SSLVPN

谁在拖延SSL VPN的脚步
--------------------------------------------------------------------------------


个例子，一个公司在外地有四个分支机构。如果总公司和子公司之间都需要数据的相互传输、备份，这种情况适合IPSec VPN 的使用，因为数据的传输是双向的。

还是这个例子，假如总公司不需要向子公司传输大量的数据，相反，子公司需要向总公司进行数据的集中汇总，则SSL VPN 适合，因为数据的传输大部分是子公司向总公司单向传输的。这个情况比较明显，比如很多企业实现了ERP ，子公司业务数据需要安全地集中、汇总到企业总部。SSL VPN 在这种企业有销售的可行性。

如果企业的网络结构是星型分布，而且需要频繁访问企业中心数据，就很适合SSL VPN 方案；反之，如果企业网络多样化，既有星型，也有网状结构，那么适合IPSec VPN 方案。

再举个例子，目前很多连锁经营的企业，采取的是数据分级的传输方式。比如说一个超市，经常是POS 机里面的数据集中到本地服务器中，然后本地服务器再统一把数据传输到上一层的数据记重点……通常数据会采取分级传输机制。这种情况下，IPSec VPN 适合，SSL VPN 不适合。

一般来说，企业分支越多，SSL VPN 就越适合。如果企业只有2 、3 个分支的话，那么SSL VPN 和IPSec VPN 相比体现不出价格上的优势，如果分支超过10个左右，那么SSL VPN 的价格优势体现得相当明显。

当前SSL VPN 受到的限制还比较多，比如它无法像IPSec VPN 一样，可以支持几乎所有的应用，而且，SSL VPN 由于是在应用层面进行防护，它适用的环境是企业有“应用集中”的需求，比如说企业后台会有一台专门的“应用服务器（比如说Web 、Mail、ERP 等等）”，员工远程访问此应用服务器，SSL VPN 则对相关应用进行保护。但这也从另外一个方面说明，SSL VPN 不适合那些不需要中心“应用服务器” 做“中转”的应用，比如说一些员工和员工之间“点对点”类型的应用，象目前企业内部应用较多的数据语音通信等。

SSL VPN 的销售思路

渠道需要有更高的能力，才能销售好SSL VPN.“从渠道层面看，IPSec VPN 的渠道强调分销能力，SSL VPN 渠道则必须强调集成技术能力。” 高军认为，和IPSec VPN 不同，SSL VPN 需要SI考虑用户应用层面的安全防护，这和网络层面的安全防护明显不同。

这也是一个共识，网络层的安全控制相对容易掌握，相对说，应用层的安全控制十分负责难懂，因为它是最贴近用户应用的，只要用户的需求千差万别，那么应用层安全产品的配置就会随之而变。

北京安泰网安网络科技有限公司是一家相当专业的安全领域SI，这家公司98年开始做NetScreen 产品国内代理，现在，又签约F5公司，做为其SSL VPN 产品的独家代理。该公司总经理邓臻将SSL VPN 产品定位在中高端的安全产品，他承认SSL VPN 在国内市场不大，但他自言，已经寻求到了销售的思路。

“我们把SSL VPN 产品定位在网络安全领域的‘奢侈品’，所以SSL VPN 销售目标的目标客户定位在高端，他们有这个实力，也有这个需求。”邓臻说，目前已经有很多高端客户在和他们联系，甚至开始签约SSL VPN 产品。

相比IPSec VPN 设备，SSL VPN 设备无论是在价格，还是在形象上，都落在了高端的区域。这点销售渠道尤其需要注意。“从应用上来看，中小型企业需求在防火墙层次，VPN ，尤其是SSL VPN 距离它们比较遥远，而金融、电信等大行业客户最有可能率先采用。”邓臻说。

邓臻认为，销售好SSL VPN 需要渠道有以下几个方面基础：第一，定位准确，安泰网安的定位是高端客户；第二，有好的客户基础，由于以前销售NetScreen 的中高端产品，因此该公司客户也是以高端、大型客户居多；第三，需要找准好的品牌销售；第四，也是他认为最重要的，渠道需要有专业的服务来配合。

说到SI的服务似乎和本选题有些脱节，但是邓臻认为，安全领域的SI和其他领域SI最大的不同之处就在于服务能力，服务给安全领域SI带来的不仅是客户的认同，而且还能带来实际的收益。邓臻透露，目前该公司仅服务一项带来的利润，就在30％左右。“和IPSec VPN 产品比较，SSL VPN 对SI的服务能力提出了更高的要求，服务门槛也更高了，但我们更乐意看到好的服务能力给我们带来的丰厚回报。”

此外，渠道普遍反映，IPSec VPN 的服务利润很低，大家做得兴趣不大，而SSL VPN 则不然。“由于IPSec VPN 是在网络层面建立安全隧道，所以安装调试比较麻烦，需要在客户路由器或者防火墙端做配置工作，而且，客户端需要安装软件，很繁琐，我们的技术工程师的时间好多浪费在给客户端安装软件上了。”某SI说道。

销售SSL VPN 和销售防火墙产品有所不同，并非安全渠道手中有资金就可以玩转的。对于硬件防火墙产品来说，渠道进入的们门槛主要体现在：品牌（产品本身品牌、渠道自己打造出来的名气）、规模（操作安全产品的盘子有多大）、厂商支持（厂商能够提供认证、培训在内的服务上）、服务能力（渠道自己的服务能力）上面。

什么在驱动国内SSL VPN 发展

虽然SSL VPN 在国内安全领域蹒跚起步，但是它前景光明。远程安全访问是个未来业务趋势，尤其国内笔记本销售在逐年增长情况下，这种移动的计算通信工具迫切需要专门为其量身定做的远程安全访问方案，SSL VPN 无疑是最适合的一种。

而且，未来这种协同工作的趋势将会越来越明显。伴随企业信息化程度的加深，企业和分支、企业和外地员工之间联系将不随地域分隔而分开，从信息流的传输、交融角度来看，它们之间更向一个整体，远程安全访问、协同工作的需求会日益明显，这给SSL VPN 带来了用武之地。而且，国内已经有一些眼光超前的ISV 开始行动起来了，比如王志东所创办的“点击科技”，其产品所传达的理念，就是协同工作的模式。

第三，从国家对安全产品的限制来看，SSL VPN 的发展似乎也更符合我国“国情”。看IPSec VPN 产品，产品本身涉及到加密算法，而我国国家规定，在政府、军队等信息敏感部门，要采取经过国家相关部门认证的“第三方”加密算法。实际上，很多IPSec VPN 的厂商，都是在采取自己的一套加密算法，虽然大家也都在口头上表示支持第三方加密算法，但是在同自身硬件紧密结合上，以及由此带来的加密效率和性能体现上都不尽如人意。

所以我们经常可以看到这样一个“有趣”现象，很多国外安全厂商在竞标电子政务等项目时候，都把自己的IPSec VPN 产品当做是“防火墙”来申报，其原因，就是国家对加密算法的限制所致。

而SSL VPN 则不存在这个问题，由于其加密算法是由SSL 协议实现，而且这SSL 是在浏览器中受到支持。除非国家禁止浏览器的使用，否则就没有办法来严禁当前SSL VPN 的加密