企业决策：如何简单三步选择SSL VPN

人们对安全套接层（SSL）虚拟专用网（VPN）的兴趣又回来了。一家研究公司称，现在是应该认真研究你的应用计划以搞清楚什么产品适合你的需求的时候了。

2005年上半年是早期应用SSL VPN的狂热期，但是，这种狂热逐渐衰竭进入了六个月的暂停期。市场研究公司Forrester Research预测称，到2005年年底，50%的大型企业已经在积极地使用或者正在考虑部署SSL VPN.

到目前为止，有更多的公司在跟随着早期应用者的脚步正在考虑或者部署这项技术。这意味着人们再次恢复了对SSL VPN的兴趣。这种兴趣的增长促使位于马萨诸塞州剑桥的Forrester Research研究公司找出了企业在选择一种SSL VPN或者一个具体的厂商之前应该能够自己解答的三个主要问题。

Forrester分析师Robert Whiteley在最近发表的一篇题为《如何以三个简单的步骤选择一种SSL VPN》的文章中简要介绍了根据企业的具体需求和应用部署，哪一类SSL VPN适用于哪些企业，以及什么厂商生产的产品最适合这些需求。

SSL VPN实际上是一种不需要企业在远程设备上安装VPN客户端软件的VPN.远程用户能够通过浏览器从任何笔记本电脑或者台式电脑实现安全连接。

Whiteley说，SSL VPN适配器有两个不同的特点：一个是以用户为重点，另一个是以应用程序为重点。企业在部署SSL VPN之前必须要确定这两个特点哪一个是排在第一位的和最重要的。

基于用户的方式能够向远程用户提供透明的和完全的网络接入功能，就像在局域网中一样。这种应用的VPN一般在一个设备的终端既有IPsec又有SSL VPN，并且还采用强大的端点安全和网络接入控制技术。以用户为重点的领域的厂商通常把SSL VPN作为在路由器、以太网交换机或者多功能一体安全设备等其它网络设备中的一种可以选择的功能提供给用户。

Whiteley称，以用户为重点的产品有思科的VPN 3000系列集中器、Juniper网络公司的安全接入设备、北电网络的VPN路由器和AP网络公司的产品。

使用基于应用程序的方法，企业要把重点放在需要重点使用的应用程序方面。Whiteley说，以应用程序为重点的SSL VPN更强调后端应用程序集成并且在没有客户端软件的模式下（如通过浏览器）提供更好的访问功能。

基于SSL VPN的应用程序集成了端点安全，但是，重点主要放在政策管理方面。这种应用程序拥有比基于用户的SSL VPN更直观的用户界面和更强大的管理功能。基于应用程序的SSL VPN市场的厂商和产品有Avenal公司的EX系列产品、Citrix系统公司的接入网关、F5网络公司FirePass、Whale通信公司的智能应用网关和Permeo公司。

Whiteley说，虽然这些产品的差别很小，但是，企业应该首先提出这个问题以便确定部署SSL VPN的基本方向。如果这个局域网或者广域网用户将决定采购方向，那么，就从以用户为重点的设备开始。如果是应用部门、远程接入专家或者企业移动计划决定这个项目，那就从以应用程序为重点的设备开始。

一旦回答了SSL VPN的部署应该以用户为重点还是以应用程序为重点的问题之后，企业现在还要回答如何部署端点安全机制的问题。他们需要集成的端点安全还是嵌入式的端点安全？

Forrester把端点安全分为三个主要部分：

。基本主机检查功能：这项功能扫描端点设备，确认杀毒软件、个人防火墙和操作系统补丁等软件都已经安装并且是最新的。

。缓存清除器：用于清除浏览器缓存下载的文件和cookie.

。会话加密：会话加密一般使用Java建立一个虚拟“sandbox”，这样，VPN会话过程中的所有活动都将被隔离和加密，然后在用户登出时删除。

据Whiteley说，大多数SSL VPN都包括一个进行预先认证的基本的主机检查。但是，对于高级的缓存清除和加密的“sandbox”等更复杂的安全功能来说，企业需要集成第三方厂商提供的工具软件，如Sygate、CheckPoint软件公司或者Trust Digital等公司的产品。集成的端点安全提供了广泛的安全选择，但是，这需要手工设置，并且容易出现策略设置错误。而这些错误将耗费更多的人力和成本。

Whiteley预测，大约70%的企业在他们的SSL VPN网络中采用集成的端点安全。

另一方面，嵌入式端点安全是建在设备中的。嵌入式工具通常有优化的政策设置，能够让用户从一个管理操作台实施全面的访问控制。然而，这个选择的缺点是，企业如果选择一种嵌入式产品就将被锁定一家厂商提供的产品，并且必须要依靠那个厂商提供及时的安全升级。如果一家企业已经拥有思科、McAfee和赛门铁克等厂商提供的NAC（网络准入控制）设备，采用嵌入式解决方案就是一种重复的努力。

Whiteley在文章中写道，企业最后需要决定它是喜欢最高级的安全并且愿意为此支付较多的资金，还是认为实用和简单性更重要。集成的方法和嵌入式的方法能够分别解决这两个优先次序的问题。

最后，由于SSL VPN的重点和端点安全的类型已经确定了，企业必须回答的最后一个问题就是：有多少雇员需要安全的远程访问？

Forrester把较低的应用数量分类为2000或者更少的用户。Whiteley警告说，虽然广告宣传说SSL VPN支持更多数量的用户，但是，这些设备不应该达到它们的极限。Forrester建议说，作为一个规则，企业应该设想其10%的雇员需要并发访问功能。少量的应用还应该考虑人员的增加因素，以支持未来用户的增长。

然而，大量用户的应用能够用一台设备同时处理2000或者更多用户的应用。SSL VPN的大容量应用通常是大型应用加速设备中的功能，如F5网络公司的BIG-IP设备。这种设备运行FirePass SSL VPN.

Whiteley表示，主流用户一般没有大量的远程接入用户。