丁峰

摘要：主要介紹了VPN的各種發(fā)展技術(shù)。重點(diǎn)介紹了目前VPN應(yīng)用中使用比較廣泛的兩種方式：由站點(diǎn)到站點(diǎn)IPSec VPN和面向web及應(yīng)用的SSL VPN構(gòu)建的遠(yuǎn)程網(wǎng)絡(luò)安全訪問方式。同時(shí)針對廣泛使用兩種VPN方式，就兩者之間的優(yōu)劣分五個(gè)方面進(jìn)行詳細(xì)的剖析。適當(dāng)穿插介紹了具體的IPsec VPN和SSL VPN在各種范圍內(nèi)的適用性。

關(guān)鍵詞：IPSec VPN；SSL VPN；VPN；虛擬專用網(wǎng)絡(luò)

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)21-5088-04

1虛擬專用網(wǎng)絡(luò)

1.1虛擬專用網(wǎng)絡(luò)(VPN：Virtual Private Network)

VPN是通過公用網(wǎng)絡(luò)（如Internet）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)規(guī)模日益擴(kuò)大，客戶分布日益廣泛，合作伙伴日益增多，傳統(tǒng)企業(yè)網(wǎng)基于固定地點(diǎn)的專線連接方式，已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)在自身網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面提出了更高的要求。虛擬專用網(wǎng)（VPN）以其獨(dú)具特色的優(yōu)勢，可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。因此，虛擬專用網(wǎng)贏得了越來越多的企業(yè)的青睞，通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)這也將簡化網(wǎng)絡(luò)的設(shè)計(jì)和管理。令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù)，更多地致力于企業(yè)商業(yè)目標(biāo)的實(shí)現(xiàn)。如下圖可以清楚的看到目前流行的，應(yīng)用比較廣泛兩種VPN的連接方式——IPsec VPN和SSL VPN。

圖1

1.2 VPN有多種，每種都能滿足特定的需求

下面是二種主要的VPN：

1）內(nèi)部網(wǎng)接入VPN：接入VPN讓移動辦公者和小型辦公室/家庭辦公室SOHO能通過基礎(chǔ)的共享設(shè)施遠(yuǎn)程接入總部的內(nèi)部網(wǎng)和外聯(lián)網(wǎng)。該方式使用專用連接通過共享基礎(chǔ)設(shè)施將地區(qū)性辦事處和遠(yuǎn)程辦公室與總部的內(nèi)部網(wǎng)絡(luò)連接起來。內(nèi)部網(wǎng)接入VPN與外聯(lián)網(wǎng)VPN區(qū)別在于，前者只允許企業(yè)的雇員訪問。

2）外聯(lián)網(wǎng)VPN：（“外聯(lián)網(wǎng)(Extranet)”是不同單位間為了頻繁交換業(yè)務(wù)信息，而基于互聯(lián)網(wǎng)或其他公網(wǎng)設(shè)施構(gòu)建的單位間專用網(wǎng)絡(luò)通道。因?yàn)橥饴?lián)網(wǎng)涉及到不同單位的局域網(wǎng)，所以不僅要確保信息在傳輸過程中的安全性，更要確保對方單位不能超越權(quán)限，通過外聯(lián)網(wǎng)連入本單位的內(nèi)網(wǎng)。）外聯(lián)網(wǎng)VPN使用專用連接通過共享基礎(chǔ)設(shè)施將商業(yè)伙伴與總部網(wǎng)絡(luò)連接起來。外聯(lián)網(wǎng)VPN與內(nèi)部網(wǎng)VPN的區(qū)別在于，前者允許企業(yè)以外的用戶訪問。

1.3 IPSec VPN

IPSec是現(xiàn)在企業(yè)網(wǎng)絡(luò)通訊應(yīng)用中被廣泛使用的加密及隧道技術(shù)，同時(shí)也是在不犧牲安全性前提下，被選用來在網(wǎng)絡(luò)第三層建立IP-VPN的方法，特別是對于無法負(fù)擔(dān)Frame Relay或ATM高額費(fèi)用的中小企業(yè)而言，IPSec的應(yīng)用是一項(xiàng)福音。而目前SSL VPN以其設(shè)置簡單無需安裝客戶端的優(yōu)勢，越來越受到企業(yè)的歡迎，可望成為未來企業(yè)確保信息安全的新寵。

