論IPSecVPN和SSLVPN的優(yōu)劣及適應(yīng)性

-.z.論IPSecVPN和SSLVPN的優(yōu)劣及適應(yīng)性陳侃侃1380081虛擬專用網(wǎng)絡(luò)1.1虛擬專用網(wǎng)絡(luò)(VPN：VirtualPrivateNetwork)VPN是通過公用網(wǎng)絡(luò)〔如Internet〕建立一個(gè)臨時(shí)的、平安的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的平安、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的開展，企業(yè)規(guī)模日益擴(kuò)大，客戶分布日益廣泛，合作伙伴日益增多，傳統(tǒng)企業(yè)網(wǎng)基于固定地點(diǎn)的專線連接方式，已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)在自身網(wǎng)絡(luò)的靈活性、平安性、經(jīng)濟(jì)性、擴(kuò)展性等方面提出了更高的要求。虛擬專用網(wǎng)〔VPN〕以其獨(dú)具特色的優(yōu)勢(shì)，可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供給商同公司的內(nèi)部網(wǎng)建立可信的平安連接，并保證數(shù)據(jù)的平安傳輸。因此，虛擬專用網(wǎng)贏得了越來(lái)越多的企業(yè)的青睞，通過將數(shù)據(jù)流轉(zhuǎn)移到低本錢的網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)這也將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理。令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù)，更多地致力于企業(yè)商業(yè)目標(biāo)的實(shí)現(xiàn)。如下列圖可以清楚的看到目前流行的，應(yīng)用比較廣泛兩種VPN的連接方式——IPsecVPN和SSLVPN。圖11.2VPN有多種，每種都能滿足特定的需求下面是二種主要的VPN：1〕內(nèi)部網(wǎng)接入VPN：接入VPN讓移動(dòng)辦公者和小型辦公室/家庭辦公室SOHO能通過根底的共享設(shè)施遠(yuǎn)程接入總部的內(nèi)部網(wǎng)和外聯(lián)網(wǎng)。該方式使用專用連接通過共享根底設(shè)施將地區(qū)性辦事處和遠(yuǎn)程辦公室與總部的內(nèi)部網(wǎng)絡(luò)連接起來(lái)。內(nèi)部網(wǎng)接入VPN與外聯(lián)網(wǎng)VPN區(qū)別在于，前者只允許企業(yè)的雇員訪問。2〕外聯(lián)網(wǎng)VPN：〔"外聯(lián)網(wǎng)(E*tranet)〞是不同單位間為了頻繁交換業(yè)務(wù)信息，而基于互聯(lián)網(wǎng)或其他公網(wǎng)設(shè)施構(gòu)建的單位間專用網(wǎng)絡(luò)通道。因?yàn)橥饴?lián)網(wǎng)涉及到不同單位的局域網(wǎng)，所以不僅要確保信息在傳輸過程中的平安性，更要確保對(duì)方單位不能超越權(quán)限，通過外聯(lián)網(wǎng)連入本單位的內(nèi)網(wǎng)?！惩饴?lián)網(wǎng)VPN使用專用連接通過共享根底設(shè)施將商業(yè)伙伴與總部網(wǎng)絡(luò)連接起來(lái)。外聯(lián)網(wǎng)VPN與內(nèi)部網(wǎng)VPN的區(qū)別在于，前者允許企業(yè)以外的用戶訪問。1.3IPSecVPNIPSec是現(xiàn)在企業(yè)網(wǎng)絡(luò)通訊應(yīng)用中被廣泛使用的加密及隧道技術(shù)，同時(shí)也是在不犧牲平安性前提下，被選用來(lái)在網(wǎng)絡(luò)第三層建立IP-VPN的方法，特別是對(duì)于無(wú)法負(fù)擔(dān)FrameRelay或ATM高額費(fèi)用的中小企業(yè)而言，IPSec的應(yīng)用是一項(xiàng)福音。