用户关于SSL VPN的两个误解，苏州寰润专业解答

苏州寰润信息科技有限公司2014年07月23日下午16:14最新报道显示：用户关于SSL VPN的两个误解，苏州寰润专业解答。苏州寰润信息科技有限公司，联系人：施女士，电话号码：***-801，传真号码：***，公司地址：苏州市桐泾北路218号来客茂商务大厦8楼808室。

需要澄清两个关于：

(1)    “点对点接入”与“远程接入”

VPN的使用方式有两种：一种是点对点(Site-to-Site)，即两个大型的局域网络通过VPN实现远程互连；另一种是远程访问(Remote-Access)，即远程主机通过VPN连入企业的内部网

络，访问内部网络资源。从组网功能上看，实现点对点互连的VPN网关其实是一个网络互连设备；而实现远程接入的VPN网关其实际作用相当于一台远程接入服务器。

目前具有加密功能的VPN有两种：IPSsec VPN与SSL VPN。由于历史原因，IPSsec VPN先发展起来，目前的IPSsec VPN产品大都支持点对点和远程访问两种接入方式。SSL VPN产品是

后发展起来的，主要应用在远程接入方面，但有的产品也宣称支持点对点的接入方式，我们认为这是不恰当的。

通过对两种VPN技术的分析，我们知道：IPSsec协议是工作在IP层的加密协议，且实现起来比较简单，所以IPSsec VPN网关相对来说性能高，运行起来简单可靠。但是由于工作在IP

层，用作远程接入的IPSsec VPN客户端实现较困难，配置和维护工作较复杂，给终端用户的使用带来不便。因而IPSsec VPN适合作为“点对点”接入方式的网关，不太适合作为“

远程访问”的网关。

而SSL协议，握手过程较复杂，且工作在TCP层，传输性能相对来说不高；高性能的网关其价格往往比同规格的IPSsec VPN网关高很多。所以相对而言，SSL VPN不适合“点

对点”的接入，但是SSL VPN在用户使用方面比较简单，在对网络应用的控制方面也较强，因而SSL VPN比较适合“远程访问”的接入方式。

综上所述，无论IPSsec VPN还是SSL VPN作为独立的VPN产品都不能很好地同时满足两种接入方式的需要，因而较理想的VPN产品应该同时提供IPSsec VPN和SSL VPN两种功能。由于

IPSsec协议和SSL协议都涉及到大量的加密计算，因而高性能的VPN产品应该对这两种协议同时提供硬件加速功能。

(2)    免客户端

有的产品在介绍SSL VPN时，宣称免客户端。这其实是不确切的。SSL VPN最吸引人的地方就是Web接入方式，即只使用Web浏览器就可以访问SSL VPN了，此时不需要使用额外的客户

端软件。在这种情况下，才能称为免客户端。当然严格说来，Web浏览器本身就是一种客户端软件，是Web服务器的客户端，只是这种客户端软件被目前所有的操作系统所免费提供

，不计入的成本而已。

在实际使用中，为了支持Web以外的网络应用，SSL VPN也需要通过网页中的控件下载客户端程序，该程序将作为运行在远程主机上的VPN客户端软件，实现与内部网络的互连。在这

种情况下，SSL VPN也是有客户端的，只不过SSL VPN的客户端不用预先安装，也不用做任何配置，可以自动下载，自动运行，在用户退出系统时，自动删除。