IPSec VPN即指采用IPSec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù),IPSec是IETF(Internet Engineer Task Force)正在完善的安全標(biāo)準(zhǔn)，相對于SSL VPN而言應(yīng)用較早的一種VPN技術(shù)。IPSec協(xié)議是一個(gè)范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議,它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。IPSec是基于網(wǎng)絡(luò)層的，不能穿越通常的NAT、防火墻。

1）IPsec協(xié)議

IP_SECURITY協(xié)議(IPSec)，通過相應(yīng)的隧道技術(shù)，可實(shí)現(xiàn)VPN。IPSec有兩種模式：隧道模式和傳輸模式。IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認(rèn)證協(xié)Authentication Header(AH)、封裝安全載荷協(xié)議Encapsulating Security Payload(ESP)、密鑰管理協(xié)議Internet Key Exchange(IKE)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。

2）IPSec VPN接入

通過在兩站點(diǎn)間創(chuàng)建隧道提供直接（非代理方式）接入，實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)的透明訪問；一旦隧道創(chuàng)建，用戶PC就如同物理地處于企業(yè)LAN中。就通常的企業(yè)高級用戶（Power User）和LAN-to-LAN連接所需要的直接訪問企業(yè)網(wǎng)絡(luò)功能而言，IPSec無可比擬。然而，典型的SSL VPN被認(rèn)為最適合于普通遠(yuǎn)程員工訪問基于Web的應(yīng)用。SSL VPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec，這項(xiàng)不需要客戶軟件的功能正是一個(gè)重要因素。因?yàn)樽罱K用戶避免了攜帶便攜式電腦，通過與因特網(wǎng)連接的任何設(shè)備就能獲得訪問，SSL更容易滿足大多數(shù)員工對移動連接的需求。但SSL VPN也有其缺點(diǎn)：業(yè)內(nèi)人士認(rèn)為，這些缺點(diǎn)通常涉及客戶端安全和性能等問題。對E-mail和Intranet而言，SSL VPN是很好；但對需要較高安全級別（SSL VPN的加密級別通常不如IPSec VPN高）、較為復(fù)雜的應(yīng)用而言，就需要IPSec VPN。

3）IPSec VPN的應(yīng)用

是提供站點(diǎn)到站點(diǎn)連接的首要工具，通過這種連接，你可以在廣域網(wǎng)（WAN）上實(shí)現(xiàn)基礎(chǔ)設(shè)施到基礎(chǔ)設(shè)施的通信。而SSL VPN不需要客戶軟件的特性有助于降低成本、減緩遠(yuǎn)程桌面維護(hù)方面的擔(dān)憂。但是，SSL的局限性在于，只能訪問通過網(wǎng)絡(luò)瀏覽器連接的資源。所以，這要求某些應(yīng)用要有小應(yīng)用程序，這樣才能夠有效地訪問。如果企業(yè)資產(chǎn)或應(yīng)用沒有小應(yīng)用程序，要想連接到它們就比較困難。因而，你無法在沒有客戶軟件的環(huán)境下運(yùn)行，因?yàn)檫@需要某種客戶軟件豐富（Client-Rich）的交互系統(tǒng)。

1.4 SSL VPN

1）SSL VPN協(xié)議

SSL協(xié)議提供了數(shù)據(jù)私密性、端點(diǎn)驗(yàn)證、信息完整性等特性。SSL協(xié)議由許多子協(xié)議組成，其中兩個(gè)主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。握手協(xié)議允許服務(wù)器和客戶端在應(yīng)用協(xié)議傳輸?shù)谝粋€(gè)數(shù)據(jù)字節(jié)以前，彼此確認(rèn)，協(xié)商一種加密算法和密碼鑰匙。在數(shù)據(jù)傳輸期間，記錄協(xié)議利用握手協(xié)議生成的密鑰加密和解密后來交換的數(shù)據(jù)。

2）SSL VPN的接入

SSL獨(dú)立于應(yīng)用，因此任何一個(gè)應(yīng)用程序都可以享受它的安全性而不必理會執(zhí)行細(xì)節(jié)。SSL置身于網(wǎng)絡(luò)結(jié)構(gòu)體系的傳輸層和應(yīng)用層之間。此外，SSL本身就被幾乎所有的Web瀏覽器支持。這意味著客戶端不需要為了支持SSL連接安裝額外的軟件。這兩個(gè)特征就是SSL能應(yīng)用于VPN不同于IPsec-vpn的關(guān)鍵點(diǎn)。

