SSL VPN 在中小企業(yè)市場期待紅火

申請免費(fèi)試用、咨詢電話：400-8352-114

一項調(diào)查中結(jié)果顯示：42% 的用戶表示，在2009年之前還沒有完全過渡到VPN網(wǎng)絡(luò)的計劃，相比有52%的用戶已經(jīng)明確表示2009年之前會使用VPN來代替原有網(wǎng)絡(luò)，其他7%的用戶表示沒有計劃下一步的行動。另外在用戶過渡到VPN 網(wǎng)絡(luò)過程中，部分用戶會首先選擇混合組網(wǎng)方式，即用VPN 代替部分的專線網(wǎng)絡(luò)。這種方式既節(jié)省了用戶的通信費(fèi)用，又保護(hù)了運(yùn)營商原有的投資，是過渡時期一個不錯的選擇。

由于應(yīng)用趨向網(wǎng)絡(luò)化發(fā)展，基于加密套接字協(xié)議層（SSL）作為一種新的方式出現(xiàn)在VPN 領(lǐng)域，進(jìn)而成為遠(yuǎn)程訪問技術(shù)發(fā)展的新趨勢。SSL VPN能提供更方便的遠(yuǎn)程訪問企業(yè)核心應(yīng)用和網(wǎng)絡(luò)資源的能力，也更加容易配置和管理，由于不需要客戶端軟件，網(wǎng)絡(luò)配置成本比目前主流的IPSec VPN要低很多，所以許多企業(yè)已經(jīng)開始利用基于SSL 加密協(xié)議的遠(yuǎn)程訪問技術(shù)來實(shí)現(xiàn)VPN 通信了。但是總體來看，SSL VPN還沒有達(dá)到廠商們期望的大規(guī)模應(yīng)用，不過SSL VPN的前景被很多專家看好。

SSL 遠(yuǎn)程訪問優(yōu)勢明顯

長久以來，企業(yè)一般都是通過部署IPSec VPN 來為移動用戶和商業(yè)合作伙伴提供訪問其后臺服務(wù)和資源的遠(yuǎn)程接入通道?，F(xiàn)在對于站點(diǎn)到站點(diǎn)（Site-to-Site）的通訊，IPSec VPN恐怕仍是惟一的解決方案。但在客戶到企業(yè)（Client-to-Enterprise）的連接這方面， IPSec VPN卻面臨著迅速失寵的尷尬局面，原因之一就在于隨著客戶端用戶人數(shù)的增長，為他們安裝IPSec VPN客戶端和提供技術(shù)支持的工作已經(jīng)讓眾多網(wǎng)絡(luò)管理員不堪重負(fù)。另外， IPSec隧道也為攻擊者留下了打通企業(yè)防火墻并直接威脅中心網(wǎng)絡(luò)的通道。

考慮到IPSec VPN 存在這些基本的問題，也就不難解釋為什么現(xiàn)在SSL VPN越來越受到IT管理員們的關(guān)注。SSL VPN 不需要安裝其他的客戶端軟件，只要有支持SSL的瀏覽器就行，自然也就不需要對客戶端進(jìn)行什么維護(hù)和支持了。這不但節(jié)省了IT人員大量的時間和精力，同時也意味著遠(yuǎn)程用戶在進(jìn)行遠(yuǎn)程訪問時不會再受到地域的限制，不論是在公共網(wǎng)吧或是在商業(yè)合作伙伴那里，甚至是隨手借一臺筆記本，只要有網(wǎng)絡(luò)，遠(yuǎn)程訪問就沒問題。

SSL VPN 是基于應(yīng)用層的 VPN，這就意味著在安全性上已經(jīng)不僅局限在可以讓數(shù)據(jù)安全傳輸，而且還能關(guān)注傳輸過來的數(shù)據(jù)包括什么內(nèi)容。對于企業(yè)而言，采用SSL VPN 不僅可以讓外地員工對Web 化的企業(yè)應(yīng)用進(jìn)行訪問，而且可以知道訪問應(yīng)用的數(shù)據(jù)連接究竟是由哪個員工發(fā)起、他或者她究竟有哪些權(quán)限來進(jìn)行操作。

業(yè)界分析師大都看好SSL VPN 技術(shù)，據(jù)Frost&Sullivan 市場研究公司預(yù)估，SSLVPN 技術(shù)的市場規(guī)模在不斷擴(kuò)大，到2006 年市場銷售額會突破5 億美元。

