Vista到来对VPN市场可能的影响

冠唐科技

据路透社报道，微软于本周五（10月6日）发布了Vista RC2版本，这意味着Vista正式版指日可待，因为这是将是Vista上市前的最后一个测试版本。微软称，Vista RC2将很快向公众开放下载。
windows的每次升级，都会对计算机软件及硬件技术的发展产生一次较大的推动力，而从windows 2000开始，微软在信息安全领域的改进尤其明显，此次随着vista的临近，我们看到的确如微软所言，vista在安全性等方面有了长足的进步。而此次由于windows内核的修改(NDIS),及IE7的引入，对IPSec VPN或者SSL VPN的市场是会有所促进，还是有所冲击。从目前Vista的特性中，我们可以略有所知。

IPSec VPN因为既可以用于站到站的访问，也可以用于移动用户到企业网点的访问，因此通常IPSec VPN厂商既提供VPN设备(或服务器软件)，也提供IPSec VPN客户端软件。尽管vista中对内置的IPSec功能进行了一定程度的增强，但是，从功能完整性，易用性，集中管理等角度出发，IPSec VPN客户端仍然是必不可少的部分。

Vista中，NDIS（网络驱动程序接口规范）版本已经升级为6.0，相比XP的5.1和2000的5.0版，有了较大的变化。尽管对于普通用户而言，数字的变化太抽象了，但对于部分IPSec VPN和防火墙厂商而言，由于早期使用的IpFilterDriver hook及NDIS hook技术由于对系统完整性和软件兼容性造成较大的影响，已经被微软所不推荐采用，因此部分防火墙、VPN将完全无法移植到vista平台下面。而目前基于TDI filter的防火墙技术，在vista中仍然是支持的；基于IMD的VPN/防火墙作为一种推荐的技术，可以顺畅的平移到vista中。

通常SSL VPN的提供者认为SSL VPN相比IPSec VPN，由于没有客户端软件，因此可以更快捷的进行系统平移，但是，正是由于依赖于IE浏览器，因此此次vista中的IE 7.0也许会给SSL VPN厂商一些不好的消息。此次IE的升级后，默认将只支持SSL V3和TLS V1，并采用了更高强度的加密算法，当然，由于目前支持SSL V2的很少，因此这些改进不会对SSL VPN产生很大的影响。

事实上，可能产生影响的是IE 7中对有问题数字签名证书的HTTPS警告。以往的SSL VPN销售中，由于SSL VPN厂商自行签发的证书无法通过得到Windows的认证，因此用户登陆SSL VPN的页面时，IE总是会弹出证书警告的提示，而在手册中通常是告诉用户忽略这个警告。由于SSL VPN中，主机与数字证书的不匹配可能导致中间人攻击，在vista中，IE 7不仅会在进入时提示警告信息，并且IE的地址栏会被红色所填满以给用户一个持续长久的警告，并标注证书错误的提示。事实上，这个严重级别的警告可能会引起用户对现有SSL VPN使用方式安全性的怀疑，并引起SSL VPN技术的进一步改进。

另外，由于ActiveX技术在IE7中最终可能默认是禁止的(Flash等经过微软认证的ActiveX出外)，因此，以往通过下载ActiveX实现SSL VPN对Http之外的协议支持的方式也可能在使用中遇到诸多困难。