SSL VPN是解決遠程用戶訪問公司敏感數據最簡單也是目前相對比較安全的技術。與部署相對比較復雜的IPSec VPN相比，SSL VPN的客戶端只需要有瀏覽器就可以了。另外SSL VPN還可以對內網的應用進行細粒度的訪問控制，增加了系統的安全性。正是由于SSL VPN便于部署且具有很高的安全性，當前，包括衛士通公司的中華衛士安全接入網關（CG-SAG：China Guard Secure Access Gateway）百兆SV504和千兆SV1006在內的SSL VPN系統已經成功運用到了金融、醫療、零售、電力、教育、政府的信息系統中，基于SSL VPN的安全遠程訪問解決方案已經獲得了廣大用戶的認可，并迅速得到了推廣應用。

從性價優勢剖析產品特點

SSL VPN產品最大的優勢之一就是性價比。無客戶端的特點使得SSL VPN的部署成本大大低于其他的VPN產品。而且作為網絡層和應用層安全相結合的一種虛擬專網產品，SSL VPN在訪問控制和身份認證方面的表現更為優越。對于一個企業來說,采購一臺SSL VPN硬件設備就可以構筑具有高安全性的內部虛擬網絡，較好地解決了遠程辦公中對內網數據的安全訪問問題，用最小的投資獲取最大的安全保障。

系列化的SSL VPN產品可以為各種規模的組織機構提供價格適中、使用簡單及安全的無客戶端遠程訪問解決方案，同時將用戶從部署、配置及更新軟件的繁瑣工作中解放出來，從而減少維護與支持成本。SSL VPN只需用一個標準Web瀏覽器，即可讓用戶做到從任何位置方便、安全地訪問企業內網中的E-mail、共享文件、應用軟件及其他各類資源。另外，它還提供了多重認證方式，且可與企業原有的基于證書、基于一次性口令、基于Active Directory的認證系統完美融合，并提供多語言管理界面，滿足了國際化應用的需求。

系列化的SSL VPN產品可以方便地滿足各企業分支機構、在外業務人員和家庭辦公者的安全訪問需求。其產品特點包括：可無縫集成到現有的網絡環境中，企業無需購買其他硬件即可利用現有的網絡基礎設施；無配額限制，并發用戶數取決于系統硬件容量，能極大地減少部署一種可擴展安全遠程訪問解決方案的成本；使用者不需要額外培訓，只要打開瀏覽器登陸SSL VPN登陸頁面即可安全方便的訪問企業資料，從而能將管理員從安裝及更新用戶pc上客戶端軟件的繁瑣工作中解放出來；提供精細策略配置控制，使網管員能創建將用戶“鎖定”在特定應用或資源上的訪問策略，并防止遠程用戶訪問或使用其他受限制的網絡資源；具有可定制Web界面，可為用戶提供個性化的網頁設計，并可根據企業策略只顯示允許該用戶訪問的資源。百兆SSL VPN系統SV504以及千兆SSL VPN系統SV1006因其優越的性價比獲得了各行業用戶的充分信任和廣泛認可。

從行業應用細看具體實施

出于SSL VPN在操作便利與安全性方面的考慮，它非常適合在中小型企業的內網環境下進行實施和監控。比如酒店中心、商務會館、政府職能部門、圖書館室等都是部署應用SSL VPN的理想場所。下面我們以山西省電力內網改造工程為例，簡要說明SSL VPN是如何實施的，參見圖1。

為了解決山西省電力系統遠程用戶通過Internet安全地接入到電力系統內部網絡的問題，衛士通公司部署了中華衛士安全接入網關。即在網絡機房安裝一套SSL VPN網關設備，電力系統遠程用戶可以在辦公網以外的地方安全地訪問系統內網，同時在線的人數為25名。設備安裝在中心互聯網出口和內部辦公網之間，與辦公網內的服務器建立對應關系。

其具體實施方案為：中華衛士SSL VPN系統與內網服務器群并聯到防火墻之后的交換機，防火墻外網口配置公網IP地址。在防火墻上面配置目的地址轉換規則，將訪問內網服務器群(根據服務端口號區分，如HTTP:80或HTTPS:443)的數據重定向到SSL VPN，這樣外部用戶先與SSL VPN之間建立SSL VPN通道，SSL VPN再與內網服務器建立相應連接，從而實現了外部用戶對內網服務器群的安全訪問。由于采用并聯方式，不會給系統造成通訊瓶頸和單點故障，最大限度地保障了原有系統的穩定性。

圖1 中華衛士安全接入網關的部署示例

目前，SSL VPN作為重要的安全訪問及控制系統，其應用趨勢已經非常明顯。主要是它不僅提高了遠程訪問的數據安全性，更在訪問控制的細粒度、便利性等方面得到了很大的提升。而從中華衛士安全接入網關的行業應用來看，這一技術能夠真正意義上地做到企業級用戶“隨時、隨地、隨心所欲”地安全接入，再加之精簡部署的較低成本、管理掌控的輕松便利，配合強大的后期擴展能力，所有這些都注定了SSL VPN的未來會得到更加廣泛的應用。