3）SSL VPN的應(yīng)用

典型的SSL VPN應(yīng)用如OpenVPN,是一個(gè)比較好的開源軟件。PPTP主要為那些經(jīng)常外出移動或家庭辦公的用戶考慮;而OpenVPN主要是針對企業(yè)異地或兩地總分公司之間的VPN不間斷按需連接，例如ERP在企業(yè)中的應(yīng)用。

OpenVPN允許參與建立VPN的單點(diǎn)使用預(yù)設(shè)的私鑰，第三方證書，或者用戶名/密碼來進(jìn)行身份驗(yàn)證。它大量使用了OpenSSL加密庫，以及SSLv3/TLSv1協(xié)議。OpenVPN能在Linux、xBSD、Mac OS X與Windows 2000/XP上運(yùn)行。它并不是一個(gè)基于Web的VPN軟件，也不與IPsec及其他VPN軟件包兼容。

2 IPSec VPN和SSL VPN的優(yōu)劣

2.1部署方案

IPSEC VPN是設(shè)計(jì)來保護(hù)私有的數(shù)據(jù)流從各種不被信任的網(wǎng)絡(luò)傳送到信任的網(wǎng)絡(luò)。IPSec VPN在部署時(shí)一般放置在網(wǎng)絡(luò)網(wǎng)關(guān)處，因而要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可擴(kuò)展性比較差。由于工作在第三層，對上層的應(yīng)用是透明的，幾乎可以為所有的應(yīng)用提供服務(wù)，包括客戶端/服務(wù)器模式和某些傳統(tǒng)的應(yīng)用及網(wǎng)絡(luò)共享等。以IPSec VPN作為點(diǎn)對點(diǎn)連結(jié)方案，可以提供網(wǎng)與網(wǎng)之間的連接。

SSL VPN工作在網(wǎng)絡(luò)層和應(yīng)用層之間，它一般部署在內(nèi)網(wǎng)中任一節(jié)點(diǎn)處即可，可以隨時(shí)根據(jù)需要，添加需要VPN保護(hù)的服務(wù)器，因此無需影響原有網(wǎng)絡(luò)結(jié)構(gòu)。

大多數(shù)SSL的VPN都是基Web瀏覽器工作的，基于Web訪問的開放體系和一些特定的系統(tǒng)如郵件，ftp等，主要用于單機(jī)對服務(wù)器的訪問。

瀏覽器/服務(wù)器（Browser/Server）結(jié)構(gòu)，簡稱B/S結(jié)構(gòu)，與C/S結(jié)構(gòu)不同，其客戶端不需要安裝專門的軟件，只需要瀏覽器即可，瀏覽器通過Web服務(wù)器與數(shù)據(jù)庫進(jìn)行交互，可以方便的在不同平臺下工作。

客戶機(jī)/服務(wù)器（Client/Server）結(jié)構(gòu)，簡稱C/S結(jié)構(gòu)。服務(wù)器通常采用高性能的PC、工作站或小型機(jī)，并采用大型數(shù)據(jù)庫系統(tǒng)，如ORACLE、SYBASE、SQL Server?？蛻舳诵枰惭b專用的客戶端軟件來實(shí)現(xiàn)與服務(wù)器端進(jìn)行交互。

SSL這種方案可以解決OS客戶軟件問題、客戶軟件維護(hù)問題，但肯定不能完全替代IPSec VPN，因?yàn)樗麄兏髯运鉀Q的是幾乎沒多少重疊的兩種不同問題：

1）SSL優(yōu)勢其實(shí)主要集中在VPN客戶端的部署和管理上，我們知道SSL無需安裝客戶端，主要是由于瀏覽器內(nèi)嵌了SSL協(xié)議，也就是說是基于B/S結(jié)構(gòu)的業(yè)務(wù)時(shí)，可以直接使用瀏覽器完成SSL的VPN建立；但如果客戶的應(yīng)用系統(tǒng)采用的是C/S結(jié)構(gòu)的話，仍然需要安裝Client軟件；

2）目前進(jìn)行VPN部署的用戶大部分都是要求對現(xiàn)有業(yè)務(wù)需要支持的用戶，而據(jù)統(tǒng)計(jì)這樣的用戶95%以上都有基于C/S架構(gòu)的重要應(yīng)用系統(tǒng)，也就是說其“Client軟件無需安裝”的優(yōu)勢是有很大局限性的；

3）基于B/S結(jié)構(gòu)的安全性劣于基于C/S結(jié)構(gòu)；

4）基于IPSEC的VPN雖然在業(yè)務(wù)應(yīng)用基于B/S上沒有基于SSL的方便，但在業(yè)務(wù)應(yīng)用基于C/S方面卻存在很大優(yōu)勢。

