站点到站点的SSL VPN：只有当IPsec VPN不可用时

　　通过SSL VPN，用户可以从任何远程设备的Web浏览器上访问公司资源，从而不需要IT部门安装VPN客户软件。有些VPN供应商正在尝试通过使用简单的站点到站点SSL VPN连接来替代常用的IPsec通道，以扩展SSL VPN技术的用例。这个替换不可能替换所有企业WAN的IPsec通道，但是在某些特定的应用程序上，SSL VPN可能是创建安全的站点到站点连接的唯一选择。

　　SSL VPN提供了一个创建VPN连接的简单方法

　　无处不在的 Secure Sockets Layer协议使站点到站点的SSL VPN大受欢迎。SSL VPN连接采用与所有安全网站相同的协议和加密方法进行传输。很多企业会在防火墙上开启端口443，Web流量的加密端口80——来保证网上交易的安全，如在线银行和在线零售。SSL VPN会利用这些开放端口，实现任意位置的远程访问和支持站点到站点VPN。相反，有些ISP、公司防火墙甚至外国政府会阻挡端口50、51和5000，限制访问，而这些端口是IPsec通道常用的。

　　根据Astaro的资深技术工程师Bill Prout的看法，创建和配置一个SSL VPN比有相同作用的IPsec更简单。例如，在Astaro的Security Gateway中，管理员可以创建一个配置文件，将它上传到远程网关，从而建立SSL VPN连接。这种简单性特别受到小型企业的青睐，因为他们可能缺少在网站之间调整防火墙策略和建立IPsec通道的IT部门。

　　SSL VPN供应商锁定和站点到站点连接的性能问题

　　然而，使用SSL实现站点到站点VPN连接存在大量的缺陷。与IPSec不同的是，站点到站点的SSL VPN连接没有行业标准，同时供应商产品之间不存在互操作性。虽然Astaro的SSL VPN产品以开源 OpenVPN 产品为基础，但是Prout承认管理员可能很难将Astaro的产品与运行OpenVPN的服务器连接。

　　“站点到站点SSL VPN在供应商之间完全不存在标准，这意味着用户得固定使用某个供应商的产品。”咨询和信息技术公司Opus One的资深伙伴Joel Snyder说道。另外一个选择是，市场上几乎所有防火墙，包括最小型的SMB解决方案，都可以创建一个IPsec 通道连接任何供应商的任何产品。

　　除了互操作性问题，与站点到站点SSL VPN连接相关的网络过载可能会影响分支部署的性能。“虽然通过IP传输TCP流量通常被认为是一个糟糕的想法，但是站点到站点VPN恰好存在这个问题，”Snyder说道。

　　虽然远程访问部署中也存在流量过载问题，但是对于个人远程用户的影响较不明显，基于浏览器登录接入的方便性可以抵消一部分的过载。另外一方面，IPsec VPN是设计来减小过载的，而且能够在不同位置之间更加有效的流量传输。

　　何时使用SSL VPN实现站点到站点连接

　　鉴于这些互操作性和性能问题，大多数专家和供应商都认为站点到站点SSL VPN不应该成为分公司WAN连接设计时的首选。然而，在一些情况中，站点到站点SSL VPN连接是很有意义的，特别是当端口50、51和5000被禁用，或者由于国际、地理限制。同样的，如果一个企业在另一个公司的企业防火墙内创建一个安全的分支网络，那么标准的IPsec VPN通道将无法工作，但是SSL VPN通道却可以。在WAN管理员尝试在他们独特网络环境中建立传统的IPsec通道，SSL VPN是一个连接这些非典型远程位置的有效替代品。