Gartner 的報告稱：那些希望使用更加簡單更加靈活的方式部署他們的安全遠(yuǎn)程訪問系統(tǒng)的企業(yè)應(yīng)該考慮使用SSL VPN 。這項基于SSL的技術(shù)簡單、易用而且不需要高額費(fèi)用，和IPSec VPN相比，建立在SSL 上的VPN更容易部署和支持。

更重要的是，SSL VPN的實(shí)現(xiàn)不需要任何連入企業(yè)的開放隧道，SSL VPN會對每個連接執(zhí)行相應(yīng)的安全策略，并能依據(jù)不同的用戶身份、地域和設(shè)備為其分配訪問相應(yīng)資源的權(quán)限，如果再配上良好的安全控制策略，那么在管理員沒有明確許可的情況下所有資源都將受到保護(hù)并被禁止訪問。

遷移不是拋棄

就算對那些已經(jīng)在IPSec VPN上投入大量資金的企業(yè)來說，向SSL VPN上遷移也是有充分理由的，因為對于IPSec VPN來說，在每個客戶身上所花的技術(shù)支持費(fèi)用要遠(yuǎn)遠(yuǎn)超過 SSL VPN，而在這方面節(jié)省的資金就足夠抵消用于購買新設(shè)備的開支了。由于SSL VPN所有的東西都集中在一起，長遠(yuǎn)來看管理起來更加容易。而且 SSL VPN基于客戶的瀏覽器，一旦有策略方面的變動時，客戶的下一次連接就能自動適應(yīng)相應(yīng)的變動。

在安全性上SSL VPN也要勝過IPSec。所有SSL VPN的連接，甚至包括類似IPSec風(fēng)格的第三層隧道，都要受到相應(yīng)的訪問控制策略的限制，這樣管理員就可以限制對某些特定資源的訪問，而不像IPSec那樣，一旦用戶連入后整個網(wǎng)絡(luò)都暴露在他面前。隨著市場的逐步成熟，我們有越來越多的理由期待SSL VPN成為企業(yè)的首選 VPN設(shè)備。

公平地講，企業(yè)沒有必要現(xiàn)在就立即拋棄所有IPSec VPN 設(shè)備而以SSL VPN全部替換之，不過現(xiàn)在開始部署SSL VPN并把用戶朝這方面遷移還是很有意義的。IPSec VPN 和 SSL VPN完全可以共存并在功能上互補(bǔ)，這樣從一個平臺遷移到另一個平臺的過程就可以更平穩(wěn)一些。

雖然SSL VPN有諸般好處，但SSL VPN并不能取代 IPSec VPN。因為，這兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSL VPN 考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠(yuǎn)程安全接入方面；而IPSec VPN是在兩個網(wǎng)站之間通過專線或互聯(lián)網(wǎng)安全連接以及兩臺服務(wù)器之間的安全連接，保護(hù)的是點(diǎn)對點(diǎn)之間的通信，并且，它不局限于Web應(yīng)用。而且IPSec VPN的廠商也開始研究怎樣讓IPSec VPN兼容SSL VPN，增強(qiáng)易用性。如果真能做到這點(diǎn)，IPSec VPN的擴(kuò)展性將大大加強(qiáng)，市場生命力也將更長久。

SSL 市場沒有領(lǐng)先者

在國外，SSL VPN已經(jīng)有了兩年的發(fā)展歷史，從幾十人的事務(wù)所，到幾萬人的大型企業(yè)，都能看到SSL VPN的身影。而在國內(nèi)，SSL VPN市場也在不知不覺地啟動，而且搶先的廠商已經(jīng)發(fā)現(xiàn)，這是一個如此具有潛力又沒有太多競爭對手的企業(yè)級市場。

據(jù)預(yù)測顯示，今年SSL VPN的市場總額將達(dá)到3.64 億美元；2006年將達(dá)到5.7億美元，增長57%；而到2008年，將達(dá)到10.06億美元。目前已經(jīng)有4 億人在用SSL VPN產(chǎn)品，以政府行業(yè)為例，僅網(wǎng)上報稅和在線支付兩項業(yè)務(wù)的需求就在急劇增長，而且如此大容量應(yīng)用需要SSL VPN技術(shù)所提供的超大容量。

