分析：影响SSL VPN发展的因素

作者:叶宜斌

导读：SSL VPN作为一项近两年发展起来的新技术，和IPSEC VPN相比有着先天性的优势，比如：无需安装客户端、部署、管理成本比IPSec VPN低、具有更好的克扩展性……等等，虽然和IPSEC VPN有着这么多的优势，但消费者对SSL VPN还是不甚了解这种产品，所以影响着国内VPN市场的发展。

原因一、 用户对SSL VPN安全性仍有疑虑

IPSEC VPN的每个客户端都必须安装IPSEC客户端软件、并有多种身份认证和数据加密方式，技术成熟、安全性得到了实际应用的证明。而SSL VPN首先就打破了安装专用客户端的传统，倡导的是“随时随地移动接入”的新概念，甚至在公共场合（如网吧）、都能够利用SSL VPN访问内网资源。这些现象给用户带来了一定的困扰：SSL VPN足够安全吗？

VPN系统的安全性主要包括三个层面：数据传输的安全、身份认证的安全、内网应用的安全。从协议上来说，SSL VPN采用标准的安全套接层（SSL）协议对传输中的数据包进行加密。SSL协议则是浏览器自带的，加密强度一般为128位，从应用的角度来说、完全能够满足数据传输层的安全需求。所有的SSL VPN产品在这一点上是相同的。

第二个层次是关于身份认证的安全。SSL VPN在这一点上也日趋成熟。以Sinfor SSL VPN为例，采取了多重身份认证机制。1、用户名密码的校验；2、数字证书，并支持第三方的PKI体系、能与CA中心集成；3、USB KEY的认证；4、动态短信发送密钥。这些认证方式可以有效的保障身份认证的安全。

对于内网应用的安全，其实SSL VPN更胜于IPSEC VPN。对标准的IPSEC VPN而言，并没有在内网安全上做进一步的要求，它只是打开了从分支到总部的通路、对于里面传什么数据是没有有效保证的。因此也造成了病毒在IPSEC VPN内部跨网传播等一系列安全隐患。

SSL VPN则不同，它本来就是基于应用层的VPN。只有开放了的应用才允许使用、并没有给接入的用户不受限制的访问权限。因此，从安全性角度来分析，SSL VPN完全能够满足移动用户的接入安全需求。

原因二：SSL VPN被外行误导

在这一点上，很多外行的报道误导了用户。关于SSL VPN的介绍文章中，到处充斥着“SSL VPN只支持WEB应用”这样的字眼。这完全是混淆了SSL协议和SSL VPN的概念。SSL VPN之所以不需要安装任何客户端，就是因为用户终端中只要有浏览器、就一定会有SSL协议。SSL VPN就是用到了系统已有的SSL协议来构建安全的通道，但并不等于SSL VPN只支持WEB应用。

举例来说，Sinfor SSL VPN除了支持WEB应用之外，还能支持任何基于网络层以上的应用（如B/S、C/S应用软件）、支持Windows网上邻居、FTP等多种应用，该技术的实现原理是将所有其他非WEB的应用进行重定向、在客户端将所有数据转入SSL协议通道传输，在中心端进行恢复和还原。

原因三：SSL VPN价格居高不下

SSL VPN和大多数IT新技术一样，是从国外流传到中国的新技术。目前SSL VPN的产品仍然以国外厂商为主，国内自主研发的SSL VPN产品屈指可数、并且在技术上还没有形成普遍的突破。这是导致SSL VPN价格高昂的主要原因。而IPSEC VPN由于技术成熟、普及时间长，国内厂商的进步等等，由市场将价格拉到了合适的水平。