而目前SSLVPN以其設(shè)置簡(jiǎn)單無(wú)需安裝客戶端的優(yōu)勢(shì)，越來(lái)越受到企業(yè)的歡送，可望成為未來(lái)企業(yè)確保信息平安的新寵。IPSecVPN即指采用IPSec協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù),IPSec是IETF(InternetEngineerTaskForce)正在完善的平安標(biāo)準(zhǔn)，相對(duì)于SSLVPN而言應(yīng)用較早的一種VPN技術(shù)。IPSec協(xié)議是一個(gè)范圍廣泛、開放的虛擬專用網(wǎng)平安協(xié)議,它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的平安通信。IPSec是基于網(wǎng)絡(luò)層的，不能穿越通常的NAT、防火墻。1〕IPsec協(xié)議IP_SECURITY協(xié)議(IPSec)，通過相應(yīng)的隧道技術(shù)，可實(shí)現(xiàn)VPN。IPSec有兩種模式：隧道模式和傳輸模式。IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)平安的一整套體系構(gòu)造，包括網(wǎng)絡(luò)認(rèn)證協(xié)AuthenticationHeader(AH)、封裝平安載荷協(xié)議EncapsulatingSecurityPayload(ESP)、密鑰管理協(xié)議InternetKeyE*change(IKE)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。IPSec規(guī)定了如何在對(duì)等層之間選擇平安協(xié)議、確定平安算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)平安效勞。2〕IPSecVPN接入通過在兩站點(diǎn)間創(chuàng)立隧道提供直接〔非代理方式〕接入，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的透明訪問；一旦隧道創(chuàng)立，用戶PC就如同物理地處于企業(yè)LAN中。就通常的企業(yè)高級(jí)用戶〔PowerUser〕和LAN-to-LAN連接所需要的直接訪問企業(yè)網(wǎng)絡(luò)功能而言，IPSec無(wú)可比較。然而，典型的SSLVPN被認(rèn)為最適合于普通遠(yuǎn)程員工訪問基于Web的應(yīng)用。SSLVPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec，這項(xiàng)不需要客戶軟件的功能正是一個(gè)重要因素。因?yàn)樽罱K用戶防止了攜帶便攜式電腦，通過與因特網(wǎng)連接的任何設(shè)備就能獲得訪問，SSL更容易滿足大多數(shù)員工對(duì)移動(dòng)連接的需求。但SSLVPN也有其缺點(diǎn)：業(yè)內(nèi)人士認(rèn)為，這些缺點(diǎn)通常涉及客戶端平安和性能等問題。對(duì)E-mail和Intranet而言，SSLVPN是很好；但對(duì)需要較高平安級(jí)別〔SSLVPN的加別通常不如IPSecVPN高〕、較為復(fù)雜的應(yīng)用而言，就需要IPSecVPN。3〕IPSecVPN的應(yīng)用是提供站點(diǎn)到站點(diǎn)連接的首要工具，通過這種連接，你可以在廣域網(wǎng)〔WAN〕上實(shí)現(xiàn)根底設(shè)施到根底設(shè)施的通信。而SSLVPN不需要客戶軟件的特性有助于降低本錢、減緩遠(yuǎn)程桌面維護(hù)方面的擔(dān)憂。但是，SSL的局限性在于，只能訪問通過網(wǎng)絡(luò)瀏覽器連接的資源。