快速便捷的虛擬通道—SSL VPN

安全通道也能夠提供良好便利性

隨著員工機動性提高，許多企業都在尋求一個能夠讓出差在外的員工，得以安全存取企業內部重要資料的方式，避免在關鍵時刻出現協同作業的差錯，而錯失商機，過去IPsec VPN在這方面可說是居功甚偉。

然而IPsec VPN的建置方式較不彈性，主要都是提供站臺對站臺（Site-to-Site）的服務，並使用兩臺相同設備作為閘道器，讓所管轄的內部區域網路（LAN）可以與其他LAN建立安全通道，這時設備之間的相容性是很重要的課題；如果遠端使用者想要與IPsec VPN閘道器建立通道，就必須另外安裝軟體才能夠使用，不但較為不便，設定及管理上都有一定的難度，使用門檻相當高。

反觀SSL VPN則可以讓使用者藉由瀏覽器取得伺服器端的授權，並經由SSL加密技術及身分認證機制保護連線，透過伺服器端的代理伺服器存取內部網路中的資源，使用上較IPsec VPN簡單，又不會因此喪失遠端連線必要的安全性，因此受到廣泛的注意。行動用戶及遠端使用者適用SSL VPN

SSL VPN建置模式屬於伺服器對用戶端（Server-to-Client）的方式，與IPsec VPN較為不同，因此設計重點在於有效降低用戶端的使用難度，因此採用網路上最常使用的瀏覽器作為連線工具，對於行動用戶及遠端使用者來說，只要在能夠連上網際網路的地方，就能夠透過瀏覽器連接內部網路，不需要另外安裝軟體即可連線，避免使用IPsec VPN連線軟體時可能發生的各種問題，降低了操作難度，使用上也更為便利。

MIS人員在建置SSL VPN的時候，只需要將伺服器當作一般的網頁伺服器即可，建置相當容易。

並且在IP網路上已有多種連線協定支援SSL加密機制，像是網頁瀏覽（HTTPS）、遠端登入（SSH）或是收發郵件（POP3S），可以提高行動用戶的工作效率，並且讓內部資源可以得到更有效的利用，也保障了安全性。

雖然許多廠商盡力加強SSL VPN的支援能力，但目前還是沒有辦法如同IPsec VPN一般提供完整的連線安全，僅能提供可支援SSL協定的安全防護，部分客制化的應用程式得到安全連線就無法使用SSL VPN連線，使用時還是會有部分限制。

相較於SSL VPN，IPsec VPN較為適合用在固定據點，結合現有基礎設備，提供兩點間安全的直接連線，使用者就不需安裝軟體及額外的設定，適用於企業的各分支據點間固定連線使用，雖然建置較為麻煩，但是能夠提供的安全保護較高。整合多種認證機制，強化資訊安全

雖然SSL VPN是透過網頁瀏覽的方式存取內部網路，但安全性不會因此降低，透過雙重的保護機制，使用者可以使用SSL加密機制保護連線資料的安全，也可以透過PKI功能保護使用者權限不受破壞。就算入侵者可以使用SSL VPN提供的認證連線，沒有適當憑證也無法取得相對應的權限，一樣不能有效的存取內部網路上的資料，藉此加強了遠端連線的安全。

一臺功能良好的SSL VPN閘道器，能支援多種使用者認證，包含本機資料庫、後端RADIUS或TACACS+伺服器、網域伺服器、RSA的SecurID、其他個人識別碼或是一次性密碼，如此才能有效提升安全性，並避免因遠端連線受監聽而造成的危險。除了連線保護及身分認證之外，還應該包含存取控制及防火牆功能，設定所有遠端使用者的權限及可連線的位置，避免合法使用者帳號被盜用，雖然影響了使用者的便利性，但是基於遠端連線可能帶來的風險，這點不便還是可以接受的。集中式管理，提高工作效率

HTTPS已經成為許多網路基礎設備的標準管理介面，不但易於使用也具備安全保護，讓MIS人員得以遠端控制，減少時間的浪費。透過SSL VPN的協助，總公司的MIS人員能夠透過網頁管理介面管理分支據點內的重要設備，不需要另外安裝集中管理設備或軟體，並可以得到即時資訊，檢視重要事項，並提供簡單易懂的報表供管理所需，具有即時性及高度機動性。

以Cisco VPN解決方案而言，透過IOS系統可以管理內部網路中所有的基礎網路設備，並且不需要額外安裝軟體，讓MIS人員可以透過單一介面管理整個網路架構，可以提升工作效率並降低設定難度。

除此之外，並整合了多種安全機制及延伸用途，不但可以互相備援，也能夠提供如網際通訊（VoIP）、頻寬管理與進階安全防護等加值功能，避免因多種設備供應商而可能造成的相容性或設定上的困難。

我們可以畫出兩條軸線區分出使用SSL VPN的適當時機：X軸是連線距離，當需要連線的地方距離伺服器端越遠時，越適合使用SSL VPN；Y軸則是連線數目，如果連線的數目較多時，使用IPsec VPN則是較好的選擇。這兩條軸線主要是以管理難度及便利性作為區隔，各企業也可依據需求不同選擇適當的連線方式。

當安全防護發展到一定水準，使用者就希望能夠得到更多的便利與機動性，SSL VPN能夠提供良好的安全性與機動性，正是迎合了使用者的需求。隨著效能的提升與功能的增加，這將會是未來遠端安全連線的主流，也是網路發展的趨勢。文⊙羅健豪