SSLVPN

sp;VPN Gateway之间，采用SSL通讯端口443来作为传输通道，这个通讯端口，一般是作为Web Server对外的数据传输通道，因此，不需在防火墙上做任何修改，也不会因为不同应用系统的需求，而来修改防火墙上的设定，减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护，那么在日常办公中防火墙只开启一个443端口就可以，因此大大增强内部网络受外部黑客攻击的可能性。
最后我们对两者进行综合分析得知：
1、目前基于SSL的VPN网关都还是一种‘点到端’的模式，因而在‘端’处两种VPN都面临着‘端’内部的不安全性，如：内网数据的非法监听等等；
2、由于基于IPSEC的VPN本身也有严格的SPD（安全策略库），因此也只有响应的应用类型数据可以达到内部对应服务器，所以两者对防病毒的意义是相同的；
3、由于用户的应用系统存在着大量的基于C/S架构的业务系统，同时基于SSL的VPN产品技术可能还需支持DNS、SMTP、LDAP等其他管理和安全功能，所以它同样面临着多端口的安全威胁；而目前基于IPSEC的VPN已经做了很多技术的改进，所以所开放的协议和端口很少，同时加上防火墙/VPN一体机的这种结构，使得VPN和防火墙的访问控制技术很好结合起来，大大提供VPN自身的安全性。
三、SSL VPN与IPSec VPN相比，具有更好的可扩展性；
首先我们还是先认识一下IPSEC存在的不足之处：
IPSec VPN在部署时一般放置在网络网关处，因而要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可扩展性比较差。
其次我们再看看SSL的所谓优势特点：
而SSL VPN就有所不同，它一般部署在内网中任一节点处即可，可以随时根据需要，添加需要VPN保护的服务器，因此无需影响原有网络结构。
最后我们对两者进行综合分析得知：
1．由于目前国内知名的VPN厂商（如天融信等），就提供透明模式下的VPN网关，所以对用户原有的网络不做任何改变，包括主机路由、接入方式等方面；
2．同时由于VPN网关本身就是安全设备，所以它自身的安全性也非常重要，因此SSL VPN网关虽然提供简单的包过滤功能，但是远远不如防火墙/VPN一体机安全，因此SSLVPN网关需要通过防火墙进行特殊的安全保护部署；同时由于它位于防火墙后面，也使得SSL的数据无法被防火墙进行安全过滤，但在同等条件下防火墙/VPN一体机则很好解决了加密和防火墙的访问控制的矛盾。
四、SSL VPN在访问控制方面比IPSec VPN做的更细粒度；
为什么最终用户要部署VPN，究其根本原因，还是要保护网络中重要数据的安全，比如财务部门的财务数据，人事部门的人事数据，销售部门的项目信息，生产部门的产品配方等等。
首先我们还是先认识一下IPSEC存在的不足之处：
由于IPSec VPN部署在网络层，因此，内部网络对于通过VPN的使用者来说是透明的，只要是通过了IPSec VPN网关，他可以在内部为所欲为。因此，IPSec VPN的目标是建立起来一个虚拟的IP网，而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。
其次我们再看看SSL的所谓优势特点：
在电子商务和电子政务日益发展的今天，各种应用日益复杂，需要访问内部网络人员的身份也多种多样，比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是，SSL VPN重点在于保护具体的敏感数据，比如SSL VPN可以根据用户的不同身份，给予不同的访问权限。就是说，虽然都可以进入内部网络，但是不同人员可以访问的数据是不同的。
而且在配合一定的身份认证方式的基础上，不仅可以控制访问人员的权限，还可以对访问人员的每个访问，做的每笔交易、每个操作进行数字签名，保证每笔数据的不可抵赖性和不可否认性，为事后追踪提供了依据。
最后我们对两者进行综合分析得知：
1．目前基于SSL的VPN和基于IPSEC远程接入的VPN都采用的是点到端的模式，所以在进入内网后（VPN网关后）都面临着内部数据安全的问题，虽然两者都可以分别通过各自VPN的策略和认证的安全方式对用户进行相应的安全过滤；
2．只有基于点到点的SSL VPN才能真正做到每个应用、每笔业务的细粒度控制，但这需要服务器端提供直接的SSL接口，服务器系统本身提供强认证等安全功能，所以目前这种基于SSL的VPN网关方式还不能到达这种细粒度的要求。
五、使用SSL VPN相比IPSEC VPN也具有更好的经济性
首先我们还是先认识一下IPSEC存在的不足之处：
对于IPSec VPN来说，每增加一个需要访问的分支，就需要添加一个硬件设备。所以，尤其是对于一个成长型的公司来说，随着IT建设的扩大，要不断购买新的设备来满足需要。
其次我们再看看SSL的所谓优势特点：
使用SSL VPN只需要在总部放置一台硬件设备就可以，就可以实现所有用户的远程安全访问接入。
最后我们对两者进行综合分析得知：
1、但是我们知道基于IPSEC的VPN也支持点到端的方式（也就是指远程的‘点’用户连接总部VPN网关的‘端’用户），也就是说也可以支持总部放置一台硬件设备就可以了，其他都使用VPN客户端就可以了，况且国内外很多VPN客户端实质上都是免费的；
2、同时对于很多企业自己专用的业务应用系统（基于C/S架构的业务应用系统）来说，如果系统本身没有进行安全地设计SSL接口或者更本就没有提供的话，这种SSL的远程接入方式根本就没有办法满足用户需求。

综观上述，SSL VPN虽然有很多新颖的特点，但是无论从用户的实际出发还是我们作为基于IPSEC技术厂家的角度来说，大家都必须要冷静看待新技术的发展，其必然有个过程和局限性，特别是想取代目前成熟的安全技术时都有很大盲目性，对于我们而言就更是如此，希望此文章对于我们的销售还是技术都能有所帮助，谢谢大家的阅读！！！