所以，這要求*些應(yīng)用要有小應(yīng)用程序，這樣才能夠有效地訪問。如果企業(yè)資產(chǎn)或應(yīng)用沒有小應(yīng)用程序，要想連接到它們就比較困難。因而，你無(wú)法在沒有客戶軟件的環(huán)境下運(yùn)行，因?yàn)檫@需要*種客戶軟件豐富〔Client-Rich〕的交互系統(tǒng)。1.4SSLVPN1〕SSLVPN協(xié)議SSL協(xié)議提供了數(shù)據(jù)私密性、端點(diǎn)驗(yàn)證、信息完整性等特性。SSL協(xié)議由許多子協(xié)議組成，其中兩個(gè)主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。握手協(xié)議允許效勞器和客戶端在應(yīng)用協(xié)議傳輸?shù)谝粋€(gè)數(shù)據(jù)字節(jié)以前，彼此確認(rèn)，協(xié)商一種加密算法和密碼鑰匙。在數(shù)據(jù)傳輸期間，記錄協(xié)議利用握手協(xié)議生成的密鑰加密和解密后來(lái)交換的數(shù)據(jù)。2〕SSLVPN的接入SSL獨(dú)立于應(yīng)用，因此任何一個(gè)應(yīng)用程序都可以享受它的平安性而不必理會(huì)執(zhí)行細(xì)節(jié)。SSL置身于網(wǎng)絡(luò)構(gòu)造體系的傳輸層和應(yīng)用層之間。此外，SSL本身就被幾乎所有的Web瀏覽器支持。這意味著客戶端不需要為了支持SSL連接安裝額外的軟件。這兩個(gè)特征就是SSL能應(yīng)用于VPN不同于IPsec-vpn的關(guān)鍵點(diǎn)。3〕SSLVPN的應(yīng)用典型的SSLVPN應(yīng)用如OpenVPN,是一個(gè)比較好的開源軟件。PPTP主要為那些經(jīng)常外出移動(dòng)或家庭辦公的用戶考慮;而OpenVPN主要是針對(duì)企業(yè)異地或兩地總分公司之間的VPN不連續(xù)按需連接，例如ERP在企業(yè)中的應(yīng)用。OpenVPN允許參與建立VPN的單點(diǎn)使用預(yù)設(shè)的私鑰，第三方證書，或者用戶名/密碼來(lái)進(jìn)展身份驗(yàn)證。它大量使用了OpenSSL加密庫(kù)，以及SSLv3/TLSv1協(xié)議。OpenVPN能在Linu*、*BSD、MacOS*與Windows2000/*P上運(yùn)行。它并不是一個(gè)基于Web的VPN軟件，也不與IPsec及其他VPN軟件包兼容。2IPSecVPN和SSLVPN的優(yōu)劣2.1部署方案IPSECVPN是設(shè)計(jì)來(lái)保護(hù)私有的數(shù)據(jù)流從各種不被信任的網(wǎng)絡(luò)傳送到信任的網(wǎng)絡(luò)。IPSecVPN在部署時(shí)一般放置在網(wǎng)絡(luò)網(wǎng)關(guān)處，因而要考慮網(wǎng)絡(luò)的拓?fù)錁?gòu)造，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)構(gòu)造，則IPSecVPN就要重新部署，因此造成IPSecVPN的可擴(kuò)展性比較差。由于工作在第三層，對(duì)上層的應(yīng)用是透明的，幾乎可以為所有的應(yīng)用提供效勞，包括客戶端/效勞器模式和*些傳統(tǒng)的應(yīng)用及網(wǎng)絡(luò)共享等。以IPSecVPN作為點(diǎn)對(duì)點(diǎn)連結(jié)方案，可以提供網(wǎng)與網(wǎng)之間的連接。SSLVPN工作在網(wǎng)絡(luò)層和應(yīng)用層之間，它一般部署在內(nèi)網(wǎng)中任一節(jié)點(diǎn)處即可，可以隨時(shí)根據(jù)需要，添加需要VPN保護(hù)的效勞器，因此無(wú)需影響原有網(wǎng)絡(luò)構(gòu)造。大多數(shù)SSL的VPN都是基Web瀏覽器工作的，基于Web訪問的開放體系和一些特定的系統(tǒng)如郵件，ftp等，主要用于單機(jī)對(duì)效勞器的訪問。