专家解惑：什么才是真正的SSL VPN

最近SSL VPN的市场突飞猛进，各种媒体上相关SSL VPN的文章也很多，但是目前存在很多的关于SSL VPN的误区，随便在网上搜索就可以看到很多错误的说法:

　　1. SSL VPN和IPSec VPN各有优缺点，SSL VPN只能适用于web应用;

　　2. XX国内厂商推出了廉价集IPSec VPN与SSL VPN于一体的设备，必将大大促进VPN的市场推广;

　　3. 经过使用Spirent Avalanche测试，XX厂家的SSL VPN产品的TPS(每秒新建用户数)达到了1300， 最大在线用户数可以达到64’000个，完全可以适用大型的商业应用。

　　这就引入了几个问题:

　　1. 究竟SSL VPN有哪些功能?是否只能解决web应用?

　　2. 什么才是一个真正的SSL VPN产品?怎样区别市场上林林总总的号称的SSL VPN产品?

　　3. 如何衡量SSL VPN产品的性能?

　　下面逐个回答问题:

　　1 究竟SSL VPN有哪些功能?是否只能解决web应用?

　　SSL VPN的出现是为了解决IPSec VPN的固有缺点而出现的，SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致、与应用无关的优点，避免了因有客户端而导致的使用维护不便、某些网络条件下无法接通、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题，从功能上有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，可以提供C/S应用和B/S应用访问，并非只能解决web应用。这其中最为重要的是网络访问功能，SSL VPN的网络访问功能避免了IPSec VPN的缺点而又继承了IPSec VPN的优点。

　    2 什么才是一个真正的SSL VPN产品?怎样区别市场上林林总总的号称的SSL VPN产品?

　　现在有很多厂商声称自己的产品是SSL VPN，或者说融合了IPSec VPN和SSL VPN的功能，实际上大部分的厂商只是实现了SSL VPN中的网上应用程序，也就是Web反向代理的功能，某国内厂商大肆宣称的集IPSec VPN与SSL VPN于一体的设备也只是在原有的IPSec VPN的设备上加了一个Web反向代理的功能而已，根本不能称之为真正的SSL VPN产品。那么什么才是一个真正的SSL VPN产品?

　　前文说到SSL VPN从功能上说有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，其中网络访问是SSL VPN最为重要和标志性的功能，只有具备了网络访问这个看似IPSec VPN而又从根本上解决了IPSec VPN缺陷的功能才称得上是一款真正的SSL VPN产品。当然为了安全性考虑的终端安全检查和审计、与企业认证服务器的结合等功能也是一款优秀SSL VPN的必备功能。
　　
      www.vpnc.org中有通过该组织认证的SSL VPN厂商列表，也可以说，只有在这儿能够查到的SSL VPN厂商的产品，才是真正的SSL VPN产品。

　　3 如何衡量SSL VPN产品的性能?

　　谈到SSL VPN产品的性能，首先要区分的是SSL Server和SSL VPN，SSL Server相当于SSL VPN中的反向代理功能，二者的要求是不一样的，SSL Server面对的是业务系统，如电子商务网站、网上银行等等，它强调的是性能，目前国内可见的SSL Server产品性能可达20000TPS和4百万同时在线用户数;而SSL VPN面向的是远程接入即管理系统，它强调的是易于使用和管理、安全性等等，一个SSL VPN用户的登录包括SSL握手、认证、授权、记录日志等过程，其中认证、授权、记录日志所耗费的时间远远高于SSL握手，不可能达到SSL Server那样高的性能，如果需要非常高的性能，要使用多台SSL VPN堆叠来实现。

　　Spirent Avalanche是一款优秀的基于Web应用的测试仪器，但只适用于测试SSL Server性能，不适用于测试SSL VPN的性能，某厂商的设备集合了SSL Server 和SSL VPN的功能，虽然SSL Server的性能在业界根本不入流，但显然会高于SSL VPN的性能。该厂商利用大家对于SSL Server和SSL VPN之间认识的混淆，到处宣称使用Spirent Avalanche测试证明自己的SSL VPN具有很高的性能，实际上从测试过程可以发现，测试的只是其中SSL Server的性能。

　　SSL VPN的性能测试，因为涉及建立VPN隧道，非常复杂，只能使用业界某些测试软件如LoadRunner 加上厂家自己的动态库来实现，只能在厂家自己的测试实验室来做，试图用某种测试仪器来统一测试所有厂家的SSL VPN性能是行不通的，所以只能参考各个厂家自己提供的性能，当然，要区分大的上市企业公布的真实的性能指标的和某些小企业不负责任的信口胡言。