導入SSL VPN的注意事項

目前企業員工在外工作的比例逐漸增加，雖然可以提供客戶良好的服務彈性與機動性，但是卻不見得能夠得到企業即時且有效的資源協助，除了距離與時間的差距之外，最大的問題就是沒有辦法取得必須的內部資源，傳統上會使用IPsec VPN做為解決方案，但是IPsec VPN存在著不少先天限制，對於臨時與短期使用的支援彈性不足，容易造成錯誤，因此許多企業都開始評估SSL VPN的可行性。SSL VPN雖然具備許多優勢可解決IPsec VPN的困擾，但是企業仍然需要先行作好多項準備，才能有效導入。適合人數少且短期使用，可提供良好彈性

評估是否需要導入SSL VPN時，使用人數的多寡，及需要服務的地點是相當重要的決定因素。倘若需要提供服務的地點是分支辦公室，人數較多且地點固定，則應該使用IPsec VPN提供較好的網路延伸性及整合性，因為設備與地點是受到管理且可信任的，透過IPsec VPN，我們可以建置出虛擬的內部網路，並可以保障VoIP網路，而不必特別擔心受到攻擊。

如果需要服務的人是機動性高，並且以個人為主，則使用SSL VPN可以提供相當好的使用彈性。因為不管使用者在何處，使用何種設備連接網路，只要能夠開啟瀏覽器，就可以連接SSL VPN取得所需的資訊。雖然能夠提供的服務較IPsec VPN少，不過以目前SSL VPN所提供的預設服務來看，常用的服務都已納入服務範圍，在臨時急用上不會造成太多的困擾。環境規畫不可少，透過Web可降低建置難度

隨著企業e化的腳步，許多企業內部的應用服務都已經使用網頁的方式提供服務，在這種環境之中，SSL VPN不需要特別修改設定，就可以提供相當好的支援服務，除了內部使用方便之外，對於外部使用者也不用擔心會有設定錯誤的狀況發生，具有良好的相容性。

不過有許多企業內部專用的應用服務沒有辦法直接支援網頁介面，像是Exchange、資料庫、早期的CRM、ERP等系統等，這些系統大多不具備網頁介面，因此在導入SSL VPN時，這些企業首要之務就是確認系統的彈性，是否可以透過網頁連接執行相關功能。像是Exchange可以透過Outlook Web Access（OWA）介面提供網頁服務的方式；或是另行編寫網頁，將與資料庫相關的功能轉成網頁呈現。如果沒有辦法透過網頁使用，甚至是必須透過專用客戶端程式連接，則應該重新編寫系統，才能夠有效支援SSL VPN，或是改採IPsec VPN，以解決這些困難。企業必須先選擇需要開放的應用服務，並且檢視這些應用服務是否能夠有效支援網頁介面，或是可以透過轉接器轉換，否則只是徒增導入時的困擾。用戶端依然需要必須的保護措施

導入VPN環境最需要注意的是安全防護的問題，因為雖然導入了VPN，可是保全的僅僅是兩點間的通道，並沒有辦法保障傳輸內容的安全，很容易造成安全上的漏洞。以建置環境而言，防火牆通常都放置在VPN設備的前方，允許加密封包直接通過。不管是防火牆或是IDS等設備，都無法檢視封包內容，當含有病毒或攻擊的封包通過安全通道進入內部網路後，就很容易影響其他的電腦設備，造成無法估計的損失。

雖然SSL VPN在概念上就是提供不受管理與信任的用戶端設備連線，但是用戶端仍需要安裝相關的防毒軟體與個人防火牆，避免成為他人的跳板而讓內部網路受到安全威脅。部分的VPN設備已經導入了安全政策管理機制，會自動檢視用戶端電腦中是否含有特定的防毒程式與病毒碼，可以依據企業要求而自行訂定，只要不合乎預設政策的用戶端電腦，就無法使用部分服務，甚至是不允許連線，藉以加強安全控管。

SSL VPN是新起的技術，可以提供安全連線，不過功能支援及安全控管部分還有許多進步的空間，各廠商都不斷的改進設備，吸收IPsec VPN的優點，並搭配其他安全控管方式，提供更好更有彈性的服務。文⊙羅健豪