扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:炎焱(《每周电脑报》) 2005年11月14日
关键字: IPsec VPN SSL VPN VPN keypath_/techupdate/feature/intranet_internet/sslvpn_office/right_rel_sslvpn.htm
一项调查中结果显示:42% 的用户表示,在2009年之前还没有完全过渡到VPN网络的计划,相比有52%的用户已经明确表示2009年之前会使用VPN来代替原有网络,其他7%的用户表示没有计划下一步的行动。另外在用户过渡到VPN 网络过程中,部分用户会首先选择混合组网方式,即用VPN 代替部分的专线网络。这种方式既节省了用户的通信费用,又保护了运营商原有的投资,是过渡时期一个不错的选择。
由于应用趋向网络化发展,基于加密套接字协议层(SSL)作为一种新的方式出现在VPN 领域,进而成为远程访问技术发展的新趋势。SSL VPN能提供更方便的远程访问企业核心应用和网络资源的能力,也更加容易配置和管理,由于不需要客户端软件,网络配置成本比目前主流的IPSec VPN要低很多,所以许多企业已经开始利用基于SSL 加密协议的远程访问技术来实现VPN 通信了。但是总体来看,SSL VPN还没有达到厂商们期望的大规模应用,不过SSL VPN的前景被很多专家看好。
SSL 远程访问优势明显
长久以来,企业一般都是通过部署IPSec VPN 来为移动用户和商业合作伙伴提供访问其后台服务和资源的远程接入通道。现在对于站点到站点(Site-to-Site)的通讯,IPSec VPN恐怕仍是惟一的解决方案。但在客户到企业(Client-to-Enterprise)的连接这方面, IPSec VPN却面临着迅速失宠的尴尬局面,原因之一就在于随着客户端用户人数的增长,为他们安装IPSec VPN客户端和提供技术支持的工作已经让众多网络管理员不堪重负。另外, IPSec隧道也为攻击者留下了打通企业防火墙并直接威胁中心网络的通道。
考虑到IPSec VPN 存在这些基本的问题,也就不难解释为什么现在SSL VPN越来越受到IT管理员们的关注。SSL VPN 不需要安装其他的客户端软件,只要有支持SSL的浏览器就行,自然也就不需要对客户端进行什么维护和支持了。这不但节省了IT人员大量的时间和精力,同时也意味着远程用户在进行远程访问时不会再受到地域的限制,不论是在公共网吧或是在商业合作伙伴那里,甚至是随手借一台笔记本,只要有网络,远程访问就没问题。
SSL VPN 是基于应用层的 VPN,这就意味着在安全性上已经不仅局限在可以让数据安全传输,而且还能关注传输过来的数据包括什么内容。对于企业而言,采用SSL VPN 不仅可以让外地员工对Web 化的企业应用进行访问,而且可以知道访问应用的数据连接究竟是由哪个员工发起、他或者她究竟有哪些权限来进行操作。
业界分析师大都看好SSL VPN 技术,据Frost&Sullivan 市场研究公司预估,SSLVPN 技术的市场规模在不断扩大,到2006 年市场销售额会突破5 亿美元。
Gartner 的报告称:那些希望使用更加简单更加灵活的方式部署他们的安全远程访问系统的企业应该考虑使用SSL VPN 。这项基于SSL的技术简单、易用而且不需要高额费用,和IPSec VPN相比,建立在SSL 上的VPN更容易部署和支持。
更重要的是,SSL VPN的实现不需要任何连入企业的开放隧道,SSL VPN会对每个连接执行相应的安全策略,并能依据不同的用户身份、地域和设备为其分配访问相应资源的权限,如果再配上良好的安全控制策略,那么在管理员没有明确许可的情况下所有资源都将受到保护并被禁止访问。
迁移不是抛弃
就算对那些已经在IPSec VPN上投入大量资金的企业来说,向SSL VPN上迁移也是有充分理由的,因为对于IPSec VPN来说,在每个客户身上所花的技术支持费用要远远超过 SSL VPN,而在这方面节省的资金就足够抵消用于购买新设备的开支了。由于SSL VPN所有的东西都集中在一起,长远来看管理起来更加容易。而且 SSL VPN基于客户的浏览器,一旦有策略方面的变动时,客户的下一次连接就能自动适应相应的变动。
