抛弃IPSec VPN 选择SSL VPN的理由

抛弃IPSec VPN 选择SSL VPN的理由

【 专稿】在企业上网如火如荼地普及开后，下一波企业网络建设的投资热潮将是企业总分部之间的跨INTERNET联网。现在的企业家已经认识到网络给企业生产力提高带来的巨大收益，纷纷要上OA、ERP、CRM等应用系统，甚至跨互联网部署。企业联网方案由于VPN技术的成熟和几乎“无处不在”的已经部署好的广域网——INTERNET，让这个目标的实现变的非常容易。投资的设备和通信费用更是比传统的帧中继、DDN等联网方案低很多。甚至在DDNS、目录服务等技术支持下，联网的双方都可以使用动态公网IP进行VPN部署，而不必申请奇缺昂贵的静态公网IP。

现在实现VPN联网方案的主要技术是IPSEC VPN与SSL VPN，IPSEC VPN出现得较早，商用化程度较高，技术较成熟，安全性较优越。但缺憾是设备成本支出较多，分部和移动人员需要硬件IPSec VPN客户端设备和软件IPSec VPN客户端，设置工作较复杂，维护工作较多，需要专业网管支持。SSL VPN是一项近两年才发展起来新的虚拟专网技术，由于无须安装VPN客户端（不管是硬件客户端还是软件客户端）的便捷性和因此大幅降低的实施管理成本，在国内外得到了迅速的应用和发展。同样是VPN远程联网，SSL VPN适合于在客户、合作伙伴用户、远程用户、供应商、本单位总分机构及移动员工之间建立VPN，而IPSec VPN更适用于网段间的链接。

随时随地接入

与IPSEC VPN相比，SSL VPN更加适用于单机接入总部网络的应用需求，如移动办公，而IPSEC VPN则适用于两个固定的局域网之间构建安全通道。SSL VPN使用标准的浏览器，无需安装客户端程序，即可通过SSL VPN隧道接入总部网络访问应用。SSL VPN打破了构建VPN通道要安装专用客户端的传统，倡导的是不需客户端的“随时随地移动接入”的新概念，甚至在公共上网场合（如网吧）都能够利用SSL VPN访问内网的应用资源这点是SSL VPN最具价值的特性。但是，SSL VPN并不局限于单机移动用户，也可用于分支单位的固定用户，之所以有上述叙述，是因为与IPSec VPN作比较，其实只要能上互联网，任何被授权用户都可以访问SSL VPN。现在的总分部VPN方案也越来越多采用SSL VPN实现，原因在于它对用户的应用支持范围越来越广，功能越来越接近于传统的IPSec VPN，而且SSL VPN不受上网方式限制，SSL VPN隧道可以穿透防火墙。