连接企业

　　尽管有人认为SSL其实只适用于访问基于Web的应用，而不是直接访问企业网，它更适合不大懂技术的用户，而不是高级用户，但现在出现了一种新趋势——SSL趋向于被用作基础设施技术，而不是仅仅成为与Web应用服务器相关联、部署于网络基础设施的其它构件等设备的一项技术。

　　此外，现在市面上的一些SSL技术已经允许可信的高级用户通过固定设备进行远程连接，而固定设备这端配有可信的PC、防火墙和防病毒及其它保护措施。简而言之，它只是一种可以为所有用户提供各种所需特性的VPN而已，与IPSec VPN的根本区别在于，流量是通过SSL来传输的。

　　不过，许多组织同时使用SSL和IPSec VPN一定有其理由。但业内专家认为，没有理由为了远程访问而同时使用两者。而眼下IT组织并不赞同这种观点，也就是说，在网络内部，它们把IPSec技术运用于LAN-to-LAN，SSL VPN则专门用于日常性的远程访问工作。

　　无论有关SSL VPN的说法如何，公司应该牢记：这类技术不可能为每个人解决所有问题。有关SSL VPN的种种说法只是一种市场指标，表明它是解决某几类问题的另一种方法：解决的不是所有问题，而是某几类。

　　客户软件是关键

　　因此，有人坚定地认为，IPSec是提供站点到站点连接的首要工具，通过这种连接，你可以在广域网（WAN）上实现基础设施到基础设施的通信。而SSL VPN不需要客户软件的特性有助于降低成本、减缓远程桌面维护方面的担忧。

　　但是，SSL的局限性在于，只能访问通过网络浏览器连接的资产。所以，这要求某些应用要有小应用程序，这样才能够有效地访问。如果企业资产或应用没有小应用程序，要想连接到它们就比较困难。因而，你无法在没有客户软件的环境下运行，因为这需要某种客户软件丰富（Client-Rich）的交互系统。

　　不需要客户软件的运行环境肯定有其效率和好处，但在性能、应用覆盖和兼容性等方面也存在问题。这样一来，完全采用这种方案显得更具挑战性。SSL这种方案可以解决OS客户软件问题、客户软件维护问题，但肯定不能完全替代IPSec VPN，因为各自所要解决的是几乎没多少重叠的两种不同问题。

　　SSL与应用安全

　　对需要远程访问的大多数公司而言，所支持的应用应当包括公司为尽量提高效率、生产力和盈利能力所需要的各种应用。尽管应用安全提供了这种覆盖宽度，但SSL VPN能支持的应用种类非常有限。

　　大多数SSL VPN都是HTTP反向代理，这样它们非常适合于具有Web功能的应用，只要通过任何Web浏览器即可访问。HTTP反向代理支持其它的查询/应答应用，譬如基本的电子邮件及许多企业的生产力工具，譬如ERP和CRM等客户机/服务器应用。为了访问这些类型的应用，SSL VPN为远程连接提供了简单、经济的一种方案。它属于即插即用型的，不需要任何附加的客户端软件或硬件。

　　然而，同样这个优点偏偏成了SSL VPN的最大局限因素：用户只能访问所需要的应用和数据资源当中的一小部分。SSL VPN无法为远程访问应用提供全面的解决方案，因为它并不有助于访问内部开发的应用，也不有助于访问要求多个渠道和动态端口以及使用多种协议这类复杂的应用。不过这对公司及远程用户来说却是一个关键需求。譬如说，SSL VPN没有架构来支持即时消息传送、多播、数据馈送、视频会议及VoIP。

　　尽管SSL能够保护由HTTP创建的TCP通道的安全，但它并不适用于UDP通道。然而，如今企业对应用的支持要求支持各种类型的应用：TCP和UDP、客户机/服务器和Web、现成和内部开发的程序。

　　应用独立的安全解决方案应该具备支持各种标准的TCP或UDP。应用安全技术支持使用物理网络的各种解决方案。除了支持如今各种程序外，应用安全还将支持未来的各种方案，不管是哪种协议或是设计。

--
原文链接: http://www.enet.com.cn/article/2006/0724/A20060724142972.shtml