2.2安全性

1）安全測試－IPSec VPN已經(jīng)有多年的發(fā)展，有許多的學(xué)術(shù)和非營利實(shí)驗(yàn)室，提供各種的測試準(zhǔn)則和服務(wù)，其中以ICSA Labs是最常見的認(rèn)證實(shí)驗(yàn)室，大多數(shù)的防火墻，VPN廠商，都會以通過它的測試及認(rèn)證為重要的基準(zhǔn)。但SSL VPN在這方面，則尚未有一個(gè)公正的測試準(zhǔn)則，但是ICSA Labs實(shí)驗(yàn)室也開始著手SSL/TLC的認(rèn)證計(jì)劃，預(yù)計(jì)在今年底可以完成第一階段的Crypto運(yùn)算建置及基礎(chǔ)功能測試程序。

2）認(rèn)證和權(quán)限控管－IPSec采取Internet Key Exchange(IKE)方式，使用數(shù)字憑證(Digital Certificate)或是一組Secret Key來做認(rèn)證，而SSL僅能使用數(shù)字憑證，如果都是采取數(shù)字憑證來認(rèn)證，兩者在認(rèn)證的安全等級上就沒有太大的差別。SSL的認(rèn)證，大多數(shù)的廠商都會建置硬件的token，來提升認(rèn)證的安全性。對于使用權(quán)限的控管，IPSec可以支持「Selectors」，讓網(wǎng)絡(luò)封包過濾阻隔某些特定的主機(jī)應(yīng)用系統(tǒng)。但是實(shí)際作業(yè)上，大多數(shù)人都是開發(fā)整個(gè)網(wǎng)段(Subset)，以避免太多的設(shè)定所造成的麻煩。SSL可以設(shè)定不同的使用者，執(zhí)行不同的應(yīng)用系統(tǒng)，它在管理和設(shè)定上比IPSec簡單方便許多。在電子商務(wù)和電子政務(wù)日益發(fā)展的今天，各種應(yīng)用日益復(fù)雜，需要訪問內(nèi)部網(wǎng)絡(luò)人員的身份也多種多樣，比如可能有自己的員工、控股公司的工作人員、供貨商、分銷商、商業(yè)合作伙伴等等。與IPSec VPN只搭建虛擬傳輸網(wǎng)絡(luò)不同的是，SSL VPN重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù)，比如SSL VPN可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限。就是說，雖然都可以進(jìn)入內(nèi)部網(wǎng)絡(luò)，但是不同人員可以訪問的數(shù)據(jù)是不同的。而且在配合一定的身份認(rèn)證方式的基礎(chǔ)上，不僅可以控制訪問人員的權(quán)限，還可以對訪問人員的每個(gè)訪問，做的每筆交易、每個(gè)操作進(jìn)行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴性和不可否認(rèn)性，為事后追蹤提供了依據(jù)?？梢詫尤肟蛻暨M(jìn)行各種限制，如可以訪問的地址、端口、URL等等，因此SSL VPN在訪問控制方面比IPSec VPN具有更細(xì)粒度

3）應(yīng)用系統(tǒng)的攻擊－遠(yuǎn)程用戶以IPSec VPN的方式與公司內(nèi)部網(wǎng)絡(luò)建立聯(lián)機(jī)之后，內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng)，都是可以偵測得到，這就提供了黑客攻擊的機(jī)會。若是采取SSL-VPN來聯(lián)機(jī)，因?yàn)槭侵苯娱_啟應(yīng)用系統(tǒng)，并沒在網(wǎng)絡(luò)層上連接，黑客不易偵測出應(yīng)用系統(tǒng)內(nèi)部網(wǎng)絡(luò)物制，所受到的威脅也僅是所聯(lián)機(jī)的這個(gè)應(yīng)用系統(tǒng)，攻擊機(jī)會相對就減少。

4）病毒入侵——一般企業(yè)在Internet聯(lián)機(jī)入口，都是采取適當(dāng)?shù)姆蓝緜蓽y措施。IPSec VPN的安全性一直是一個(gè)弱點(diǎn)，由于IP Sec VPN而引起的病毒、木馬、Web攻擊一直是無法徹底解決的問題，目前好多廠家也正積極改進(jìn)從而解決這個(gè)問題。若是采取SSL VPN來聯(lián)機(jī)，因?yàn)槭侵苯娱_啟應(yīng)用系統(tǒng)，病毒傳播會局限于這臺主機(jī)，而且這個(gè)病毒必須是針對應(yīng)用系統(tǒng)的類型，不同類型的病毒是不會感染到這臺主機(jī)的。因此通過SSL VPN連接，受外界病毒感染的可能性大大減小。