為什么SSL VPN會迅速走紅？關(guān)鍵還是用戶的需求在過去的幾年中產(chǎn)生了變化，易用性、多功能性以及可移動性是當(dāng)前網(wǎng)絡(luò)安全產(chǎn)品的最大熱點(diǎn)。 SSL VPN以其不需安裝客戶端的最明顯特點(diǎn)，在移動辦公領(lǐng)域具有易用、易于管理的顯著優(yōu)勢；同時，VPN作為網(wǎng)關(guān)產(chǎn)品，用戶也希望該網(wǎng)關(guān)不僅僅具備單一的VPN功能，而是能把防火墻、網(wǎng)關(guān)殺毒、垃圾郵件過濾等實(shí)用功能集成于一體；此外，網(wǎng)關(guān)數(shù)量較多的VPN網(wǎng)絡(luò)，更是對整網(wǎng)的可管理性提出了進(jìn)一步的要求。

SSL技術(shù)也受到了許多 CIO們的喜愛，因為它不需要安裝，沒有客戶軟件，不用升級，而且最重要的是流量被加密，用戶可以被確認(rèn)，且只能允許進(jìn)入一定的資源區(qū)域內(nèi)。

事實(shí)上，在經(jīng)過了基礎(chǔ)網(wǎng)絡(luò)的建設(shè)后，大型企業(yè)的IT應(yīng)用已轉(zhuǎn)向了增值應(yīng)用。SSL VPN 除了無客戶端、有很高的安全性以外，最重要的是它可以充分發(fā)掘企業(yè)應(yīng)用的潛能。很多企業(yè)里面已經(jīng)建成了OA 系統(tǒng)、erp系統(tǒng)，接下來，就希望能夠充分利用這些系統(tǒng)。通過SSL VPN，無論是員工、合作伙伴還是客戶，都能夠訪問所需的應(yīng)用。利用Internet 讓企業(yè)現(xiàn)有應(yīng)用發(fā)揮更大的作用，這才是SSL VPN的價值所在。

在當(dāng)前的VPN領(lǐng)域，尤其是在SSL VPN領(lǐng)域，盡管相當(dāng) “熱鬧”，但整體市場還是處于 “混沌”的狀態(tài)，沒有哪個廠商具有絕對優(yōu)勢、誰都有可能崛起、也可能掉隊。而隨著VPN市場的持續(xù)增長，未來必定會形成相對穩(wěn)定的市場格局。因此，無論是國內(nèi)廠商還是國外廠商，都開始了新一輪的搏擊。

眾多新崛起的國內(nèi)廠商則把目光投向了客戶數(shù)量更多的中小企業(yè)市場。按照他們的說法，主要原因在于2005年中小規(guī)模網(wǎng)絡(luò)用戶對安全的需求明顯增強(qiáng)。以前這類用戶對網(wǎng)絡(luò)安全還僅停留在查殺病毒上，而現(xiàn)在卻開始關(guān)注防火墻和 VPN等設(shè)備。

混合應(yīng)用突破傳統(tǒng)

目前的SSL VPN設(shè)備市場，良莠不齊是一個不能逃避的現(xiàn)象，有的產(chǎn)品只有非常簡單的功能，根本不能稱之為SSL VPN；但也有的設(shè)備擁有專業(yè)的設(shè)計和豐富完整的功能。隨著市場的演變，儲備了雄厚技術(shù)和資本的公司將成為最后的贏家。

目前的市場趨勢是將SSL VPN和IPSec VPN結(jié)合起來，為用戶提供全面的VPN 保護(hù)。 SSL VPN 的優(yōu)勢在于Web，而企業(yè)往往擁有多種應(yīng)用， 如 OA、財務(wù)、銷售管理、ERP等，這些應(yīng)用往往并不基于We b。在現(xiàn)階段，SSL VPN只能訪問 Web應(yīng)用，而IPSec VPN卻幾乎可以為所有的應(yīng)用提供訪問，不過，IPSec不容易穿越防火墻，當(dāng)員工需要在異地接入企業(yè)網(wǎng)時就難以實(shí)現(xiàn)。所以，用混合組網(wǎng)方式一方面為數(shù)量有限的員工提供IPSec VPN連接，使其能夠訪問企業(yè)的生產(chǎn)系統(tǒng)和其他非Web 應(yīng)用；另一方面為多數(shù)員工提供SSL VPN連接，使其可以訪問基于Web的企業(yè)應(yīng)用。

