利用SSL VPN，各公司可以安全地将企业网扩展到任何授权用户，因为用户可以利用标准Web浏览器从提供互联网连接的任何地方建立与公司资源的远程访问连接。利用Web浏览器及其本地的SSL加密，用户可以从非公司拥有的机器，例如家用PC、互联网信息亭或无线热点接入企业网，通常IT部门不能在这些地点方便地为IPSec VPN连接部署和管理VPN客户端 ript src="/CMS/JS/newsad.js"> 软件。在应用访问要求受限的地方，SSL VPN不需要使用预装VPN客户端软件。管理员可以对Web站点和公司应用提供定制的用户门户和精确的访问控制。不仅如此，由于公司防火墙通常允许建立SSL连接，因而不再需要其它网络配置。基于上述原因，SSL VPN可以方便地从任何位置穿越防火墙。

　　SSL VPN的风险

　　SSL VPN能够提高生产率，因为它能够从任何终端设备提供远程接入，与此同时，SSL VPN也带来了很多安全问题。将远程接入延伸到公司IT无法控制的位置和设备给公司资源带来了很高的安全风险。IT部门不但要对用户进行认证，还要担心终端远程接入环境的危险性。例如，当某人通过机场的远程接入点或家用PC接入网络时，会存在按键记录器等未知安全风险，虽然事务处理本身是加密的，但当这个人离开机器后，某些信息可能还存留在那里，后来者很有可能会访问到这些敏感的公司信息，甚至侵入公司网络本身。SSL VPN进程结束之后，可能会 在桌面或浏览器缓存中遗留下cookie、浏览器历史文件、临时文件、自动填写的密码和电子邮件附件。因此，对公司资源的访问很可能会给公司信息带来泄密风险。潜伏在终端系统上的病毒、蠕虫或恶意软件都在伺机收集敏感数据。

图1 SSL VPN安全风险

　　寻求平衡

　　SSL VPN解决方案必须包含可靠的终端安全方法，以便在SSL VPN用户进程结束之后彻底删除历史文件、临时文件、高速缓存、cookie、电子邮件附件、自动填写的密码及其它下载数据。开放和保护必须达到平衡，才能既发挥SSL VPN的灵活性，又不会降低公司资源的保密性（见图1）。

　　解决方案

　　Cisco® WebVPN 解决方案是一种简单、有效的方法，它能够在任何第三方计算机上创建完全安全、可以定制的SSL VPN进程，而且不会在进程结束之后遗留下任何数据。Cisco WebVPN的主要组件是思科安全桌面功能。思科安全桌面能够用一致、可靠的手段删除敏感数据的所有痕迹，为客户端系统上的进程和删除操作提供一个安全位置，这样，当远程用户退出或者SSL VPN进程超时之后，就不会在系统上遗留任何cookie、浏览器历史、临时文件、自动填写的密码和下载内容。如果对SSL VPN进程中涉及的所有数据和文件以及下载内容进行加密，还可以进一步防御数据被盗和客户端系统恶意软件。

[1] [2] [3] 下一页