SSL VPN 技术，“更快更安全”！

　　随着信息技术，特别是网络技术的不断进步，网络正在改变着传统的商业模式和人们日常的工作和生活方式。信息技术包罗万象，在此我们仅从SSL VPN的角度来掀开IT技术变革的冰山一角。

　　SSL VPN主要用于移动用户的远程接入、第三方合作伙伴的接入、内网资源的加密等环境，用户只需要通过浏览器即可建立到应用资源的VPN隧道，那么在这个虚拟的隧道中，SSL VPN都能够支持哪些应用的访问呢?

　　而伴随着B/S架构的大行其道，已经有越来越多的软件和应用从C/S架构转换为B/S架构。基于SSL协议构建的SSL VPN对于B/S应用的支持是毋庸置疑的，内网的WWW网站、Web化的Email服务、B/S的ERP等系统、甚至是普通的FTP服务，用户只要通过浏览器建立SSL VPN隧道，即可使用内网的这些应用，就这么简单。而浏览器在哪里?windows、linux、windows mobile pda、Sybain Palm等等，越来越多的智能手机、手持终端等，都能够通过其内置的支持SSL协议的浏览器建立到总部的SSL VPN隧道，实现应用的访问和扩展，这对于常用的IPSec VPN来说是无法想象的。

　　而B/S架构的兴起是否会灭亡C/S架构，我们都认为这在可预见的未来是不可能实现的，正如SSL VPN暂时不可能替代IPSec VPN一样;C/S架构不管是从历史发展的延续性还是其独具的一些特点，仍然是当前很多软件和工具的首选架构，如部分税务机关的网上报税系统、Lotus Notes等，对于此类C/S架构软件SSL VPN是否能够支持呢?坦白地说，早期的SSL VPN是无法支持C/S架构软件的，但随着技术的进步，技术实力强的厂商，如Cisco、Juniper、深信服等SSL VPN都能够完美的支持各种C/S架构，呈现给用户方便简单的点到网互联手段。

　　B/S、C/S应用SSL VPN都提供了完善的支持，但用户的需求多种多样，各种基于TCP、UDP、ICMP协议的应用都是用户需要使用的，如IT管理人员假日在家，希望通过SSL VPN接入内网后能够通过ping命令检测内网设备的状态，SSL VPN还能够支持吗?就如同古人畅想的嫦娥奔月，如今嫦娥一号已经梦想成真一样，技术是无止境的。国内外优秀的SSL VPN解决方案已经能够全面支持各种基于TCP、UDP、ICMP的应用，达到类似IPSec VPN用于远程接入时的效果，SSL VPN真正实现了为远程移动用户架设了“虚拟通道”，将用户纳入内网。

　　通过SSL VPN为用户构建“虚拟通道”，除了从技术上能为用户的远程接入提供可能外，还需要在安全性、快速性等多个方面进行保障。

　　SSL VPN的安全实际上分为四块：

　　1. 传输的安全：采用业界标准的SSL VPN架构体系和实现方式，辅以高强度的加密算法保障数据传输的安全性。

　　2. 认证的安全：如果无法区分真假用户，所有的安全保障措施都是空中楼阁;而通过USB-Key、数字证书、动态令牌、短信认证等双因素身份认证技术，则能够强化认证的安全，尤其是通过将用户帐号和接入终端设备的硬件(如CPU、主板、硬盘等硬件信息)特征绑定的技术，将进一步提升认证的安全性。

　　3. 权限的安全：领导和普通员工的接入，第三方合作伙伴的接入，都需要严格的权限控制，而SSL VPN天生可以精细到URL级别的权限划分，有效控制了资源的访问行为;用户的所有访问行为日志也需要进行详细记录和方便的查询审计。

　　4. 端点安全：接入终端设备如笔记本，本身的不安全因素如病毒、蠕虫怎样抵挡于内网之外?笔记本被黑客远程控制，再随着SSL VPN隧道进入内网怎么办?这些都需要SSL VPN厂商提供一体化的端点安全解决方案。

　　快速的访问是所有用户所期盼的，谁会嫌速度太快呢?而我们更多的是感受到传统VPN加密后引入冗余数据导致速度下降，电信网通、大陆到海外等跨运营商、跨国线路的带宽瓶颈，潜在的降低了用户的访问体验。可喜的是，很多SSL VPN厂商都将提高访问速度、提升用户体验作为SSL VPN今后的重要发展方向。拿知名厂商深信服科技的SSL VPN解决方案来说，其提供的多线路复用和智能选路技术，以及数据压缩、重封包、webpush等多种技术，极大的提升了SSL VPN的访问速度，尤其今年还会加入广域网加速的相关技术，将进一步提升访问速度。

　　SSL VPN完善的满足了用户的点对网互联需求，但她并不能替代IPSec VPN，对于一个有分支机构和远程办公室的用户来说，总部网和分支网的互联还应该借助IPSec VPN构建，而移动接入和第三方接入则通过SSL VPN则更为合适。

　　面对业界众多的SSL VPN产品，我们需要擦亮眼睛，只有遵循标准SSL VPN架构体系，而非仅仅是表象上的通过443端口传输的方案，才能为用户提供安全、高速、可靠的点到网接入解决方案。