那罡

SSL VPN與IPSec VPN之間的爭論已存在多年。兩年前,VPN領(lǐng)域的領(lǐng)導(dǎo)企業(yè)提出了革命性的技術(shù)觀點(diǎn),要讓全球企業(yè)實(shí)現(xiàn)真正意義上的“將應(yīng)用延展到網(wǎng)絡(luò)”。說白了,就是讓SSL VPN能夠像IPSec VPN技術(shù)一樣,實(shí)現(xiàn)兩點(diǎn)間的安全訪問,完全替代IPSec VPN技術(shù),給企業(yè)提供一個安全、靈活的接入解決方案。

IPSec VPN仍有存活空間

如今,包括衛(wèi)士通新推出的“睿·安”安全接入網(wǎng)關(guān)在內(nèi),已經(jīng)有多款SSL VPN產(chǎn)品具備IPSec VPN的核心功能——支持將不同的子網(wǎng)連接,實(shí)現(xiàn)Site to Site功能。SSL VPN作為目前發(fā)展最快的VPN技術(shù),已經(jīng)在各種類型和規(guī)模的企業(yè)中獲得了廣泛的應(yīng)用。反觀IPSec VPN卻仍停留在某些特定的需求市場,因?yàn)镾SL VPN的算法在某些層面的安全性沒有IPSec VPN那么高。

企業(yè)越來越依賴Web平臺,很多企業(yè)已經(jīng)將ERP、CRM等系統(tǒng)移植到Web上。這讓SSL VPN嘗到了Web應(yīng)用熱潮帶來的甜頭,SSL VPN甚至被業(yè)界認(rèn)為是實(shí)現(xiàn)遠(yuǎn)程安全訪問Web應(yīng)用的最佳手段。在這種發(fā)展趨勢下,IPSec VPN的短板凸顯。

此外,兩個基于不同網(wǎng)絡(luò)和IP地址規(guī)則的企業(yè)分支機(jī)構(gòu)間打通一個傳輸隧道,以及在兩點(diǎn)間實(shí)現(xiàn)基于角色和特定應(yīng)用訪問的安全控制,一直是IPSec VPN無法實(shí)現(xiàn)的缺憾。

SSL VPN比IPSec VPN還有更多的強(qiáng)項(xiàng),SSL VPN能夠選擇性地進(jìn)行Site to Site。比如A公司在北京、上海、廣東、深圳都設(shè)有子公司,用戶可以把任意一個子公司的服務(wù)器進(jìn)行區(qū)域組合,即可形成虛擬網(wǎng)絡(luò)。而IPSec VPN在這種復(fù)雜網(wǎng)絡(luò)情況下,組網(wǎng)是非常困難的,因?yàn)樗荒軌驅(qū)P層做限制。

記者了解到,“睿·安”安全接入網(wǎng)關(guān)對子網(wǎng)間的組網(wǎng)數(shù)量沒有上限,用戶只要在每一個子網(wǎng)的網(wǎng)關(guān)處都部署一臺SSL VPN網(wǎng)關(guān),就能夠?qū)崿F(xiàn)Site to Site的安全接入。

新實(shí)用主義與用戶體驗(yàn)

具備實(shí)用主義體驗(yàn)特征的SSL VPN已經(jīng)被高成長性的企業(yè)所認(rèn)同,然而,很多相關(guān)產(chǎn)品對易用性的關(guān)注還遠(yuǎn)遠(yuǎn)不夠。使用界面的艱深晦澀、產(chǎn)品配置的邏輯復(fù)雜、功能設(shè)置的關(guān)聯(lián)性弱等諸多問題一直困擾著廣大用戶。

衛(wèi)士通產(chǎn)品策劃總監(jiān)張卓說,“睿·安”倡導(dǎo)新實(shí)用主義,在UI設(shè)計(jì)方面以大量生動的圖標(biāo)代替生澀的文字,顯得相當(dāng)人性化。系統(tǒng)還具有主題更換功能,企業(yè)用戶可自行定制具有自身風(fēng)格的遠(yuǎn)程辦公界面。此外,該產(chǎn)品內(nèi)置詳細(xì)的新手配置指導(dǎo),有助于管理者快速配置、啟用策略。值得一提的是,企業(yè)內(nèi)各類用戶被賦予的角色、應(yīng)用、權(quán)限和策略在配置界面均有帶關(guān)聯(lián)的提示,邏輯上顯得非常清晰,管理者可以輕松完成復(fù)雜的訪問控制授權(quán)工作。

由于“?！ぐ病卑踩尤刖W(wǎng)關(guān)是基于應(yīng)用層設(shè)計(jì)的遠(yuǎn)程接入產(chǎn)品,所以用戶無論在世界的任何地方,使用任何標(biāo)準(zhǔn)的Web瀏覽器都能訪問公司總部的服務(wù)器和主機(jī)。但近年來Web風(fēng)險(xiǎn)重重,為了確保接入節(jié)點(diǎn)的安全性和可靠性,衛(wèi)士通與奇虎360共同定制了“衛(wèi)士通360安全衛(wèi)士”和“衛(wèi)士通360安全瀏覽器”,在防御瀏覽器攻擊和網(wǎng)頁掛馬的同時進(jìn)行終端安全檢測。

張卓說,在針對遠(yuǎn)程用戶登錄企業(yè)內(nèi)部網(wǎng)的管理方面,管理者也可制訂阻止互聯(lián)網(wǎng)連接的策略,徹底隔離內(nèi)外網(wǎng)絡(luò),防止借助跳板的攻擊及病毒入侵,杜絕了潛在的威脅和安全隱患。如果移動辦公人員使用的是網(wǎng)吧、酒店提供的電腦通過SSL VPN連入企業(yè)內(nèi)網(wǎng),還可以在操作完成后使用“遠(yuǎn)程登錄操作痕跡清理”功能清理使用痕跡,以免出現(xiàn)信息外泄等情況。