瀏覽器/效勞器〔Browser/Server〕構(gòu)造，簡(jiǎn)稱B/S構(gòu)造，與C/S構(gòu)造不同，其客戶端不需要安裝專門的軟件，只需要瀏覽器即可，瀏覽器通過Web效勞器與數(shù)據(jù)庫(kù)進(jìn)展交互，可以方便的在不同平臺(tái)下工作?？蛻魴C(jī)/效勞器〔Client/Server〕構(gòu)造，簡(jiǎn)稱C/S構(gòu)造。效勞器通常采用高性能的PC、工作站或小型機(jī)，并采用大型數(shù)據(jù)庫(kù)系統(tǒng)，如ORACLE、SYBASE、SQLServer。客戶端需要安裝專用的客戶端軟件來(lái)實(shí)現(xiàn)與效勞器端進(jìn)展交互。SSL這種方案可以解決OS客戶軟件問題、客戶軟件維護(hù)問題，但肯定不能完全替代IPSecVPN，因?yàn)樗麄兏髯运鉀Q的是幾乎沒多少重疊的兩種不同問題：1〕SSL優(yōu)勢(shì)其實(shí)主要集中在VPN客戶端的部署和管理上，我們知道SSL無(wú)需安裝客戶端，主要是由于瀏覽器內(nèi)嵌了SSL協(xié)議，也就是說(shuō)是基于B/S構(gòu)造的業(yè)務(wù)時(shí)，可以直接使用瀏覽器完成SSL的VPN建立；但如果客戶的應(yīng)用系統(tǒng)采用的是C/S構(gòu)造的話，仍然需要安裝Client軟件；2〕目前進(jìn)展VPN部署的用戶大局部都是要求對(duì)現(xiàn)有業(yè)務(wù)需要支持的用戶，而據(jù)統(tǒng)計(jì)這樣的用戶95％以上都有基于C/S架構(gòu)的重要應(yīng)用系統(tǒng)，也就是說(shuō)其"Client軟件無(wú)需安裝〞的優(yōu)勢(shì)是有很大局限性的；3〕基于B/S構(gòu)造的平安性劣于基于C/S構(gòu)造；4〕基于IPSEC的VPN雖然在業(yè)務(wù)應(yīng)用基于B/S上沒有基于SSL的方便，但在業(yè)務(wù)應(yīng)用基于C/S方面卻存在很大優(yōu)勢(shì)。2.2平安性1〕平安測(cè)試－IPSecVPN已經(jīng)有多年的開展，有許多的學(xué)術(shù)和非營(yíng)利實(shí)驗(yàn)室，提供各種的測(cè)試準(zhǔn)則和效勞，其中以ICSALabs是最常見的認(rèn)證實(shí)驗(yàn)室，大多數(shù)的防火墻，VPN廠商，都會(huì)以通過它的測(cè)試及認(rèn)證為重要的基準(zhǔn)。但SSLVPN在這方面，則尚未有一個(gè)公正的測(cè)試準(zhǔn)則，但是ICSALabs實(shí)驗(yàn)室也開場(chǎng)著手SSL/TLC的認(rèn)證方案，預(yù)計(jì)在今年底可以完成第一階段的Crypto運(yùn)算建置及根底功能測(cè)試程序。2〕認(rèn)證和權(quán)限控管－IPSec采取InternetKeyE*change(IKE)方式，使用數(shù)字憑證(DigitalCertificate)或是一組SecretKey來(lái)做認(rèn)證，而SSL僅能使用數(shù)字憑證，如果都是采取數(shù)字憑證來(lái)認(rèn)證，兩者在認(rèn)證的平安等級(jí)上就沒有太大的差異。SSL的認(rèn)證，大多數(shù)的廠商都會(huì)建置硬件的token，來(lái)提升認(rèn)證的平安性。對(duì)于使用權(quán)限的控管，IPSec可以支持「Selectors」，讓網(wǎng)絡(luò)封包過濾阻隔*些特定的主機(jī)應(yīng)用系統(tǒng)。但是實(shí)際作業(yè)上，大多數(shù)人都是開發(fā)整個(gè)網(wǎng)段(Subset)，以防止太多的設(shè)定所造成的麻煩。SSL可以設(shè)定不同的使用者，執(zhí)行不同的應(yīng)用系統(tǒng)，它在管理和設(shè)定上比IPSec簡(jiǎn)單方便許多。