由于IPSec VPN和SSL VPN自身的特點(diǎn)限制，目前為止誰都無法取代對方的位置，因此如果能有一種設(shè)備能夠集合兩者的功能，發(fā)揮各自的優(yōu)勢，則為客戶提供了一種完美的解決方案。比如市場上就有一種集合IPSec VPN和SSL VPN功能的網(wǎng)關(guān)設(shè)備。在不同的應(yīng)用環(huán)境下，用戶能夠自由切換使用不同的VPN技術(shù)，例如：在普通情況下，用戶選擇傳輸時延更低的IPSec VPN；但在企業(yè)內(nèi)網(wǎng)或者有防火墻的情況下， 用戶可以自由切換到 SSL VPN 狀態(tài)下。此款設(shè)備支持的IPSec VPN還無需安裝客戶端軟件，因此有效解決了管理維護(hù)成本高的問題；另外還擁有對遠(yuǎn)程客戶端進(jìn)行安全檢測的功能，只有符合一定安全級別的客戶端才能夠允許接入VPN 網(wǎng)絡(luò)，這一措施減少了VPN網(wǎng)絡(luò)被攻擊的可能性。

SMB 市場期待紅火

SSL VPN 在最終用戶層面的癥結(jié)總結(jié)起來就是“觀念問題”。據(jù)統(tǒng)計，國內(nèi)有40%、50%的企業(yè)仍然把VPN概念停留在一種“安全連接”上，具體怎樣安全連接，能給他們帶來什么樣好處，卻知之甚少。而且，國內(nèi)絕大多數(shù)企業(yè)沒有網(wǎng)絡(luò)型的OA、ERP等應(yīng)用軟件，缺乏一種協(xié)同辦公、遠(yuǎn)程網(wǎng)絡(luò)辦公的環(huán)境和習(xí)慣，這限制了SSL VPN在國內(nèi)發(fā)展。

盡管市場上還存在著這樣那樣的瓶頸，但是SSL VPN仍然得到了一些行業(yè)用戶群的歡迎。對于國內(nèi)市場，SSL VPN的市場份額還要相對小一些，但在一些規(guī)模較大、基礎(chǔ)信息化建設(shè)比較完善，并且對于遠(yuǎn)程訪問移動性和安全性要求較高的行業(yè)中，如電信、電力、石油、物流、銀行等，SSL VPN的發(fā)展勢頭迅猛。

從中小企業(yè)的應(yīng)用來看，IPSec VPN 產(chǎn)品還是占據(jù)大多數(shù)。因為中小企業(yè)中很少有移動辦公人員需要通過SSL VPN 隧道訪問公司內(nèi)部資源的需求，即使有，這種公司大多數(shù)局限在某些非常特定的行業(yè)。而且，眾多的小企業(yè)在網(wǎng)絡(luò)安全方面的應(yīng)用相當(dāng)少，偶有網(wǎng)絡(luò)運(yùn)營商會為客戶提供VPN服務(wù)，但那種情況僅局限在網(wǎng)絡(luò)到網(wǎng)絡(luò)之間，因此，應(yīng)用IPSec VPN 的企業(yè)還只是把安全概念停留在企業(yè)內(nèi)部，對于SSL VPN所宣傳的企業(yè)在外人員能夠安全便捷地訪問企業(yè)內(nèi)部資源，還沒有足夠的認(rèn)識。

另外限制SSL在SMB市場走紅的另一個原因在于價格。一般情況下，SSL VPN網(wǎng)關(guān)價格遠(yuǎn)遠(yuǎn)超出單獨(dú)的IPSec VPN設(shè)備，而且當(dāng)前很多防火墻已經(jīng)把 IPSec VPN作為一個默認(rèn)功能安裝進(jìn)去，無需再購買專門的IPSec VPN終結(jié)設(shè)備。同樣，由于IPSec VPN已經(jīng)發(fā)展很長時間，大多數(shù)主流操作系統(tǒng)已經(jīng)集成了 IPSec VPN的終端軟件，而SSL VPN則沒有這種情況。這樣，SSL VPN的高價限制了它應(yīng)用的普及性。

無疑，遠(yuǎn)程安全訪問是未來業(yè)務(wù)趨勢，尤其是筆記本銷售在逐年增長情況下，這種移動的計算通信工具迫切需要專門為其量身定做的遠(yuǎn)程安全訪問方案，在這種環(huán)境中，無疑給了SSL VPN最肥沃的土壤。但是在那之前， SSL VPN設(shè)備市場會先進(jìn)入一輪淘汰賽。

伴隨中小企業(yè)信息化程度的加深，企業(yè)和分支、企業(yè)和外地員工之間聯(lián)系將不隨地域分隔而分開，從信息流的傳輸、交融角度來看，它們之間更像一個整體，遠(yuǎn)程安全訪問、協(xié)同工作的需求會日益明顯，這給SSL VPN帶來了用武之地。(zdnet)