SSL VPN作為一項(xiàng)近兩年發(fā)展起來(lái)的新技術(shù)，由于其無(wú)須安裝客戶端的便捷性和因此大幅降低的實(shí)施管理成本，在國(guó)內(nèi)外得到了迅速的應(yīng)用和發(fā)展。與IPSEC VPN相比，SSL VPN更加適用于客戶端單機(jī)接入中心網(wǎng)絡(luò)的應(yīng)用要求（如移動(dòng)辦公），而IPSEC VPN則適用于兩個(gè)網(wǎng)絡(luò)之間構(gòu)建安全通道。

   目前阻礙SSL VPN在國(guó)內(nèi)普及應(yīng)用的因素，主要有以下三個(gè)方面：
   一、 用戶對(duì)SSL VPN安全性仍有疑慮
   IPSEC VPN的每個(gè)客戶端都必須安裝IPSEC客戶端軟件、并有多種身份認(rèn)證和數(shù)據(jù)加密方式，技術(shù)成熟、安全性得到了實(shí)際應(yīng)用的證明。而SSL VPN首先就打破了安裝專用客戶端的傳統(tǒng)，倡導(dǎo)的是“隨時(shí)隨地移動(dòng)接入”的新概念，甚至在公共場(chǎng)合（如網(wǎng)吧）、都能夠利用SSL VPN訪問(wèn)內(nèi)網(wǎng)資源。這些現(xiàn)象給用戶帶來(lái)了一定的困擾：SSL VPN足夠安全嗎？

   VPN系統(tǒng)的安全性主要包括三個(gè)層面：數(shù)據(jù)傳輸?shù)陌踩?、身份認(rèn)證的安全、內(nèi)網(wǎng)應(yīng)用的安全。從協(xié)議上來(lái)說(shuō)，SSL VPN采用標(biāo)準(zhǔn)的安全套接層（SSL）協(xié)議對(duì)傳輸中的數(shù)據(jù)包進(jìn)行加密。SSL協(xié)議則是瀏覽器自帶的，加密強(qiáng)度一般為128位，從應(yīng)用的角度來(lái)說(shuō)、完全能夠滿足數(shù)據(jù)傳輸層的安全需求。所有的SSL VPN產(chǎn)品在這一點(diǎn)上是相同的。

   第二個(gè)層次是關(guān)于身份認(rèn)證的安全。SSL VPN在這一點(diǎn)上也日趨成熟。以Sinfor SSL VPN為例，采取了多重身份認(rèn)證機(jī)制。1、用戶名密碼的校驗(yàn)；2、數(shù)字證書，并支持第三方的PKI體系、能與CA中心集成；3、USB KEY的認(rèn)證；4、動(dòng)態(tài)短信發(fā)送密鑰。這些認(rèn)證方式可以有效的保障身份認(rèn)證的安全。

   對(duì)于內(nèi)網(wǎng)應(yīng)用的安全，其實(shí)SSL VPN更勝于IPSEC VPN。對(duì)標(biāo)準(zhǔn)的IPSEC VPN而言，并沒(méi)有在內(nèi)網(wǎng)安全上做進(jìn)一步的要求，它只是打開了從分支到總部的通路、對(duì)于里面?zhèn)魇裁磾?shù)據(jù)是沒(méi)有有效保證的。因此也造成了病毒在IPSEC VPN內(nèi)部跨網(wǎng)傳播等一系列安全隱患。Sinfor IPSEC VPN為了解決該問(wèn)題，提出了“內(nèi)網(wǎng)權(quán)限管理”的概念、在IPSEC VPN內(nèi)部設(shè)定細(xì)致的內(nèi)網(wǎng)訪問(wèn)權(quán)限，但并不是所有的IPSEC VPN都做到了這一點(diǎn)。

   SSL VPN則不同，它本來(lái)就是基于應(yīng)用層的VPN。只有開放了的應(yīng)用才允許使用、并沒(méi)有給接入的用戶不受限制的訪問(wèn)權(quán)限。因此，從安全性角度來(lái)分析，SSL VPN完全能夠滿足移動(dòng)用戶的接入安全需求。

   SSL VPN最大的便利在于不需安裝任何客戶端，這也使得它在一些特殊終端（如支持瀏覽器的PDA）、特殊場(chǎng)合（如不是使用自己電腦時(shí)、臨時(shí)需要接入總部）具有IPSEC VPN不可比擬的優(yōu)勢(shì)。如果移動(dòng)用戶使用的是自己的筆記本電腦、SSL VPN的優(yōu)勢(shì)則不那么明顯。因?yàn)镮PSEC客戶端也就是安裝一次，配置也并不復(fù)雜。Sinfor DKEY的即插即用技術(shù)更做到了零配置。同時(shí)，對(duì)于用戶來(lái)說(shuō)往往不僅需要移動(dòng)用戶接入、還需要站點(diǎn)間的互聯(lián)互通，如果需要用戶部署兩套設(shè)備（IPSEC、SSL各一套），無(wú)疑增加了成本和管理的復(fù)雜性。因此，深信服科技創(chuàng)新性的提出了“IPSEC/SSL二合一”的概念，在同一臺(tái)設(shè)備中同時(shí)支持兩種協(xié)議，便于客戶規(guī)劃整網(wǎng)的VPN。并且，IPSEC和SSL客戶端授權(quán)可由用戶自行分配。例如客戶購(gòu)買了100個(gè)客戶端授權(quán)，可自己定義多少個(gè)用于IPSEC、多少個(gè)用于SSL，讓用戶在實(shí)際應(yīng)用中選擇最適合自己的VPN接入方式。