在電子商務(wù)和電子政務(wù)日益開展的今天，各種應(yīng)用日益復(fù)雜，需要訪問內(nèi)部網(wǎng)絡(luò)人員的身份也多種多樣，比方可能有自己的員工、控股公司的工作人員、供貨商、分銷商、商業(yè)合作伙伴等等。與IPSecVPN只搭建虛擬傳輸網(wǎng)絡(luò)不同的是，SSLVPN重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù)，比方SSLVPN可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限。就是說(shuō)，雖然都可以進(jìn)入內(nèi)部網(wǎng)絡(luò)，但是不同人員可以訪問的數(shù)據(jù)是不同的。而且在配合一定的身份認(rèn)證方式的根底上，不僅可以控制訪問人員的權(quán)限，還可以對(duì)訪問人員的每個(gè)訪問，做的每筆交易、每個(gè)操作進(jìn)展數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴性和不可否認(rèn)性，為事后追蹤提供了依據(jù)。可以對(duì)接入客戶進(jìn)展各種限制，如可以訪問的地址、端口、URL等等，因此SSLVPN在訪問控制方面比IPSecVPN具有更細(xì)粒度3〕應(yīng)用系統(tǒng)的攻擊－遠(yuǎn)程用戶以IPSecVPN的方式與公司內(nèi)部網(wǎng)絡(luò)建立聯(lián)機(jī)之后，內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng)，都是可以偵測(cè)得到，這就提供了黑客攻擊的時(shí)機(jī)。假設(shè)是采取SSL-VPN來(lái)聯(lián)機(jī)，因?yàn)槭侵苯娱_啟應(yīng)用系統(tǒng)，并沒在網(wǎng)絡(luò)層上連接，黑客不易偵測(cè)出應(yīng)用系統(tǒng)內(nèi)部網(wǎng)絡(luò)物制，所受到的威脅也僅是所聯(lián)機(jī)的這個(gè)應(yīng)用系統(tǒng)，攻擊時(shí)機(jī)相對(duì)就減少。4〕病毒入侵——一般企業(yè)在Internet聯(lián)機(jī)入口，都是采取適當(dāng)?shù)姆蓝緜蓽y(cè)措施。IPSecVPN的平安性一直是一個(gè)弱點(diǎn)，由于IP?SecVPN而引起的病毒、木馬、Web攻擊一直是無(wú)法徹底解決的問題，目前好多廠家也正積極改良從而解決這個(gè)問題。假設(shè)是采取SSLVPN來(lái)聯(lián)機(jī)，因?yàn)槭侵苯娱_啟應(yīng)用系統(tǒng)，病毒傳播會(huì)局限于這臺(tái)主機(jī)，而且這個(gè)病毒必須是針對(duì)應(yīng)用系統(tǒng)的類型，不同類型的病毒是不會(huì)感染到這臺(tái)主機(jī)的。因此通過SSLVPN連接，受外界病毒感染的可能性大大減小。5〕防火墻上的通訊端口－在TCP/IP的網(wǎng)絡(luò)架構(gòu)上，各式各樣的應(yīng)用系統(tǒng)會(huì)采取不同的通訊協(xié)議，并且通過不同的通訊端口來(lái)作為效勞器和客戶端之間的數(shù)據(jù)傳輸通道。以InternetEmail系統(tǒng)來(lái)說(shuō)，IPSecVPN聯(lián)機(jī)就會(huì)有這個(gè)困擾和平安顧慮。在防火墻上，每開啟一個(gè)通訊端口，就多一個(gè)黑客攻擊時(shí)機(jī)。而SSLVPN就沒有這方面的困擾。因?yàn)樵谶h(yuǎn)程主機(jī)與SSLVPN之間，采用SSL通訊端口443來(lái)作為傳輸通道，這個(gè)通訊端口，一般是作為WebServer對(duì)外的數(shù)據(jù)傳輸通道，因此，不需在防火墻上做任何修改，也不會(huì)因?yàn)椴煌瑧?yīng)用系統(tǒng)的需求，而來(lái)修改防火墻上的設(shè)定，減少IT管理者的困擾。如果所有后臺(tái)系統(tǒng)都通過SSLVPN的保護(hù)，則在日常辦公中防火墻只開啟一個(gè)443端口就可以，因此大大增強(qiáng)內(nèi)部網(wǎng)絡(luò)受外部黑客攻擊的可能性。