在安全性上SSL VPN也要胜过IPSec。所有SSL VPN的连接,甚至包括类似IPSec风格的第三层隧道,都要受到相应的访问控制策略的限制,这样管理员就可以限制对某些特定资源的访问,而不像IPSec那样,一旦用户连入后整个网络都暴露在他面前。随着市场的逐步成熟,我们有越来越多的理由期待SSL VPN成为企业的首选 VPN设备。
公平地讲,企业没有必要现在就立即抛弃所有IPSec VPN 设备而以SSL VPN全部替换之,不过现在开始部署SSL VPN并把用户朝这方面迁移还是很有意义的。IPSec VPN 和 SSL VPN完全可以共存并在功能上互补,这样从一个平台迁移到另一个平台的过程就可以更平稳一些。
虽然SSL VPN有诸般好处,但SSL VPN并不能取代 IPSec VPN。因为,这两种技术目前应用在不同的领域。SSL VPN 考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSec VPN是在两个网站之间通过专线或互联网安全连接以及两台服务器之间的安全连接,保护的是点对点之间的通信,并且,它不局限于Web应用。而且IPSec VPN的厂商也开始研究怎样让IPSec VPN兼容SSL VPN,增强易用性。如果真能做到这点,IPSec VPN的扩展性将大大加强,市场生命力也将更长久。
SSL 市场没有领先者
在国外,SSL VPN已经有了两年的发展历史,从几十人的事务所,到几万人的大型企业,都能看到SSL VPN的身影。而在国内,SSL VPN市场也在不知不觉地启动,而且抢先的厂商已经发现,这是一个如此具有潜力又没有太多竞争对手的企业级市场。
据预测显示,今年SSL VPN的市场总额将达到3.64 亿美元;2006年将达到5.7亿美元,增长57%;而到2008年,将达到10.06亿美元。目前已经有4 亿人在用SSL VPN产品,以政府行业为例,仅网上报税和在线支付两项业务的需求就在急剧增长,而且如此大容量应用需要SSL VPN技术所提供的超大容量。
为什么SSL VPN会迅速走红?关键还是用户的需求在过去的几年中产生了变化,易用性、多功能性以及可移动性是当前网络安全产品的最大热点。 SSL VPN以其不需安装客户端的最明显特点,在移动办公领域具有易用、易于管理的显著优势;同时,VPN作为网关产品,用户也希望该网关不仅仅具备单一的VPN功能,而是能把防火墙、网关杀毒、垃圾邮件过滤等实用功能集成于一体;此外,网关数量较多的VPN网络,更是对整网的可管理性提出了进一步的要求。
SSL技术也受到了许多 CIO们的喜爱,因为它不需要安装,没有客户软件,不用升级,而且最重要的是流量被加密,用户可以被确认,且只能允许进入一定的资源区域内。
事实上,在经过了基础网络的建设后,大型企业的IT应用已转向了增值应用。SSL VPN 除了无客户端、有很高的安全性以外,最重要的是它可以充分发掘企业应用的潜能。很多企业里面已经建成了OA 系统、ERP系统,接下来,就希望能够充分利用这些系统。通过SSL VPN,无论是员工、合作伙伴还是客户,都能够访问所需的应用。利用Internet 让企业现有应用发挥更大的作用,这才是SSL VPN的价值所在。
在当前的VPN领域,尤其是在SSL VPN领域,尽管相当 “热闹”,但整体市场还是处于 “混沌”的状态,没有哪个厂商具有绝对优势、谁都有可能崛起、也可能掉队。而随着VPN市场的持续增长,未来必定会形成相对稳定的市场格局。因此,无论是国内厂商还是国外厂商,都开始了新一轮的搏击。
众多新崛起的国内厂商则把目光投向了客户数量更多的中小企业市场。按照他们的说法,主要原因在于2005年中小规模网络用户对安全的需求明显增强。以前这类用户对网络安全还仅停留在查杀病毒上,而现在却开始关注防火墙和 VPN等设备。
混合应用突破传统
目前的SSL VPN设备市场,良莠不齐是一个不能逃避的现象,有的产品只有非常简单的功能,根本不能称之为SSL VPN;但也有的设备拥有专业的设计和丰富完整的功能。随着市场的演变,储备了雄厚技术和资本的公司将成为最后的赢家。
