SSLvpn真正意义.docxVIP

近年来， HYPERLINK /product.aspx?id=1 \t _blank SSL VPN作为一种新型的VPN技术，以其高细粒度的访问控制、简单易用的使用风格受到越来越多远程访问用户的青睐，在网络中得到越来越多的应用。但是目前业界对什么是SSL VPN，SSL VPN核心的功能有哪些尚存在不少争议。如果不能将SSL VPN的本质搞清楚，往往导致用户在购买SSL VPN产品时拣了芝麻、丢了西瓜，被花哨的小特性所吸引，而忽略了SSL VPN真正的价值所在。本文以下部分将从技术实现和技术发展趋势的角度来阐明 HYPERLINK /product.aspx?id=1 \t _blank SSL VPN的真实价值，希望读者能从中对SSL VPN的本质有所了解。 首先需要澄清两个关于 HYPERLINK /product.aspx?id=1 \t _blank SSL VPN的误解： (1)“点对点接入”与“远程接入” VPN的使用方式有两种：一种是点对点(Site-to-Site)，即两个大型的局域网络通过VPN实现远程互连；另一种是远程访问(Remote-Access)，即远程主机通过VPN连入企业的内部网络，访问内部网络资源。从组网功能上看，实现点对点互连的VPN网关其实是一个网络互连设备；而实现远程接入的VPN网关其实际作用相当于一台远程接入服务器。 目前具有加密功能的VPN有两种：IPSsec VPN与SSL VPN。由于历史原因，IPSsec VPN先发展起来，目前的IPSsec VPN产品大都支持点对点和远程访问两种接入方式。SSL VPN产品是后发展起来的，主要应用在远程接入方面，但有的产品也宣称支持点对点的接入方式，我们认为这是不恰当的。 通过对两种VPN技术的分析，我们知道： HYPERLINK /Product.aspx?id=1maxseries=1 \t _blank IPSsec协议是工作在IP层的加密协议，且实现起来比较简单，所以IPSsec VPN网关相对来说性能高，运行起来简单可靠。但是由于工作在IP层，用作远程接入的IPSsec VPN客户端实现较困难，配置和维护工作较复杂，给终端用户的使用带来不便。因而 HYPERLINK /Product.aspx?id=1maxseries=1 \t _blank IPSsec VPN适合作为“点对点”接入方式的网关，不太适合作为“远程访问”的网关。 而SSL协议，握手过程较复杂，且工作在TCP层，传输性能相对来说不高；高性能的SSL VPN网关其价格往往比同规格的IPSsec VPN网关高很多。所以相对而言，SSL VPN不适合“点对点”的接入，但是SSL VPN在用户使用方面比较简单，在对网络应用的控制方面也较强，因而SSL VPN比较适合“远程访问”的接入方式。 综上所述，无论IPSsec VPN还是SSL VPN作为独立的VPN产品都不能很好地同时满足两种接入方式的需要，因而较理想的VPN产品应该同时提供IPSsec VPN和SSL VPN两种功能。由于IPSsec协议和SSL协议都涉及到大量的加密计算，因而高性能的VPN产品应该对这两种协议同时提供硬件加速功能。 (2)免客户端 有的产品在介绍SSL VPN时，宣称免客户端。这其实是不确切的。SSL VPN最吸引人的地方就是Web接入方式，即只使用Web浏览器就可以访问SSL VPN了，此时不需要使用额外的客户端软件。在这种情况下，才能称为免客户端。当然严格说来，Web浏览器本身就是一种客户端软件，是Web服务器的客户端，只是这种客户端软件被目前所有的操作系统所免费提供，不计入SSL VPN的成本而已。 在实际使用中，为了支持Web以外的网络应用，SSL VPN也需要通过网页中的控件下载客户端程序，该程序将作为运行在远程主机上的VPN客户端软件，实现与内部网络的互连。在这种情况下，SSL VPN也是有客户端的，只不过SSL VPN的客户端不用预先安装，也不用做任何配置，可以自动下载，自动运行，在用户退出系统时，自动删除。 所以目前的 HYPERLINK /product.aspx?id=1 \t _blank SSL VPN可以称为客户端免安装、免维护。 SSL VPN兴起的一个重要原因就是它顺应了当前网络应用Web化的进程。随着网络和软件技术的进步，网络应用逐渐由“Everything over IP”转变为“Everything over Web”，有专家预计未来基于Web的应用将占整个网络应用的60%~70%。面对这一发展趋势，IPsec协议由于自身的局限性难以有所作为，而SSL VPN却大放异彩： 首先，任何浏览器都支持SSL协议，但没有哪个网络应用能直接使用IPSsec。这样使得S