SSL VPN是为了解决IPSec VPN存在的问题而开发的，但SSL VPN也有诸多局限。由于每种解决方案都有各自的优缺点，所以，如今许多厂商都同时提供这两种解决方案，每种方案应用于不同场合。但即便如此，每项技术固有的问题依然存在，所以，用户显然需要一种解决方案，既结合IPSec VPN和SSL VPN的优点，又归避两者的缺点。这样的解决方案存在吗？

　　最近几年，许多企业都部署了VPN解决方案，通常可以分为三类：

　　首先是PPTP和L2TP VPN，这类方案采用了一项名为通用路由封装（Generic Routing Encapsulation，GRE）的技术。它是一种因特网协议，可以让发往某个网络的数据包经加密后，一个包接一个包地发送到可信服务器。然后，服务器拆开数据包，重新发送到专用网上。微软推出的PPTP/GRE方案就利用了GRE，并采用微软的算法对数据进行加密。

　　另一种是IPSec VPN，它也依靠GRE（IPSec/GRE）以及另一种名为封装安全载荷（Encapsulating Security Payload，ESP）的协议，IP数据包进行封装和加密处理。不过，与PPTP和L2TP相比， IPSec方案更安全、更可靠，这归功于IPSec选择及支持的加密算法。

　　第三类是SSL VPN方案，它只允许通过安全的Web浏览器，访问某几种具有Web功能的应用。它只能访问使用标准Web创作工具如HTML和JavaScript的应用。这项技术可以分析每个网页，确保从该网页引出的程序化的导航路径通过安全连接，转发到SSL VPN服务器。

　　胖客户机VPN存在重大缺陷

　　PPTP/L2TP和IPSec两种VPN解决方案因彼此相似而常常被归为一类，因为它们都使用客户软件，并依赖GRE。不过，两者都存在一些重大缺点，首先，IPSec、PPTP和L2TP（下文统称为IPSec）解决方案需要使用胖客户机，这给企业带来了很多管理难题和高昂的支持费用。胖客户机解决方案需要企业动用庞大的支持队伍，帮助终端用户安装、维护及排除故障。

　　另外，GRE不能透过NAT（网络地址转换）防火墙。NAT防火墙是一种常用的网络设备，它可以为企业建立专用网，那样专用网上的计算机就可以跟公共（或者外部）网络建立连接、收发数据，但来自外部的连接通常无法实现。NAT防火墙提供了安全性，隐藏了内部计算机，从而保护企业免受入侵以及对专用信息的未授权访问。

　　许多防火墙无法通过隧道传送GRE和ESP有效载荷，就算它们能够通过隧道传送这些数据包，系统管理员也往往会关闭NAT防火墙中的这项特性，以防止员工在本地可信专用网和客户机准备远程接入的另一个专用网之间建立一条隧道（下面会解释其中原因）。

　　此外，GRE还可以为专用网上的计算机分配专用网的IP地址，而这个IP地址对该计算机所连的专用网来说是可见的，因而带来了重大安全漏洞。如图1所示，企业B里面的计算机X将与企业A建立GRE连接。潜伏在企业A里面的蠕虫现在就能通过GRE隧道，复制到计算机X上，因为该IP地址对企业A的专用网（已被感染）来说是可见的。现在，蠕虫再通过计算机X，就能感染企业B里面的其他计算机，这是很可怕的。

　　在图中，企业B的专用网地址为10.10.0.0，企业A的专用网地址为192.168.1.0。计算机X建立了通向企业A的GRE隧道后，现在就获得了企业A的专用IP地址，即192.168.1.0。所以，计算机X现在属于两个专用网，能够在两个网络之间充当网桥。蠕虫（图中所示的虚线）现在可以到达IP地址：192.168.1.0（计算机X），进而可以到达10.10.0.0网络上的其他机器。

　　最后还有一个问题就是IPSec VPN不允许从公共计算机如信息亭（kiosk）接入专用网。


·IT产品报价大全