5）防火墻上的通訊端口－在TCP/IP的網(wǎng)絡(luò)架構(gòu)上，各式各樣的應(yīng)用系統(tǒng)會采取不同的通訊協(xié)議，并且通過不同的通訊端口來作為服務(wù)器和客戶端之間的數(shù)據(jù)傳輸通道。以Internet Email系統(tǒng)來說，IPSec VPN聯(lián)機(jī)就會有這個(gè)困擾和安全顧慮。在防火墻上，每開啟一個(gè)通訊端口，就多一個(gè)黑客攻擊機(jī)會。而SSL VPN就沒有這方面的困擾。因?yàn)樵谶h(yuǎn)程主機(jī)與SSLVPN之間，采用SSL通訊端口443來作為傳輸通道，這個(gè)通訊端口，一般是作為Web Server對外的數(shù)據(jù)傳輸通道，因此，不需在防火墻上做任何修改，也不會因?yàn)椴煌瑧?yīng)用系統(tǒng)的需求，而來修改防火墻上的設(shè)定，減少IT管理者的困擾。如果所有后臺系統(tǒng)都通過SSL VPN的保護(hù)，那么在日常辦公中防火墻只開啟一個(gè)443端口就可以，因此大大增強(qiáng)內(nèi)部網(wǎng)絡(luò)受外部黑客攻擊的可能性。同時(shí)可以對客戶端做各種掃描，如操作系統(tǒng)版本、補(bǔ)丁版本、防病毒軟件種類、病毒庫更新時(shí)間等等，從而堵住病毒、木馬入侵的途徑。

2.3可擴(kuò)展性安全性

IPSec VPN在部署時(shí)，要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可擴(kuò)展性比較差。而SSL VPN就有所不同，可以隨時(shí)根據(jù)需要，添加需要VPN保護(hù)的服務(wù)器。

2.4經(jīng)濟(jì)效益

對于IPSec VPN來說，每增加一個(gè)需要訪問的分支，就需要添加一個(gè)硬件設(shè)備。所以，尤其是對于一個(gè)成長型的公司來說，隨著IT建設(shè)的擴(kuò)大，要不斷購買新的設(shè)備來滿足需要。

另外，就使用成本而言，SSL VPN具有更大的優(yōu)勢，由于這是一個(gè)即插即用設(shè)備，在部署實(shí)施以后，一個(gè)具有一定IT知識的普通工作人員就可以完成日常的管理工作。

假設(shè)一個(gè)公司有1000個(gè)用戶需要進(jìn)行遠(yuǎn)程訪問，那么如果購買IPSec VPN，那么就需要購買1000個(gè)客戶端許可，而如果購買SSL VPN，因?yàn)檫@1000個(gè)用戶并不同時(shí)進(jìn)行遠(yuǎn)程訪問，按照統(tǒng)計(jì)學(xué)原理，假定只有100個(gè)用戶會同時(shí)進(jìn)行遠(yuǎn)程訪問，只需要購買100個(gè)客戶端許可即可。

因此以IPSec VPN作為點(diǎn)對點(diǎn)連結(jié)方案，而以SSL VPN作為遠(yuǎn)程訪問方案，將是一種不錯的選擇。

3 SSL VPN和IPSEC VPN的適應(yīng)性

由于目前在VPN領(lǐng)域存在著IPSec VPN和SSL VPN之爭。廠商也劃分了兩大陣營。年初，Gartner就出臺了一份報(bào)告，稱未來全球SSL VPN的市場增長速度將達(dá)到170%以上，但是直到8月，才有諾基亞的SSL VPN，以及彩虹天地基于SSL的VPN ---IPW（In? stant Private Web，快速專用網(wǎng)）出臺。但是現(xiàn)在就給IPSec、SSL下結(jié)論分出誰優(yōu)誰劣有點(diǎn)為時(shí)過早，Gartner調(diào)查的SSL VPN170%的年增長，也與其標(biāo)準(zhǔn)出臺晚，市場基數(shù)不大有關(guān)。