   二、SSL VPN對(duì)多種應(yīng)用的透明支持
   在這一點(diǎn)上，很多外行的報(bào)道誤導(dǎo)了用戶。關(guān)于SSL VPN的介紹文章中，到處充斥著“SSL VPN只支持WEB應(yīng)用”這樣的字眼。這完全是混淆了SSL協(xié)議和SSL VPN的概念。SSL VPN之所以不需要安裝任何客戶端，就是因?yàn)橛脩艚K端中只要有瀏覽器、就一定會(huì)有SSL協(xié)議。SSL VPN就是用到了系統(tǒng)已有的SSL協(xié)議來(lái)構(gòu)建安全的通道，但并不等于SSL VPN只支持WEB應(yīng)用。

   Sinfor SSL VPN除了支持WEB應(yīng)用之外，還能支持任何基于TCP的應(yīng)用（如C/S應(yīng)用軟件）、支持Windows網(wǎng)上鄰居、FTP等多種應(yīng)用，該技術(shù)的實(shí)現(xiàn)原理是將所有其他非WEB的應(yīng)用進(jìn)行重定向、在客戶端將所有數(shù)據(jù)轉(zhuǎn)入SSL協(xié)議通道傳輸，在中心端進(jìn)行恢復(fù)和還原。Sinfor SSL VPN近期進(jìn)一步通過(guò)自主研發(fā)的IPTUNEL協(xié)議、支持了UDP應(yīng)用，支持PING通，以實(shí)現(xiàn)對(duì)視頻等更復(fù)雜應(yīng)用的透明支持。對(duì)客戶端來(lái)說(shuō)，仍然不需安裝任何客戶端軟件、只需在SSL用戶登錄時(shí)自動(dòng)下載部分插件，保證了SSL VPN天然的易用性。

   三、SSL VPN價(jià)格居高不下
   SSL VPN和大多數(shù)IT新技術(shù)一樣，是從國(guó)外流傳到中國(guó)的新技術(shù)。目前SSL VPN的產(chǎn)品仍然以國(guó)外廠商為主，國(guó)內(nèi)自主研發(fā)的SSL VPN產(chǎn)品屈指可數(shù)、并且在技術(shù)上還沒(méi)有形成普遍的突破。這是導(dǎo)致SSL VPN價(jià)格高昂的主要原因。而IPSEC VPN由于技術(shù)成熟、普及時(shí)間長(zhǎng)，國(guó)內(nèi)廠商的進(jìn)步等等，由市場(chǎng)將價(jià)格拉到了合適的水平。

   深信服科技一貫堅(jiān)持“高性價(jià)比”的定位，作為國(guó)內(nèi)SSL VPN的排頭兵、除了在技術(shù)上趕超國(guó)外品牌，同時(shí)通過(guò)不斷的創(chuàng)新樹立自身特色優(yōu)勢(shì)之外（深信服科技SSL VPN已經(jīng)擁有了多線路自動(dòng)選路、短信認(rèn)證等發(fā)明專利和技術(shù)優(yōu)勢(shì)，并即將推出客戶化定制頁(yè)面、單點(diǎn)登錄等多項(xiàng)優(yōu)勢(shì)功能），也要打破國(guó)外SSL VPN暴利的局面。目前，Sinfor SSL VPN的出貨量已經(jīng)占到了深信服科技M系列產(chǎn)品的50％、已經(jīng)在與國(guó)外廠商的多次較量中獲勝，在政府（如北京朝陽(yáng)區(qū)、石景山區(qū)移動(dòng)辦公項(xiàng)目，上海嘉定區(qū)移動(dòng)辦公項(xiàng)目）、教育（華南師范大學(xué)、浙江林學(xué)院等數(shù)十所高校）、集團(tuán)用戶（重慶力帆集團(tuán)、上海交運(yùn)集團(tuán)、中石化國(guó)際公司等）和郵政、氣象、金融等重要網(wǎng)絡(luò)中得到了廣泛應(yīng)用。

   為了進(jìn)一步推動(dòng)SSL VPN應(yīng)用普及，讓更多的用戶享受到新技術(shù)帶來(lái)的便利，深信服科技將在全部的M系列VPN產(chǎn)品中缺省配有SSL VPN模塊，用戶只需以購(gòu)買IPSEC VPN相同的價(jià)格、就可以同時(shí)擁有支持兩種協(xié)議的VPN產(chǎn)品。而對(duì)所有的移動(dòng)客戶端授權(quán)，均可以由用戶自主配置（例如用戶購(gòu)買了100個(gè)客戶端授權(quán)，可以自己配置多少個(gè)用于IPSEC、多少個(gè)用于SSL），我們堅(jiān)信、國(guó)外SSL VPN產(chǎn)品的暴利時(shí)代必將很快結(jié)束，SSL VPN也必將成為廣大用戶買得起、用得好的安全基礎(chǔ)設(shè)施。