同時(shí)可以對(duì)客戶端做各種掃描，如操作系統(tǒng)版本、補(bǔ)丁版本、防病毒軟件種類、病毒庫(kù)更新時(shí)間等等，從而堵住病毒、木馬入侵的途徑。2.3可擴(kuò)展性平安性IPSecVPN在部署時(shí)，要考慮網(wǎng)絡(luò)的拓?fù)錁?gòu)造，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)構(gòu)造，則IPSecVPN就要重新部署，因此造成IPSecVPN的可擴(kuò)展性比較差。而SSLVPN就有所不同，可以隨時(shí)根據(jù)需要，添加需要VPN保護(hù)的效勞器。2.4經(jīng)濟(jì)效益對(duì)于IPSecVPN來(lái)說(shuō)，每增加一個(gè)需要訪問的分支，就需要添加一個(gè)硬件設(shè)備。所以，尤其是對(duì)于一個(gè)成長(zhǎng)型的公司來(lái)說(shuō)，隨著IT建立的擴(kuò)大，要不斷購(gòu)置新的設(shè)備來(lái)滿足需要。另外，就使用本錢而言，SSLVPN具有更大的優(yōu)勢(shì)，由于這是一個(gè)即插即用設(shè)備，在部署實(shí)施以后，一個(gè)具有一定IT知識(shí)的普通工作人員就可以完成日常的管理工作。假設(shè)一個(gè)公司有1000個(gè)用戶需要進(jìn)展遠(yuǎn)程訪問，則如果購(gòu)置IPSecVPN，則就需要購(gòu)置1000個(gè)客戶端許可，而如果購(gòu)置SSLVPN，因?yàn)檫@1000個(gè)用戶并不同時(shí)進(jìn)展遠(yuǎn)程訪問，按照統(tǒng)計(jì)學(xué)原理，假定只有100個(gè)用戶會(huì)同時(shí)進(jìn)展遠(yuǎn)程訪問，只需要購(gòu)置100個(gè)客戶端許可即可。因此以IPSecVPN作為點(diǎn)對(duì)點(diǎn)連結(jié)方案，而以SSLVPN作為遠(yuǎn)程訪問方案，將是一種不錯(cuò)的選擇。3SSLVPN和IPSECVPN的適應(yīng)性由于目前在VPN領(lǐng)域存在著IPSecVPN和SSLVPN之爭(zhēng)。廠商也劃分了兩大陣營(yíng)。年初，Gartner就出臺(tái)了一份報(bào)告，稱未來(lái)全球SSLVPN的市場(chǎng)增長(zhǎng)速度將到達(dá)170%以上，但是直到8月，才有諾基亞的SSLVPN，以及彩虹天地基于SSL的VPN---IPW〔In?stantPrivateWeb，快速專用網(wǎng)〕出臺(tái)。但是現(xiàn)在就給IPSec、SSL下結(jié)論分出誰(shuí)優(yōu)誰(shuí)劣有點(diǎn)為時(shí)過早，Gartner調(diào)查的SSLVPN170%的年增長(zhǎng)，也與其標(biāo)準(zhǔn)出臺(tái)晚，市場(chǎng)基數(shù)不大有關(guān)。廠商也開場(chǎng)研究怎樣讓IPSecVPN兼容SSLVPN，增強(qiáng)易用性。如果真能做到這點(diǎn)，IPSecVPN的擴(kuò)展性將大大加強(qiáng)，市場(chǎng)生命力也將更長(zhǎng)久。雖然SSLVPN有許多相對(duì)IPSecVPN的優(yōu)點(diǎn)，但對(duì)于應(yīng)用VPN的大、中型企業(yè)來(lái)說(shuō)這些優(yōu)點(diǎn)顯得不是很重要。一個(gè)企業(yè)往往有很多種應(yīng)用〔OA、財(cái)務(wù)、銷售管理、ERP，很多并不基于Web〕，單純只有Web應(yīng)用的極少。一般企業(yè)希望VPN能到達(dá)局域網(wǎng)的效果〔比方網(wǎng)上鄰居，而SSLVPN只能保護(hù)應(yīng)用層協(xié)議，如WEB、FTP等〕，保護(hù)更多的應(yīng)用這點(diǎn)，SSLVPN根本做不到。所以目前的SSLVPN應(yīng)