8款SSL VPN 產品採購大特輯

保護資訊安全已經成為目前企業使用網際網路連線時最基本的認知與政策，但是根據IDC於6月11日公布的調查報告中指出，臺灣企業在資訊安全的建置中，建置最早也最多的是防毒系列產品，其次則是防火牆與入侵偵測系統，最為缺乏的是網路安全的控管政策與VPN。並且根據投資金額比較，資安部分的投資近五年約成長1倍，但電子商務部分卻超過4倍，因此造成各類資安事件頻傳，風險不斷升高的原因。為了日漸增加的企業採購需求，我們特別測試了8款SSL VPN設備，供企業採購時的參考。

資訊安全的保護層面相當多種，一套完善的企業安全防護系統，應該包含單點上的防毒軟體、各類軟體更新，點與點間的防火牆與入侵偵測防禦系統，到構築兩點間安全通道的VPN等，透過不同的保護方式建構出安全的網路架構，才能在現今資訊交換如此頻繁的環境中，保障企業網路的安全。

不過，高度的安全防護就代表著資訊交流上有著高度的不便，防火牆可以阻擋不合公司政策的封包通過，但是也降低了通訊上的彈性，遠端辦公室或行動員工就無法穿越防火牆存取內部網路上的資料，以現在交流頻繁的狀況來說，這樣反而妨礙了企業發展，企業為了解決這種問題，不是開放防火牆上的特定連接埠，就是導入VPN以建構安全的網路連線。

在SSL（Secure Socket Layer） VPN出現之前，IP網路除了使用專線之外，就只能使用IPsec VPN構築專用通道，在企業各據點間透過IPsec VPN有效建構出企業外部網路，達到相當良好的安全性，可以有效轉送第二層的封包，因此不管是任何軟體或協定都可以通過，對應用程式的支援度相當好，不過需要在各據點都建置一臺可相容的IPsec VPN閘道器，成本相對提高不少；對於行動使用者而言，使用IPsec VPN連接回企業網路就相當麻煩，必須安裝相對應的客戶端連線軟體，並且還需要根據安全政策設定許多不同的參數，往往會造成連線上的麻煩，徒然增加網管人員的負擔，雖然具備良好的通透性，但是卻失去了便利性。時至今日，雖然Windows XP中已經納入了IPsec VPN的連線撥號程式，並且簡化大部分的設定值，但是依然相當複雜，並且存在著潛在的安全風險。如何建置安全的企業網路連線

要建置出安全的企業網路連線，就必須從三個方面著手以建立良好的安全觀念及措施：用戶端安全、企業門戶保全以及網路連線保障。

為了保障用戶端的安全，使用者必須牢記下列事項：不使用危險程式，安裝並定期更新相關病毒檔或防火牆，企業則可以透過自動配發更新檔、系統偵測等協助使用者將系統保持在最佳狀態。

企業門戶保全主要依靠防火牆與IDS等方式保全，不過這些被動式的防護方式雖然可以保障內部網路不受侵害，但是卻沒有辦法提供行動工作者相當的便利性，這時就需要能夠保障網路連線的VPN架構，以補強便利性的不足。透過SSL VPN降低使用難度

有鑑於IPsec VPN對於行動使用者的支援度不足，許多企業都希望能夠找到一種解決方法，既能夠確保連接時的安全性，又可以兼顧使用上的便利性，隨著加密技術與網路轉址技術的加強，SSL VPN就此出現。

其實在SSL VPN出現之前，諸如ftp、telnet、mail、http等多種常用通訊協定都支援SSL，在遠端管理或是電子商務部分就已經廣為使用，但是都僅能保護單點之間的連線，沒有辦法將安全連線延伸至後端，而SSL VPN就可以透過非對稱密鑰的方式提供安全的入口網站，讓使用者僅需要使用瀏覽器就可以安全地存取企業內部網路上的資訊，不需要額外安裝任何用戶端軟體，可兼具安全性與便利性。

對於遠端使用者來說，時常需要連接回企業內部網路的用途，多半是收發郵件、存取檔案之類單純的作業；對於較為複雜的CRM或ERP等需要使用資料庫的系統來說，只要該系統的伺服器具備入口網站或是使用固定服務埠連線，就可以使用SSL VPN提供遠端連線的功能，能夠提供遠端使用者良好的機動性。SSL VPN雖然並沒有辦法做到如同IPsec VPN一樣建構出完整的安全通道，不過透過Java程式的協助，可以將資料封包包裝起來，並透過SSL加密通道傳輸到遠端使用者的電腦上，就像是在內部網路一樣。IPsec VPN？SSL VPN？或是其他方式？

就在SSL VPN引起風潮的同時，2003年12月底在日本由大學生自行撰寫的SoftEther也引起了相當大的衝擊，除了可以免費取得之外，使用「Ethernet over TCP」的技術得以有效穿越防火牆與NAT的限制，並且能夠支援第二層傳輸的功能，彈性更大且使用較為簡單，具有相當優異的表現。

可是這些優點也引起了一定的疑慮，在企業網路來說，重要是安全政策的設定與控管，雖然SoftEther這類軟體會在資料封包中加入「SoftEther Protocol」標示字串，讓防火牆得以檢視並監控，不過當採用HTTPS作為傳輸協定時，只要安全政策允許，防火牆就無法阻擋，雖然能夠如同IPsec VPN般建立起兩端點的連線，卻容易造成安全上的漏洞。

IPsec VPN也有類似的麻煩，雖然可以保障兩點或區域間的連線安全無虞，卻無法檢查在之中傳遞的封包是否安全，倘若連線中有一臺受到病毒感染的電腦，就可以很輕易的透過IPsec VPN避開各類安全檢查關卡，進而感染內部網路上未受保護的電腦。幸好許多廠商已經發現此類問題並提出解決方式，這項解決方式是採用WatchDog機制，在建立連線的初期就規定用戶端電腦必須具備特定的防毒程式或監控軟體，合乎安全規範才准予建立連線，以確保內部網路的安全。

不管是何種VPN連線，其實都只是一種防護方式，藉由建構出安全通道傳遞使用者所需的資訊，並沒有辦法杜絕受到污染的封包四處擴散。

其上必須有設計良好的安全政策管理連線的權限與目的地，依據不同使用者的權限，避免一般使用者破壞重要性高的資料；其下也必須有防毒軟體配合，確保傳遞的封包乾淨無毒，以免病毒肆虐。文⊙羅健豪