几年前,SSL VPN技术就已经出现。它确保了传输数据的可用性、完整性、机密性,同时大大降低了管理复杂度。进入2006年以来,对于SSL VPN的应用正在发生一些新变化。
两个能力
从对客户需求的分析中可以看出,有两类客户需要SSL VPN。 一类客户关注的是对应用的访问,他们购买SSL VPN的目的是获得应用安全访问的能力,他们希望借助SSL VPN所提供的应用安全访问能力,获得比采用传统技术更高的投资回报率。这类客户购买SSL VPN之后所关心的是如何与后端的应用做集成,使SSL VPN最大化地发挥它的功能和效率。应用安全访问的实质是:企业拥有一套应用或业务系统,并且把应用或业务系统开放,希望员工、合作伙伴、客户等可以通过网络安全地访问这套系统。
另一类客户购买SSL VPN的目的是为了获得网络安全访问能力,因为SSL VPN比IPSec VPN具有更低的整体应用成本(TCO)。网络安全访问是传统的VPN概念,客户考虑的不是有多少应用的问题,只是希望给外部的人一个安全的网络通道可以进来访问内部网络,而在这条通道上跑什么应用都可以。这就是典型的网络安全需求的类型,像传统的IPSec VPN、MPLS VPN解决的都是网络安全访问的问题。
据Array Networks公司市场总监陈凯介绍,随着SSL VPN的演变,SSL VPN要支持C/S架构的应用,最简单的就是用隧道(Tunnel)的方式来支持,但是从应用发布的角度来说,隧道不是一个好的方法,它等于是把所有的东西都开放出去让任何人来使用,不是解决某一个应用问题,只是解决网络层面的问题,这不是对应用的支持,是对网络的支持。传统的C/S架构应用建立的前提是终端要安装客户端程序,现在,包括Array在内的很多SSL VPN厂家在做的事情是通过Java、ActiveX技术把C/S架构的应用转移到SSL VPN上,用SSL VPN把终端程序自动地发布到客户端。通过这样一个手段可以大大降低原来C/S架构应用给企业带来的管理、维护成本,从技术角度来说,这是真正和应用紧密相关的。
不管是提供应用安全访问能力,还是提供网络安全访问能力,从技术角度讲,对于SSL VPN厂家都不是什么难事,关键是看厂家对用户需求的理解,以及自身的市场定位。
事实标准
说到SSL VPN的应用,有一个不可避免的话题就是该如何评价SSL VPN。关于是否有一个通用的标准来评价SSL VPN产品的各项指标,在市场上曾有一些争论。陈凯认为,虽然各国际标准组织并没有出台SSL VPN的测试标准,但事实的标准是存在的。比如Avalanche和Web bench都是专门从事测试的公司或人员开发的,Web bench是一个HTTP应用的测试工具,从使用上来说更符合实际客户环境的使用效果。业界所有的评测机构、厂商都采用这两个工具对SSL VPN进行测试。可以说,它们就是评测SSL VPN的事实标准。
最近,世界公认的前沿技术的评估专家Tolly Group就使用Web bench工具,模拟一个真正的多客户端环境,对Array Networks 的SPX5000产品的主要功能进行了严格测试,这些功能包括可扩展性、兼容性以及性能。测试结果显示,即使在八种不同流量的情况下,SPX5000也能够轻松支持从500直至64000个并发用户,而由网关引入的至多1毫秒的时延基本可以忽略不计。
(责任编辑:梁冰) |