多元風貌的企業守門人

VPN（虛擬私人通道連線技術）是企業普遍用來確保資訊通訊保密的措施，此項技術可讓通訊的兩方建立起加密的虛擬通訊通道。之所以稱之為虛擬通道，就在於不必採用專有線路，即可透過網際網路建立一條看似只有通訊兩端才知道的虛擬通道，並且將所有傳遞訊息加密保護。

在VPN技術中，IPSec VPN是企業應用行之有年的成熟技術；不過，近年來另一種VPN技術則以挑戰典範的姿態上陣，那就是採用SSL加密技術的SSL VPN。

SSL VPN技術的最大目的，是要讓資訊通訊保密既安全且易用。由於所有瀏覽器都支援SSL加密，因此用戶端只要透過瀏覽器來連線（現在的電腦幾乎都配備瀏覽器），而企業裏的SSL VPN伺服器則負責數位認證。在SSL VPN架構中，IT人員大部分的工作在於SSL VPN伺服器；然而，在IPSec VPN架構中，用戶端必須先安裝特定的連線軟體，因而IT人員要面對部署與設定用戶端的工作。如果連線用戶端的數量眾多、電腦組態多樣，而且分散於各地，那麼用戶端的部署與後續維護的工作將會是很大的負擔。

由於SSL VPN兼顧安全性與便利性，近年來大受企業歡迎，業者也因而相繼推出相關設備。現在，你不僅只是能買到專屬的SSL VPN設備，有更多的網路設備或資安設備都紛紛整合SSL VPN功能。

然而，這些SSL VPN設備都是一樣的嗎？其實不然。為了強化SSL VPN架構中用戶端電腦的安全性，SSL VPN設備開始朝向不同的面向發展。

SSL VPN就連線運作來說是兼顧通訊安全性與部署便利性，但放大到整體資安架構來看，用戶端電腦的安全風險，將是SSL VPN連線安全性的最大風險。如果用戶端電腦已經感染蠕蟲或潛藏惡意程式，在建立起SSL VPN連線之後，企業網路大門的諸多安全防護將形同虛設，蠕蟲或惡意程式可藉此進入企業網路，造成難以防範的內部攻擊；而且，連帶由SSL加密後，過濾設備要能辨別加密內容裏的安全威脅有其難處。

此外，由於SSL VPN連線只需要瀏覽器即可，若企業未加規範，則員工可能透過公用電腦的瀏覽器連線，然而，公用電腦的安全性堪慮，再者，連線回企業系統後，極可能在公用電腦裏留下暫存檔，而這些連線或應用系統的片斷資訊，對於有心人士而言卻是極佳的線索，難保其藉此找到入侵企業網路的方法。

滴水不漏的安全防護程度與彈性十足的使用便利性，本來就是難以兩全齊美的，應衡量風險後找到平衡點。為了強化SSL VPN架構的整體風險，有些廠商已經開始提出相關的作法，企圖讓SSL VPN成為更便利更安全的遠端連線方案。本期企業採購特輯，我們測試了5款主流的SSL VPN設備，你可以從中看到SSL VPN技術的發展，已經從昔日的網頁延伸至與應用程式整合，甚至還實作了虛擬網路卡的功能，可預期SSL VPN未來將發展出不同的風貌。