那罡

SSL VPN与IPSec VPN之间的争论已存在多年。两年前,VPN领域的领导企业提出了革命性的技术观点,要让全球企业实现真正意义上的“将应用延展到网络”。说白了,就是让SSL VPN能够像IPSec VPN技术一样,实现两点间的安全访问,完全替代IPSec VPN技术,给企业提供一个安全、灵活的接入解决方案。

IPSec VPN仍有存活空间

如今,包括卫士通新推出的“睿·安”安全接入网关在内,已经有多款SSL VPN产品具备IPSec VPN的核心功能——支持将不同的子网连接,实现Site to Site功能。SSL VPN作为目前发展最快的VPN技术,已经在各种类型和规模的企业中获得了广泛的应用。反观IPSec VPN却仍停留在某些特定的需求市场,因为SSL VPN的算法在某些层面的安全性没有IPSec VPN那么高。

企业越来越依赖Web平台,很多企业已经将ERP、CRM等系统移植到Web上。这让SSL VPN尝到了Web应用热潮带来的甜头,SSL VPN甚至被业界认为是实现远程安全访问Web应用的最佳手段。在这种发展趋势下,IPSec VPN的短板凸显。

此外,两个基于不同网络和IP地址规则的企业分支机构间打通一个传输隧道,以及在两点间实现基于角色和特定应用访问的安全控制,一直是IPSec VPN无法实现的缺憾。

SSL VPN比IPSec VPN还有更多的强项,SSL VPN能够选择性地进行Site to Site。比如A公司在北京、上海、广东、深圳都设有子公司,用户可以把任意一个子公司的服务器进行区域组合,即可形成虚拟网络。而IPSec VPN在这种复杂网络情况下,组网是非常困难的,因为它只能够对IP层做限制。

记者了解到,“睿·安”安全接入网关对子网间的组网数量没有上限,用户只要在每一个子网的网关处都部署一台SSL VPN网关,就能够实现Site to Site的安全接入。

新实用主义与用户体验

具备实用主义体验特征的SSL VPN已经被高成长性的企业所认同,然而,很多相关产品对易用性的关注还远远不够。使用界面的艰深晦涩、产品配置的逻辑复杂、功能设置的关联性弱等诸多问题一直困扰着广大用户。

卫士通产品策划总监张卓说,“睿·安”倡导新实用主义,在UI设计方面以大量生动的图标代替生涩的文字,显得相当人性化。系统还具有主题更换功能,企业用户可自行定制具有自身风格的远程办公界面。此外,该产品内置详细的新手配置指导,有助于管理者快速配置、启用策略。值得一提的是,企业内各类用户被赋予的角色、应用、权限和策略在配置界面均有带关联的提示,逻辑上显得非常清晰,管理者可以轻松完成复杂的访问控制授权工作。

由于“睿·安”安全接入网关是基于应用层设计的远程接入产品,所以用户无论在世界的任何地方,使用任何标准的Web浏览器都能访问公司总部的服务器和主机。但近年来Web风险重重,为了确保接入节点的安全性和可靠性,卫士通与奇虎360共同定制了“卫士通360安全卫士”和“卫士通360安全浏览器”,在防御浏览器攻击和网页挂马的同时进行终端安全检测。

张卓说,在针对远程用户登录企业内部网的管理方面,管理者也可制订阻止互联网连接的策略,彻底隔离内外网络,防止借助跳板的攻击及病毒入侵,杜绝了潜在的威胁和安全隐患。如果移动办公人员使用的是网吧、酒店提供的电脑通过SSL VPN连入企业内网,还可以在操作完成后使用“远程登录操作痕迹清理”功能清理使用痕迹,以免出现信息外泄等情况。