要了解信息安全团体对基于SSL的VPN的需求，看一下Check Point软件公司和Juniper网络公司推出的最新产品就知道了。要了解具体情况，问一下位于宾夕法尼亚州Erie的圣文森特健康系统[SVHS]的网络经理Steve Smith就知道了。

　　他一开始会告诉你管理一个拥有1650名雇员和25个分支的机构的基于IPsec的VPN是多么困难。这个机构的25个分支包括总部、在纽约的分院、四个卫星康复办事处、一个门诊中心和20个外部医生办公室。

　　Smith说，我接手了这样一个工作，那里存在着各种各样的不安全的远程连接。我们用一个月的时间配置了30个VPN。使外部用户非常安全地接入我们的网络。

　　Smith表示，随着用户群的扩大，IPsec的难题是管理起来太复杂和太昂贵。由于更多的医生办公室要求得到VPN连接，防火墙出现了混乱的状态。IT雇员被迫要熟悉第三方正在使用的是什么技术。这就浪费了额外的时间和金钱。

　　他说，当圣文森特健康系统发现了SSL之后，所有这些痛苦都消失了。

　　SSL与IPsec

　　IPSec VPN是一种第三层技术，为远程与企业网络的通信提供一个安全隧道。它需要在中心位置有基于主机的客户机和昂贵的硬件。工作中的配置维护和账户管理也是沉重的负担。用户使用IPSec VPN将得到全部的办公室功能，但是，接入控制几乎没有详细分类。接入网络一般都会得到批准或者拒绝向任何用户提供大多数共享的网络资源。

　　Smith的工作单位是Check Point公司的用户。他说，这里令人头痛的事情并不仅限于第三方用户。

　　他说，我们有一个部门有8个放射线医生。他们不愿意一天24小时在工作的地方。他们要求能够在家里工作。在安装SSL之前，我们的解决方案是从他们的家里建立一个防火墙/VPN连接。这样，他们就可以看到医院的医疗影像资料了。这个连接一开始还工作得很好。但是，当我们要管理很多防火墙的时候，要升级的代码就太多了。我们不得不花钱雇用外部承包商去那里升级软件和排除故障。

　　相比之下，SSL VPN在应用层(第七层)工作，不需要下载客户端软件。远程连接是通过网络浏览器或者一个可下载的Java或者ActiveX控件实现的。安全管理员可根据每个用户的任务分配接入权限，取消了应用程序和客户端软件的管理。

　　Smith喜欢上面提到的后面的一些功能。他说，我们可以取消我们的防火墙，让用户根据自己的需要保留防火墙。只要用户符合基本的规定，他们就可以使用SSL。

　　现在，如果一个医生的办公室或者家庭办公者需要VPN接入，Smith所要做的工作就是根据这些用户工作的需要确定他们的接入等级，并且向他们提供最合适的接入文件夹。如果现有的文件夹不能满足用户的接入需求，他可以简单地创建一个新的文件夹。

        厂商对需求的增长做出了反应

　　Check Point和Juniper等厂商看到了越来越多的用户同Smith一样对SSL VPN具有很高的热情。上个星期，这些厂商推出了新的产品以满足用户对这种产品如饥似渴的需求。

　　Check Point宣布，即将推出的Connectra NGX设备是SSL VPN技术增强的版本。Check Point在其网站上把Connectra解释为“一种完整的网络安全网关，集成了防止不安全端点的端点安全功能并且还集成了应用安全功能，防止对SSL VPN的恶意活动和攻击。”。

　　Juniper公司SSL VPN产品管理经理Vivian Ganitsky表示，Juniper网络公司发布了即时虚拟外联网(Instant Virtual Extranet )5.0软件，对其安全接入和远程接入SSL VPN进行了重要的升级。除了具有下一代网络连接产品的功能和高级端点修正功能之外，这个新的软件还有动态XML重写和Java Applet Delivery Infrastructure功能。

　　Ganitsky说，人们将发现SSL分类更细了。用户在确定谁可以访问哪些内容的时候选择的余地更大了。使用SSL时，如果用户从一个飞机场的电话亭登录，由于这个电话亭不是可信赖的网络，你可以限制其访问的内容。如果你与一个合作伙伴做生意，你不需要让他们拥有访问你的整个网络的权限。 IPsec给他们完全接入权。这种权限你总是不愿意给的。

　　Carmi Levi是Check Point的另一家客户、位于以色列特拉维夫的Zim统一运输服务公司的网络和通信部门的经理。这家公司在以色列、欧洲、非洲、佛吉尼亚州和香港等地雇用了3000名雇员。他说，当外部办事处使用IPsec的时候，IPsec是很成问题的。使用通过互联网传输的SSL更合适一些。正是VPN能够在任何地方使用，而且更灵活、更可靠。

　　IPsec的寿命结束了吗?

　　尽管所有的赞扬都给了SSL VPN，但是，不要指望那些IPsec连接很快会消亡。用户和厂商一致认为，大多数公司都将有充分的理由继续使用IPsec，尽管他们已经采用了SSL。

　　Zim运输公司的信息安全官Itay Yanovski在一封电子邮件中称，据我所知，这两种技术是相互补充的，而不是相互排斥的:两种协议都为远程接入用户的保密提供了合法的解决方案，每个协议都有自己的优点。在我们的机构，我们同时使用IPsec和SSL VPN。作为公司的安全官，我不会放弃两者之中的任何一个协议。

　　Ganitsky说，Juniper的用户都是这样认为的。她说，该公司最新的产品升级是为了让用户更方便地使用IPsec 和SSL。IPsec最大的好处是，它是一种快速传输模式。它是为快速接入VoIP、流媒体和快速接入网络层的内容优化的。

　　但是，虽然许多公司仍在使用IPsec和SSL，但是，研究公司Forrester Research的分析师Rob Whiteley认为，大多数用户最终将把IPsec推到一边，全面使用SSL。

　　Whiteley在接受SearchSecurity.com网站的姊妹刊物信息安全杂志采访时说，我们正处在过渡阶段。在IPSec成为一种缝隙技术之前，我们将看到更多的用户使用SSL技术。

　　我们建议企业评估其应用，确保内部应用兼容他们的VPN计划。应该对SSL VPN进行深入的评估。IPsec应该仅为没有网络功能的专用的应用程序而保留。