清华同方TF-SSL VPN50设备评测

来源：IT168 作者：佚名出处：巧巧读书 2006-09-27 进入讨论组

下一页 1 2 3 4 5

　　优点

功能丰富，支持全面的认证加密协议
无需专用的客户端软件，主流浏览器即可
提供了命令行模式下的设置向导，降低配置难度
提供了直观的Web管理界面

　　缺点

帮助文档有待进一步加强

　　价格

暂无
清华同方相关产品报价

　　中小企业应用与远程访问

　　中小企业当今的经济发展中占据着越来越重要的地位——虽然每家企业都显得微不足道，但是众多的数量形成了不可忽视的规模效应。据统计2005年美国有60%的工作机会是来自中小企业，欧盟的中小企业也雇佣了超过7400万人。为了提高竞争力，适应市场的快速变化，中小企业信息化是其中至关重要的一环。而同自己的供应商、客户以及远程员工、移动员工建立实时的通讯则是信息化的一个关键组成部分，虚拟专用网络（Virtual Private Networks，VPN）技术可以利用Internet等公用网络构建发送和接收私有数据的网络，让在异地的不同用户如同在一个局域网中。

　　VPN（虚拟私有网络）技术利用各种安全协议在公共网络上建立专用安全隧道，先后经历了第二层隧道协议和第三层隧道协议的发展阶段。其中的IPSec VPN技术已经被广泛的应用于站点到站点VPN应用中，比较适用于大型机构使用，比如总公司到各个分公司之间的连接。这种技术同样可以用于客户端到站点的连接，但是对于个人用户来说安装、维护过于复杂，因此对于公司而言此时成本就太高了。Infonetics(3Q05)统计的数据证实了这个所带来的后果，大部分提供远程访问的公司仅仅向少数的员工提供了这项服务（比例不超过20%）。

　　据调查，中小企业用户对于远程访问、动态访问的需求增长明显的超过大型公司，IPSec VPN技术无论是在实用性上还是在成本上都无法很好的满足他们的需求。此时，SSL VPN技术浮出了水面，这种技术基于安全套接层协议（SSL，Security Socket Layer）来保护信息传输的机密性和完整性，无需专用的客户端，使用起来简单方便，非常适合有大量远程访问需求的企业使用。

　　国内VPN市场的起步很晚，赛迪顾问的统计数据显示2002年的市场规模只有不到4000万元。经过几年的市场培育，中国VPN硬件产品市场才初具规模，CCW Research数据显示2005年中国VPN硬件产品市场规模达到2.7亿元人民币，超过2004年51.3%，预计2006年可望达到4.3亿元。该机构还认为中小企业信息化需求的不断增加，将会是中国VPN硬件市场的主要推动力之一。

　　去年，我们看到多家网络设备厂商在国内市场较为着重的推广IPSec VPN设备，而且大部分厂商都在努力的降低IPSec VPN设备的易用性。今年年初则有多家厂商开始推动SSL VPN设备以及解决方案，这两种技术在国内的起步时间相差并不太大。

　　正确看待SSL VPN和IPSec VPN

　　当在类似的领域有几种不同的解决方案的时候，人们热衷于对它们评头论足，总是喜欢讨论谁更有前途，谁可能会取代谁。我们的观点比较中庸，IPSec VPN和SSL VPN分别基于网络层和应用层开发，各自具有其擅长的领域，未来的一段时间内两者将会共存。

　　应用

　　IPSec是基于网络层的VPN技术，是一种基础设施性质的安全技术，与应用无关，所以IPSec VPN的客户端支持所有IP层协议。IPSec VPN比较适用于建立站点到站点、客户端到站点或者客户端到客户端的安全联机。IPSec VPN的连通性会受到网络地址转换（NAT）或者代理网关的影响，因此在现有的网络架构中引入IPSec VPN设备，可能会需要调整现有网络架构和设备。