目前的市场趋势是将SSL VPN和IPSec VPN结合起来,为用户提供全面的VPN 保护。 SSL VPN 的优势在于Web,而企业往往拥有多种应用, 如 OA、财务、销售管理、ERP等,这些应用往往并不基于We b。在现阶段,SSL VPN只能访问 Web应用,而IPSec VPN却几乎可以为所有的应用提供访问,不过,IPSec不容易穿越防火墙,当员工需要在异地接入企业网时就难以实现。所以,用混合组网方式一方面为数量有限的员工提供IPSec VPN连接,使其能够访问企业的生产系统和其他非Web 应用;另一方面为多数员工提供SSL VPN连接,使其可以访问基于Web的企业应用。
由于IPSec VPN和SSL VPN自身的特点限制,目前为止谁都无法取代对方的位置,因此如果能有一种设备能够集合两者的功能,发挥各自的优势,则为客户提供了一种完美的解决方案。比如市场上就有一种集合IPSec VPN和SSL VPN功能的网关设备。在不同的应用环境下,用户能够自由切换使用不同的VPN技术,例如:在普通情况下,用户选择传输时延更低的IPSec VPN;但在企业内网或者有防火墙的情况下, 用户可以自由切换到 SSL VPN 状态下。此款设备支持的IPSec VPN还无需安装客户端软件,因此有效解决了管理维护成本高的问题;另外还拥有对远程客户端进行安全检测的功能,只有符合一定安全级别的客户端才能够允许接入VPN 网络,这一措施减少了VPN网络被攻击的可能性。
SMB 市场期待红火
SSL VPN 在最终用户层面的症结总结起来就是“观念问题”。据统计,国内有40%、50%的企业仍然把VPN概念停留在一种“安全连接”上,具体怎样安全连接,能给他们带来什么样好处,却知之甚少。而且,国内绝大多数企业没有网络型的OA、ERP等应用软件,缺乏一种协同办公、远程网络办公的环境和习惯,这限制了SSL VPN在国内发展。
尽管市场上还存在着这样那样的瓶颈,但是SSL VPN仍然得到了一些行业用户群的欢迎。对于国内市场,SSL VPN的市场份额还要相对小一些,但在一些规模较大、基础信息化建设比较完善,并且对于远程访问移动性和安全性要求较高的行业中,如电信、电力、石油、物流、银行等,SSL VPN的发展势头迅猛。
从中小企业的应用来看,IPSec VPN 产品还是占据大多数。因为中小企业中很少有移动办公人员需要通过SSL VPN 隧道访问公司内部资源的需求,即使有,这种公司大多数局限在某些非常特定的行业。而且,众多的小企业在网络安全方面的应用相当少,偶有网络运营商会为客户提供VPN服务,但那种情况仅局限在网络到网络之间,因此,应用IPSec VPN 的企业还只是把安全概念停留在企业内部,对于SSL VPN所宣传的企业在外人员能够安全便捷地访问企业内部资源,还没有足够的认识。
另外限制SSL在SMB市场走红的另一个原因在于价格。一般情况下,SSL VPN网关价格远远超出单独的IPSec VPN设备,而且当前很多防火墙已经把 IPSec VPN作为一个默认功能安装进去,无需再购买专门的IPSec VPN终结设备。同样,由于IPSec VPN已经发展很长时间,大多数主流操作系统已经集成了 IPSec VPN的终端软件,而SSL VPN则没有这种情况。这样,SSL VPN的高价限制了它应用的普及性。
无疑,远程安全访问是未来业务趋势,尤其是笔记本销售在逐年增长情况下,这种移动的计算通信工具迫切需要专门为其量身定做的远程安全访问方案,在这种环境中,无疑给了SSL VPN最肥沃的土壤。但是在那之前, SSL VPN设备市场会先进入一轮淘汰赛。
伴随中小企业信息化程度的加深,企业和分支、企业和外地员工之间联系将不随地域分隔而分开,从信息流的传输、交融角度来看,它们之间更像一个整体,远程安全访问、协同工作的需求会日益明显,这给SSL VPN带来了用武之地。
(责任编辑:陈毅东)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者