对于希望扩展可管理业务以增加收入来源的运营商来说，SSL VPN是最优秀的方案，它可同时支持面向远程接入的IP网络连接级业务以及应用层的新业务 -- 如外联网和灾难恢复等业务。

过去6-12个月间，亚太地区的一些服务供应商客户都部署了SSL VPN业务。这些业务部署在不同的领域中，目标最终用户包括亚洲的中小企业市场直到某些最大型的企业。这些业务表现出强劲的增长势头，揭示了最终用户的基本需求及SSL VPN价值主张。

本文将简要介绍SSL VPN以及部署SSL VPN的商业分析，并将讨论运营商对可扩展性、可靠性、虚拟化和全面FCAPS管理控制的要求。此外，本文还将讨论Juniper网络公司的运营商客户部署SSL VPN的成功案例，阐述我们的技术与解决方案的成熟性。

SSL VPN商业分析

分析家和其他本行业的调查公司开展的大量调查表明，与PPTP 和IPSec等传统VPN接入技术相比，SSL VPN可带来巨大的成本优势。

Frost & Sullivan指出，使用IPSec VPN的每用户平均成本为150-300美元，而使用SSL远程接入VPN的每用户平均成本只有60-220美元-- 成本节约了30% - 60%。

同样，Yankee Group的独立调查发现，与IPSec VPN相比，SSL VPN可在实施的第一年实现 43%的成本节约 -- SSL VPN的每用户总成本为235美元，而IPSec VPN为415美元。

什么是SSL VPN？

SSL VPN这个术语是指使用户能够灵活接入企业资源、VPN和外联网的新型技术，无论接入何种资源都无需在最终用户PC上预装客户端软件。

SSL VPN主要提供三类业务：

1. 网络连接 （Network Connect）-- 远程接入（替代IPSec）
   网络连接使远程工作人员或漫游工作人员等远程客户端能够对企业网络进行IP接入，类似于现在的IPSec和PPTP提供的客户端接入业务。然而，SSL VPN只需要标准web浏览器，将其内置的SSL/HTTPS功能用作高度安全的传输机制，无需在最终用户的笔记本电脑上配置客户端。与IPSec VPN相比，SSL VPN的主要优势包括：
   • SSL无需预装在接入设备上。
     
   • SSL无需由最终用户配置，也无需企业或运营商对每个笔记本或远程PC进行管理。
     
   • SSL允许通过防火墙连接，这些防火墙常配置用于阻止IPSec。
     
   • SSL提供最终用户熟悉的简单登录界面，而不是复杂的客户端软件。
     
   • SSL使用领先的加密、数据完整性和验证技术，可提供与IPSec相同的传输层安全性。然而，SSL还能根据需要在客户端上进行其他安全检查，例如，在允许接入前对最新的病毒软件和定义进行动态检查，而许多IPSec解决方案都不提供这项功能。
2. 安全应用管理器（Secure Application Manager） -- 对客户端/服务器应用的可控接入
   IPSec对企业的网络层接入并未加以限制，易遭受来自远程设备的特洛伊木马和病毒的威胁。不同于IPSec，SSL VPN还提供了一个选项，使得对网络中特定应用只能够进行可控接入，而不是完整的IP网络层接入，从而进一步提高了企业安全性。
   
   此类接入将自动下载lightweight Java或基于Windows的applets，以便在用户设备上提供客户端/服务器应用的本机接入，如Outlook、Oracle Financials或Lotus程序等。
   
   • 与网络连接一样，此类接入也不需要预装客户端软件，只需浏览器即可。
     
   • 企业无需更改服务器。
     
   • 可以对权限控制进行全面定制，以决定哪些用户在哪种情况下可以接入哪类应用。例如，对同一个用户来说，通过受保护的工作笔记本电脑连接网络，要比在机场候机厅等公共场所通过不可信的PC连接网络的接入权限高。
3. 核心接入（Core Access） -- 面向员工的内联网以及面向业务合作伙伴的外联网
   核心接入提供到所有基于Web的应用的接入，如Microsoft Outlook Web Access（OWA）、基于标准的电子邮件，以及文件和远程登录系统/SSH托管的应用等。核心接入可同时用于远程/移动员工的内联网接入以及业务合作伙伴的外联网应用接入。该解决方案的主要优点如下：
   • 同样，无需预装客户端软件，只需浏览器即可。
     
   • 企业无需更改服务器。
     
   • 提供与前两类方法相同的具体应用接入控制；还提供网络连接和安全应用管理器方法。
     
   • 为企业提供比网络层接入更高级别的安全性。

运营商部署要求

不同于企业环境，运营商部署可管理的SSL业务需满足更严格的要求，主要是可扩展性、运营商级可靠性、高可用性、管理工具及基础设施虚拟化，以便为多个独立客户提供支持。对运营商的某些主要要求如下：

1. 广泛的验证服务器支持。
   
2. 广泛的应用和内容支持。
   
3. 高可用性（状态同步） - 本地群集和多站点群集。
   
4. 基础设施安全性- 将加固的设备用作平台。
   
5. 虚拟化 / VLAN支持。
   
6. 每平台可扩展到同时支持10,000位或更多的用户。
   
7. 定制用户体验（能够为不同企业提供定制页面并托管多个URL）。
   
8. 记账（RADIUS）和报告（系统日志）。
   
9. 通过权限分配管理，提供以运营商为中心的集中管理。

可管理的SSL VPN -- 运营商案例分析

2004年，亚太地区的许多老牌运营商都开始为最终用户提供可管理的SSL VPN业务，目标对象是其国内的前100强企业。

许多运营商早在多年前就部署了IPSec，但却将SSL视为现在和未来的技术选择，希望利用该项技术提供普遍接入，并更好地满足PDA和手机等移动用户的要求。而在这方面，IPSec并未提供广泛支持，或者说并非是用户友好型的。

SSL还为运营商提供所需的细粒度接入控制和广泛的验证选项，而且其高可扩展性使运营商能够经济高效地满足大量最终用户的需求。

运营商已成功部署了Juniper网络公司的SSL VPN解决方案，用于为多个1级企业客户提供SSL VPN业务，该解决方案现在运行良好，能够为数千最终用户提供日常网络接入，其用户群还在不断壮大。

SSL VPN - 创收机遇就在眼前！

总而言之，SSL VPN为运营商提供了新创收机遇，它为运营商及最终用户创造的优势是以往任何技术都无法比拟的。现在，SSL VPN在一些1级运营商中的部署大获成功，从而在关键任务环境中证明了该项技术的成熟性和可靠性。SSL VPN的创收机会就在眼前。

转载地址：http://www.netsp.com.cn/Article/netsafe/VPN/200509/20050912200603.html