企业决策：如何简单三步选择SSL VPN

Forrester把端点安全分为三个主要部分:

·基本主机检查功能:这项功能扫描端点设备，确认杀毒软件、个人防火墙和操作系统补丁等软件都已经安装并且是最新的。

·缓存清除器:用于清除浏览器缓存下载的文件和cookie。

·会话加密:会话加密一般使用Java建立一个虚拟“sandbox”，这样，VPN会话过程中的所有活动都将被隔离和加密，然后在用户登出时删除。

据Whiteley说，大多数SSL VPN都包括一个进行预先认证的基本的主机检查。但是，对于高级的缓存清除和加密的“sandbox”等更复杂的安全功能来说，企业需要集成第三方厂商提供的工具软件，如Sygate、CheckPoint软件公司或者Trust Digital等公司的产品。集成的端点安全提供了广泛的安全选择，但是，这需要手工设置，并且容易出现策略设置错误。而这些错误将耗费更多的人力和成本。

Whiteley预测，大约70%的企业在他们的SSL VPN网络中采用集成的端点安全。

另一方面，嵌入式端点安全是建在设备中的。嵌入式工具通常有优化的政策设置，能够让用户从一个管理操作台实施全面的访问控制。然而，这个选择的缺点是，企业如果选择一种嵌入式产品就将被锁定一家厂商提供的产品，并且必须要依靠那个厂商提供及时的安全升级。如果一家企业已经拥有思科、McAfee和赛门铁克等厂商提供的NAC(网络准入控制)设备，采用嵌入式解决方案就是一种重复的努力。

Whiteley在文章中写道，企业最后需要决定它是喜欢最高级的安全并且愿意为此支付较多的资金，还是认为实用和简单性更重要。集成的方法和嵌入式的方法能够分别解决这两个优先次序的问题。

最后，由于SSL VPN的重点和端点安全的类型已经确定了，企业必须回答的最后一个问题就是:有多少雇员需要安全的远程访问?

Forrester把较低的应用数量分类为2000或者更少的用户。Whiteley警告说，虽然广告宣传说SSL VPN支持更多数量的用户，但是，这些设备不应该达到它们的极限。Forrester建议说，作为一个规则，企业应该设想其10%的雇员需要并发访问功能。少量的应用还应该考虑人员的增加因素，以支持未来用户的增长。

然而，大量用户的应用能够用一台设备同时处理2000或者更多用户的应用。SSL VPN的大容量应用通常是大型应用加速设备中的功能，如F5网络公司的BIG-IP设备。这种设备运行FirePass SSL VPN。

Whiteley表示，主流用户一般没有大量的远程接入用户。
(e129)