　　SSL VPN则是利用了HTTPS协议，也就是利用SSL来确保信息的机密性和完整性，这种技术建立在应用层上，引入这种设备无需对现有的网络进行改变。对于远程用户来说，最直接的方便是这种VPN应用无需“专用”的客户端软件，这是因为目前的主流的浏览器都支持SSL，因此在访问基于B/S结构的应用时，利用浏览器提供的功能即可。但是现实情况却大大限制了SSL VPN的这种优势，据统计已经部署了VPN的用户的90%以上的应用都是基于C/S架构的（不过也有不同的统计结果，有的研究表明近90%的企业利用VPN进行的内部网和外部网的连接都只是用来进行Internet访问和电子邮件通信，而这些应用完全可以发挥SSL VPN的优势。鉴于我们对于国内应用和市场的了解，我们不太赞同该调查的结果）。因此不要过分的痴迷于SSL VPN厂商宣传的无需客户端将会带来多少多少的方便，而在应该选择IPSec VPN设备的时候选择了SSL VPN设备。

　　SSL VPN不会受到NAT等因素的影响，也不会受到安装在客户端与服务器之间的防火墙的影响。目前的SSL VPN技术并不太适用于站点对站点的应用，更适合于大量的客户端远程访问站点的应用。

　　针对这两种技术的优势和缺点，一般认为以IPSec VPN作为点对点连结方案，再搭配以SSL VPN作为远程访问方案，则能满足员工、商业伙伴与客户的安全连接需求，是最合适也最具成本效益的组合。针对这一点我们也要特别提醒正在考虑SSL VPN解决方案的用户，您需要首先考虑自己的应用，只有确认了适用之后再考虑其它的问题。

　　成本

　　一般的认为IPSec VPN的部署和管理成本相对较高，最直接的表现是客户端需要安装软件，而且软件的设置非常的复杂，稍有疏忽就无法成功的建立IPSec隧道。而且不同厂商的VPN设备可能需要不同客户端软件，这一点我们在对于不同厂商的VPN产品的评测过程中有着深切的体会。可想而知，让每个远程用户都熟练的掌握这类软件的设置是非常的不现实的，因此应用IPSec VPN的同时需要大量的IT技术支持，这是一项成本不菲的支出。

　　SSL VPN技术则仅仅需要用户的OS中安装有支持SSL安全加密协议的浏览器即可方便的接入SSL VPN设备中，还有一项好处是没有软件的兼容性问题，主流的浏览器均可用。另外，如果需要向现有网络添加新设备，那么一般会改变现有网络结构，IPSec VPN往往需要重新配置，而SSL VPN一般不受其影响。

　　安全

　　IPSec VPN可以提供相当高的通路安全性，同SSL VPN都采用对称式或者非对称式加密算法构建安全通道，依然是应用层面不同，并没有明显的孰优孰劣（在现阶段我们始终要强调应用，如果没有适合的应用，SSL VPN无法发挥其优势。）

　　IPSec VPN和SSL VPN均支持数字认证技术，此时两者的安全级别并没有太多的差别。主要的差别在于权限的管控，SSL可以设定不同的使用者，执行不同的应用系统，如果IPSec要实现同样的功能，那么配置的复杂程度将会更上几层楼。

　　远程用户以IPSec VPN的方式与公司内部网络建立联机之后，内部网络所连接的应用系统，都是可以侦测得到，这就提供了黑客攻击的机会。若是采取SSL-VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络物制，所受到的威胁也仅是所联机的这个应用系统，攻击机会相对就减少。

　　一般企业在Internet联机入口，都是采取适当的防毒侦测措施，因此无论是IPSec VPN或SSL VPN联机，其入口的病毒侦测效果是相同的。对于远程客户端而言，若采用SSL VPN联机，病毒必须是针对所访问的应用系统的类型的，才可能破坏所访问的主机；如果采用IPSec联机，一般的认为该客户端所感染的病毒有较大机会感染到内部网络的所有电脑，但是考虑到IPSEC VPN本身也有严格的安全策略库，因此病毒也只有“对口”才会有破坏力。所以这个方面两者的差别也不明显。

　　基于传输层的IPSec VPN要求防火墙为不同的应用打开相应的端口，这就相当于为黑客攻击提供了更多的机会。如果应用均是建立在B/S架构上的话，那么部署SSL VPN则仅仅需要通过443端口即可，防火墙上不会有额外的“口子”。但是实际上，现在的大部分应用还是基于C/S架构的，所以大部分的SSL VPN也会提供DNS、LDAP等其它应用，因此也会有多端口问题。

　　总得来说，SSL VPN技术在远程安全连接方面是具有相当优势的技术，我们希望用户能够充分认识这项技术的利弊从而选择最适合自己的设备。

巧巧读书:http://www.qqread.com/hardware/net-devices/testing/2006/09/r212373.html