·端口转发设备通过使用一个客户端代理在SSL隧道中转发本地应用协议来支持TCP客户机/服务器应用

程序。这个代理与远程主机的应用端口连接在一起，同时，这台设备转发内部服务器(非Web服务器)发出和

接收的信息。

　　·网络扩展设备通过使用一个客户端代理在一个SSL隧道中转发IP数据来支持任何IP应用程序。一个安

装的代理拦截并且把出网的IP数据传送给这个设备。这台设备像一台网络层网关一样工作，在结构上与

IPsec相似，但是没有标准IPsec的限制。

　　任何指定的设备可能都支持一个以上的结构。但是，从这里开始，将帮助你理解产品的客户和应用程

序支持。

　　客户支持：每一个SSL VPN使用Web浏览器当作一个客户平台。但是，许多下载的客户端代码限制在公

共PC、非Windows主机、移动设备以及外部网合作伙伴的系统上使用。你能够满足客户的要求吗，例如客户

对浏览器厂商/版本或者启用ActiveX的要求?这种设备能为现值的客户提供减少的功能，同时为使用VPN门

户网页自己安装代理软件的雇员提供更多的功能吗?

　　应用程序支持：除了电子邮件和文件共享之外，考虑你的员工队伍需要的应用程序，这种设备是否/如

何支持这些应用程序以及实现这些应用所需要的努力。例如，端口转发设备通常不需要客户化就能够支持

许多客户机/服务器。但是，实时的应用(如VoIP)可能需要网络扩展设备。确认你理解了在URL镜像和为你

需要的应用程序进行协议解析都涉及到什么。

　　用户身份识别：SSL VPN在提供授权服务之前必须要识别用户的身份。确认这种设备支持你需要的用户

身份识别方式以及现有的身份识别服务器和用户数据库(如, RADIUS、主动目录和LDAP)。此外，你要考虑

这种设备是否能够从用户账户提取授权属性，并且考虑建立这种工作流所涉及的整合努力。

　　授权：SSL VPN通常有能力强制执行控制用户(或者组)能够访问什么内容的详细规则。评估支持每一个

需要的应用程序/资源的授权详细规则，苹果这种设备是否支持你定义的安全政策。例如，一些SSL VPN能

够识别远程设备身份，让你限制那些在公共或者家庭PC上的用户的功能。

　　端点安全：在批准访问之前评估端点安全状况和一台设备的状况也是很有用的。SSL VPN支持是为NAC

、NAP、TNC和产品具体界面开发的，使它能够检查和/或者强制执行端点安全。采取的方法是要求在端点使

用当前的安全补丁或者杀毒软件，或者限制不符合规定的端点能够访问的资源。考虑这种设备如何更好地

适应你们公司的端点安全战略和实施。如果你计划支持没有管理的端点，你要评估对客户端安全措施的支

持，如浏览器缓存、cookie和历史记录的清除以及"沙盒处理"(sandboxing)。

　　审计与报告：最后，你要考虑这种设备如何跟踪和存档用户访问企业资源，并且考虑这种信息是否足

以满足你的公司内部/外部报告的需求。

　　寻找SSL VPN设备

　　据市场研究公司Synergy Research Group称，2006年全球SSL VPN年销售收入达到了2.50亿美元。这个

市场领先的厂商是Juniper、Citrix、F5、Aventail、北电网络、Whale和 Array。在经历了快速增长和收

购活动的市场中，跟上厂商和产品名称的变化以及新进入这个市场的厂商是很困难的。那些希望现在购买

SSL VPN设备的人至少应该考虑下列竞争的产品：

　　Array Networks SPX Series

　　Aventail EX Series

　　Caymas Systems ID-Driven网关

　　Check Point Connectra

　　思科ASA 5500系列产品

　　Citrix Systems接入网关

　　F5 Networks FirePass

　　Juniper Networks Secure Access

　　诺基亚SSL VPN

　　北电网络VPN网关

　　Blue Coat RA

　　SonicWALL SSL VPN

　　Whale通讯公司(微软) 智能应用网关

　　要了解更多的有关虚拟专用网的技术和结构，请查看SearchNetworking.com网站的VPN网页。要阅读更