很多公司已经改进了其IPsec VPN，有的甚至用基于SSL的远程访问解决方案替换掉了IPsec VPN。SSL VPN能够在任何未经管理的家用或公用电脑上使用，当要决定是否允许访问公司网络资源时，评价远程端点的安全性是至关重要的。本文将探讨用网络访问控制（NAC）功能来加强SSL VPN网络的安全性的原因和措施，并讨论其与NAC 优先权的关系。

机会与风险

将浏览器用作客户端平台，SSL VPN使用户远程访问IT难以控制的设备成为可能，无论从家用PC还是商业伙伴的便携式电脑或者PDA设备都是如此。这种“任何时间、任何地方”的方法可以将访问扩展到更多的工作人员而其成本却会大大减少。据Gartner估计，到2008年，SSL VPN对三分之二的远程工作人员来说将会成为主要的远程访问方法，而且约有90%的雇员需要使用临时性的远程访问。

然而，将未被管理的端点设备连接到公司网络会增加风险。如果一个远程工作人员的家用PC感染了蠕虫或木马，其VPN通道可将这些威胁转播到公司网络资源。如果Internet信息站点有一个键盘记录器，那么用户的全部的VPN会话，包括登录名和口令都将被窃取。在这两种情况下，用户趋向于将敏感数据─无论是缓存中的口令还是临时文件，置于其他人可发现的地方。很明显，要确保安全地访问未被管理的端点就需要减轻这些风险。

过滤空白点

可喜的是，SSL VPN厂商一直努力着手解决这些问题。当今的SSL VPN设备提供了一套相当成熟的NAC（网络访问控制）功能来抗击这些威胁。

身份识别：SSL VPN支持用户身份验证和目录，创建一个基于用户标识的访问控制基础。但是一个特定的用户可能会从任何未经管理的和被管理的端点设备来进行连接。因为，既要根据用户的身份标识来判断，又要根据设备的标识和类型来决定。以产品为基础，SSL VPN可以使用HostID（主机ID）识别被信任的端点、计算机/域名、设备证书、驻留文件、注册表项或硬件标识。SSL VPN还可以识别端点的操作系统和浏览器，并相应地做出响应。

端点完整性：多年来，VPN仅仅假定被管理的设备是可信赖的。未被管理的设备有极大的风险，但是假定端点将会免于受恶意软件的侵害却并非真正安全。如今，大多数VPN产品都检查端点的完整性，并且使用管理员定义的配置文件来检测遗漏的补丁、老病毒特征、非活动的或被破坏的反病毒程序、反间谍软件和防火墙程序、不正常的进程或监听端口以及恶意软件的迹象等。 为了简化配置，许多产品提供可供选择的模板、检查列表或者图形化的规则生成器。有一些甚至可以与被管理端点的端点安全程序进行交互。而且，大多数SSL VPN产品还可以执行进入前检查，有一些产品还支持后进入完整性审计，确保端点保持清洁。

[1] [2] 下一页