廠商也開始研究怎樣讓IPSec VPN兼容SSL VPN，增強(qiáng)易用性。如果真能做到這點(diǎn)，IPSec VPN的擴(kuò)展性將大大加強(qiáng)，市場生命力也將更長久。

雖然SSL VPN有許多相對IPSec VPN的優(yōu)點(diǎn)，但對于應(yīng)用VPN的大、中型企業(yè)來說這些優(yōu)點(diǎn)顯得不是很重要。一個(gè)企業(yè)往往有很多種應(yīng)用（OA、財(cái)務(wù)、銷售管理、ERP，很多并不基于Web），單純只有Web應(yīng)用的極少。一般企業(yè)希望VPN能達(dá)到局域網(wǎng)的效果（比如網(wǎng)上鄰居，而SSL VPN只能保護(hù)應(yīng)用層協(xié)議，如WEB、FTP等），保護(hù)更多的應(yīng)用這點(diǎn)，SSL VPN根本做不到。所以目前的SSL VPN應(yīng)用還僅適用于基于Web的應(yīng)用，范圍有限。只能說未來基于Web的便捷性會吸引很多用戶轉(zhuǎn)向SSL VPN

在VPN的領(lǐng)域里面，一直以來都是軟件和硬件的爭奪戰(zhàn)。硬件防火墻的支持者批評軟件產(chǎn)品在安全性方面存在問題；而軟件防火墻的支持者認(rèn)為硬件產(chǎn)品在使用上和升級上都很不方便。

實(shí)施軟件VPN方案的優(yōu)勢和特點(diǎn)：純軟件VPN產(chǎn)品，保護(hù)原有投資，無需增加任何硬件設(shè)施；無需改動原有應(yīng)用系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)，保證企業(yè)正常的運(yùn)作方式不受影響；支持各種上網(wǎng)方式（采用ADSL、寬帶上網(wǎng)方式效果更佳）,不需要再拉DDN專線或申請固定IP、支持兩端動態(tài)IP尋址，為企業(yè)節(jié)省大量的通訊費(fèi)用；網(wǎng)絡(luò)平臺的適應(yīng)性強(qiáng)，擴(kuò)展性好，支持任何C/S、B/S結(jié)構(gòu)軟件；經(jīng)濟(jì)實(shí)效、使用簡單方便，無須專業(yè)人員維護(hù)；采用先進(jìn)加密算法防止數(shù)據(jù)被竊聽和篡改。采用密碼接入鑒權(quán)認(rèn)證和硬件捆綁接入認(rèn)證，除了密碼正確外，還必須是總部授權(quán)的硬件設(shè)備才能接入。防止非法用戶或知道密碼的辭職員工接入公司網(wǎng)絡(luò)。

實(shí)施硬件VPN方案的優(yōu)勢和特點(diǎn)：由于VPN的加密傳輸機(jī)制需要消耗系統(tǒng)資源，影響網(wǎng)絡(luò)性能，而硬件VPN將加密和解密功能交由專門的高速硬件處理，提供了較好的性能，并且可以提供強(qiáng)大的物理和邏輯安全，更好地防止非法入侵，同時(shí)配置和操作也更為簡單。一般情況下，硬件方案的性價(jià)比較高。但是，如果網(wǎng)絡(luò)規(guī)模不大，選擇面向中小企業(yè)或小型辦公室的VPN產(chǎn)品還是非常劃算的。此類VPN產(chǎn)品多為集成防火墻、VPN路由器，性價(jià)比非常高，且支持多種寬帶接入方式，還提供方便的管理工具，支持主流的VPN協(xié)議，如NETGEAR FVL328、NetScreen-50、Vigor 2300等。許多VPN產(chǎn)品還支持動態(tài)IP地址接入方式，對于采用ADSL連接的許多中小型企業(yè)來說，非常有用。

參考文獻(xiàn)：

[1]倪波,黃柯佳.采用MPLS VPN和IP Sec VPN混合組網(wǎng)模式構(gòu)建某集團(tuán)財(cái)務(wù)系統(tǒng)[J].通信與信息技術(shù),2011(5).

[2]孫丹東.基于SSL VPN的遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)實(shí)驗(yàn)室的應(yīng)用研究[J].無線互聯(lián)科技,2011(12).

[3]王春海.VPN網(wǎng)絡(luò)組建案例實(shí)錄[M].2版.北京:科學(xué)出版社,2011.

[4] Carlton R Davis.IPSec：VPN的安全實(shí)施[M].周永彬,譯.北京:清華大學(xué)出版社,2002.