SSLVPN与IPSec VPN优劣势的比较
首先还是先来回顾一下传统的IPSec VPN方案。
1. IPSec的主要不足
(1)安全性能高,但通信性能较低
因为IPSec安全协议是工作在网络层的,不仅所有网络通道都是加密的,而且在用户访问所有公司资源时,就像采用专线方式与公司网络直接物理连接一样。你可以或者不想让你的合作伙伴或者远程员工成为您的网络一部分,IPSec不仅使你正在通信的那一很小的部分通道加密,而是对所有通道进行加密。所以在在安全性方面比SSL VPN好,但整体通信性能却因安全性受到了影响,不过安全性方面始终高于性能的,这也是目前IPSec VPN仍为主流的原因之一。
(2)需要客户端软件
在一些情形中,IPSec安全协议是在运行在网络硬件应用中,在这种解决方案中大多数要求通信双方所采用的硬件是相同的,IPSec协议在硬件应用中同样存在着兼容性方面的问题。
并且,IPSec客户端软件在膝上电脑或者桌面系统中的应用受到限制。这种限制了用户使用的灵活性,在没有装载IPSec客户端系统的远程用户中用户不能与网络进行VPN连接。
(3)安装和维护困难
IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSecI安全协议进行的VPN远程访问提供服务。
(4)实际全面支持的系统比较少
1 / 8
虽然已有许多开发的操作系统提出对IPSec协议的支持,但是在实际应用是,IPSec安全协议客户的计算机通常只运行基于Windows系统,很少有运行其它PC系统平台的,如Mac、Linux、Solaris 等。
2.为什么要用SSL,而不用IPSec VPN?
虽然目前并不是所有,也不大多数用户采用SSL代理方式进行VPN通信,但是使用SSL VPN的用户数却在不断增加,有些是原来一直采用IPSec VPN的,原因主要有以下几个方面:
(1)不需要客户端软件和硬件需求
在SSL代理中的一个关键优势就是不需要在客户端安装另外的软件,而只需要在服务器端安装相应的软件和硬件,然后通过服务器向客户端发布。SSL代理可以使用于支持SSL技术的标准Web浏览器和email客户中。
(2)容易使用,容易支持Web界面
在今天的工厂中,有许多Web浏览器和支持SSL的email客户端,包括Windows、Macintosh、Linux/UNIX、PDAs,甚至到蜂窝电话都可以通过SSL协议进行通信。
因为这些都是人们已非常熟悉的,这样就可以大大节省培训费用。 (3)端到端vs.端到边缘安全
IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。
仅保护从客户到公司网络边缘连接的安全,不管怎样,所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
(4)90%以上的通信是基于Web和Email的
2 / 8
近呼90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信,另外10%的用户是利用诸如x
11、聊天协议和其它私有客户端应用,属非因特网应用。 选项
身份验证SSL VPN ·单向身份验证IPSec VPN ·双向身份验证 ·双向身份验证 ·数字证书 xx·强xx
·基于Web浏览器·数字证书 ·强xx ·依靠执行 ·网络边缘到客户端
·仅对从客户到VPN网关之间通道xx ·端到端安全 全程xx
·从客户到资源端全程xx可访问性
费用选用于任何时间、任何地限制适用于已经定义好受控点访问用户的访问
·低(无需任何附加客户
3 / 8
·高(需要管理客户端软件)端软件) ·即插即用安装
·通常需要长时间的配置·无需任何附加的客户端 ·需要客户端软件或者硬件软、硬件安装 ·对没有相应技术的用户比较困难 ·需要培训 安装
·对用户非常友好,使用 非常熟悉的Web浏览器 用户的xx性 ·无需终端用户的培训 ·基于Web的应用 支持的应用·xx ·E-mail 用户
可伸缩性·所有基于IP协议的服务客户、合作伙伴用户、远 更适用于企业内部使用程用户、供应商等
SSL的“零客户端”解决方案被认为是实现远程接入的最大优势,这对缺乏维护大型IPSec配置资源的用户来说的确如此。但SSL方案也有不足,它仅支持以代理方式访问基于Web或特定的客户端/服务器的应用。由服务器直接操纵的应用,如Net Meeting以及一些客户书写的应用程序,将无法进行访问。
4 / 8
较理想的方案。IPSec工作于网络层,对终端站点间所有传输数据进行保护,而不管是哪类网络应用。它在事实上将远程客户端“置于”企业内部网,使远程客户端拥有内部网用户一样的权限和操作功能。
IPSec VPN要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。
IPSec VPN还能减轻网管负担。如今一些IPSec客户端软件能实现自动安装,不需要用户参与。VPN服务器能够为终端用户接入设备自动安装和配置客户端软件包,因而无论对网管还是终端用户,安装过程都大为简化。
3、IPSec VPN应用优势
SSL用户仅限于运用Web浏览器接入,这对新型基于Web的商务应用软件比较合适,但它限制了非Web应用访问,使得一些文件操作功能难于实现,如文件共享、预定文件备份和自动文件传输。用户可以通过升级、增加补丁、安装SSL网关或其它办法来支持非Web应用,但实现成本高且复杂,难以实现。IPSec VPN能顺利实现企业网资源访问,用户不一定要采用Web接入(可以是非Web方式),这对同时需要以两种方式进行自动通信的应用程序来说是最好的方案。
IPSec方案能实现网络层连接,任何LAN应用都能通过IPSec隧道进行访问,因而在用户仅需要网络层接入时,IPSec是理想方案。如今有的机构同时采用IPSec和SSL远程接入方案,IT主管利用IPSec VPN实现网络层接入,进行网络管理,其他人员要访问的资源有限,一般也就是电子邮件、传真,以及接入公司内部网(Web浏览),因而采用SSL方案。这正是充分利用了IPSec的网络层接入功能。
IPSec VPN与SSL VPN优劣比较
Meta Group认为,不能简单地给IPSec与SSL方案的优劣下定论。客户在关注应用方案本身的同时,还应考虑远程机器外围设备的安全性,如是否配置有
5 / 8