动态公网IP进行VPN部署，而不必申请奇缺昂贵的静态公网IP。

现在实现VPN联网方案的主要技术是IPSEC VPN与SSL VPN，IPSEC VPN出现得较早，商用化程度较高，技术较成熟，安全性较优越。但缺憾是设备成本支出较多，分部和移动人员需要硬件IPSec VPN客户端设备和软件IPSec VPN客户端，设置工作较复杂，维护工作较多，需要专业网管支持。SSL VPN是一项近两年才发展起来新的虚拟专网技术，由于无须安装VPN客户端（不管是硬件客户端还是软件客户端）的便捷性和因此大幅降低的实施管理成本，在国内外得到了迅速的应用和发展。

同样是VPN远程联网，SSL VPN适合于在客户、合作伙伴用户、远程用户、供应商、本单位总分机构及移动员工之间建立VPN，而IPSec VPN更适用于网段间的链接。

随时随地接入

与IPSEC VPN相比，SSL VPN更加适用于单机接入总部网络的应用需求，如移动办公，而IPSEC VPN则适用于两个固定的局域网之间构建安全通道。SSL VPN使用标准的浏览器，无需安装客户端程序，即可通过SSL VPN隧道接入总部网络访问应用。SSL VPN打破了构建VPN通道要安装专用客户端的传统，倡导的是不需客户端的“随时随地移动接入”的新概念，甚至在公共上网场合（如网吧）都能够利用SSL VPN访问内网的应用资源这点是SSL VPN最具价值的特性。但是，SSL VPN并不局限于单机移动用户，也可用于分支单位的固定用户，之所以有上述叙述，是因为与IPSec VPN作比较，其实只要能上互联网，任何被授权用户都可以访问SSL VPN。现在的总分部VPN方案也越来越多采用SSL VPN实现，原因在于它对用户的应用支持范围越来越广，功能越来越接近于传统的IPSec VPN，而且SSL VPN不受上网方式限制，SSL VPN隧道可以穿透防火墙。

安全有保障

SSL VPN容易提供更细的访问控制，可以对用户、用户组的权限、资源、服务、文件进行更加细致的控制，并可以与第三方认证系统、认证中心（CA）结合。SSL VPN安全主要包括：数据通信安全、身份认证安全两个大层次。

在数据通信安全方面，SSL VPN采用标准的安全套接层（SSL）协议对传输中的数据包进行加密。SSL协议则是浏览器自带的，加密强度为128位，对一般商用来说、完全能够满足数据传输层的安全需求。

在身份认证安全方面，SSL VPN也已经走向完善。SSL VPN可以做到基于用户个体的精细控制，基于用户和组授予不同的应用访问权限，并对相关访问操作进行审计，保证只有“正确”的用户才能访问总部发布的“正确”的应用。现在大部分的SSL VPN产品一般会采用了多重身份认证手段来实现接入者的身份认证，设备的本身内置有认证服务器，而且还可与第三方的认证系统或认证中心集成。多重认证包括：用户名及密码校验；数字证书；第三方的PKI体系；CA中心；USB KEY的认证；动态密钥等等。这些认证方式可以有效的保障接入用户身份认证的安全。对于普通企业的VPN应用可以直接采用设备本身的认证，对于要求较高的企业用户可以加入企业内部的认证系统或第三方CA认证。

另外，对于内网安全， SSL VPN更优于IPSec VPN，因为IPSec VPN打开了从分支局域网到总部局域网之间的虚拟通路，它只认证两端设备的身份，不是认证每一个访问的人而对于里面传什么数据是没有有效保障的，因此有可能造成了病毒跨网传播，而一旦可上VPN的电脑被未授权的人控制，总部网络就会存在危险。SSL VPN保障到具体的应用，只有开放了具体应用，并且只有权限的用户才允许访问、并没有给接入的用户不受限地访问内网其它资源的权限，并且没有开放到局域网，因此对总部内网更安全。

因此，基于以上分析，SSL VPN完全能够满足远程用户的接入安全需求。

应用支持多

新的SSL VPN能够实现各种基于B/S，C/S结构设计的应用程序，能够实现所有IPSec VPN所支持的所有应用，因此对于用户各种网络应用的支持越来越好、越来越多，可以说已经今非昔比。

在以前，SSL VPN只支持WEB方式的应用，为用户开发的应用必须围绕着WEB来展开，但现在已经不仅局限于WEB方式。在这一点上，现在可能仍有网友认为“SSL VPN只支持WEB应用”，这是错误的。SSL VPN之所以不需要安装任何VPN客户端，就是因为用户端的电脑中只要有浏览器、就一定会有SSL协议。SSL VPN就是用到了系统已有的SSL协议来构建安全的通道，但并不等于SSL VPN只支持WEB应用。

SSL VPN除了支持WEB应用之外，还能支持基于TCP/UDP传输协议的应用（如C/S应用软件）、支持Windows网上邻居、FTP等。SSL VPN支持C/S结构的应用程序的原理是将非WEB的应用进行重定向、在用户端将所有数据转入SSL协议通道传输，在中心端进行恢复和还原。目前各路厂家们正在不断努力研发，以使自家SSL VPN产品对用户各类特殊应用的支持越来越透明。

成本维护低

SSL VPN只需维护中心节点的SSL VPN设备，客户端免维护，降低了部署和支持费用，相比较IPSec VPN，SSL VPN的设备和维护成本是最低的。对于IPSec VPN布网来说，它是局域网与局域网之间通过互联网构建虚拟连接，需要在总部、分部分别部署一台IPSEC VPN设备，而对单个移动用户需要安装专门的客户端，因此它的设备支出多出了分部的设备部分。而SSL VPN只需在单位总部部署一台SSL VPN设备就可以，其它远程用户不管它是移动在外的员工，还是分部的员工、合作伙伴用户要做访问总部，只需打开浏览器就可以了。