1、SSLVPN 与 IPSec VPN 优劣势的比较首先还是先来回顾一下传统的 IPSec VPN 方案。 IPSec 的英文全名为“Internet Protocol Security”,中文名为“因特网安全协议”,这个安全协议是 VPN 的基本加密协议,它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方要建立 IPSec 通道,首先要采用一定的方式建立通信连接。因为 IPSec 协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式,这包括如加密运算法则和身份验证方法类型等。在 IPSec 协议中,一旦 IPSec 通道建立,所有在网络层之上的协议在通
2、信双方都经过加密,如 TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa 等,而不管这些通道构建时所采用的安全和加密方法如何。 1. IPSec 的主要不足 (1)安全性能高,但通信性能较低 因为 IPSec 安全协议是工作在网络层的,不仅所有网络通道都是加密的,而且在用户访问所有公司资源时,就像采用专线方式与公司网络直接物理连接一样。你可以或者不想让你的合作伙伴或者远程员工成为您的网络一部分,IPSec 不仅使你正在通信的那一很小的部分通道加密,而是对所有通道进行加密。所以在在安全性方面比 SSL VPN 好,但整体通信性能却因安全性受到了影响,不过安全性方面始终高于性能的,这
3、也是目前 IPSec VPN 仍为主流的原因之一。 (2)需要客户端软件 在 IPSec VPN 中需要在每一客户端安装特殊用途的客户端软件,用这些软件来替换或者增加客户系统的 TCP/IP 堆栈。在许多系统中,这就可能带来了与其他系统软件之间兼容性问题的风险,例如木马程序所带来的安全性风险,特别是在这些客户端软件是从网站上下载,而且不是经过专门的 IT 人员安装的情况下。解决 IPSec 协议的这一兼容性问题目前还缺乏一致的标准,几乎所有的 IPSec客户端软件都是专有的,不能与其它兼容。 在一些情形中,IPSec 安全协议是在运行在网络硬件应用中,在这种解决方案中大多数要求通信双方所采用的
4、硬件是相同的,IPSec 协议在硬件应用中同样存在着兼容性方面的问题。 并且,IPSec 客户端软件在膝上电脑或者桌面系统中的应用受到限制。这种限制限制了用户使用的灵活性,在没有装载 IPSec 客户端系统的远程用户中用户不能与网络进行 VPN 连接。 (3)安装和维护困难 IPSec 安全协议方案需要大量的 IT 技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过 IPSecI 安全协议进行的 VPN 远程访问提供服务。 (4)实际全面支持的系统比较少 虽然已有许多开发的操作系统提出对 IPSec 协议的支持,但是在实际应用是,IPSec 安全协议客户的计算机通常只
5、运行基于 Windows 系统,很少有运行其它PC 系统平台的,如 Mac、Linux、Solaris 等。2. 为什么要用 SSL,而不用 IPSec VPN? 虽然目前并不是所有,也不大多数用户采用 SSL 代理方式进行 VPN 通信,但是使用 SSL VPN 的用户数却在不断增加,有些是原来一直采用 IPSec VPN 的,原因主要有以下几个方面: (1)不需要客户端软件和硬件需求 在 SSL 代理中的一个关键优势就是不需要在客户端安装另外的软件,而只需要在服务器端安装相应的软件和硬件,然后通过服务器向客户端发布。SSL 代理可以使用于支持 SSL 技术的标准 Web 浏览器和 emai
6、l 客户中。 (2)容易使用,容易支持 Web 界面 在今天的工厂中,有许多 Web 浏览器和支持 SSL 的 email 客户端,包括Windows、Macintosh、Linux/UNIX、PDAs,甚至到蜂窝电话都可以通过 SSL 协议进行通信。因为这些都是人们已非常熟悉的,这样就可以大大节省培训费用。(3)端到端 vs. 端到边缘安全 IPSec 安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全,不管怎样,所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SLL 安全通道是在客户到所访问的资源之间建立的,确保端到端的
7、真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。(4)90%以上的通信是基于 Web 和 Email 的近呼 90%的企业利用 VPN 进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信,另外 10%的用户是利用诸如 x11、聊天协议和其它私有客户端应用,属非因特网应用。选项 SSL VPN IPSec VPN身份验证单向身份验证双向身份验证数字证书双向身份验证数字证书加密强加密基于 Web 浏览器强加密依靠执行全程安全性端到端安全从客户到资源端全程加密网络边缘到客户端仅对从客户到 VPN 网关之间通道加密可访问性 选
8、用于任何时间、任何地点访问 限制适用于已经定义好受控用户的访问费用 低(无需任何附加客户端软件) 高(需要管理客户端软件)安装即插即用安装无需任何附加的客户端软、硬件安装通常需要长时间的配置需要客户端软件或者硬件用户的易使用性对用户非常友好,使用非常熟悉的 Web 浏览器无需终端用户的培训对没有相应技术的用户比较困难需要培训支持的应用基于 Web 的应用文件共享E-mail所有基于 IP 协议的服务用户 客户、合作伙伴用户、远程用户、供应商等 更适用于企业内部使用可伸缩性 容易配置和扩展 在服务器端容易实现自由伸缩,在客户端比较困难SSL VPN 与 IPSec VPN 是目前流行的两类 In
9、ternet 远程安全接入技术,它们具有类似功能特性,但也存在很大不同。 SSL 的“零客户端”解决方案被认为是实现远程接入的最大优势,这对缺乏维护大型 IPSec 配置资源的用户来说的确如此。但 SSL 方案也有不足, 它仅支持以代理方式访问基于 Web 或特定的客户端/服务器的应用。由服务器直接操纵的应用,如 Net Meeting 以及一些客户书写的应用程序,将无法进行访问。 IPSec 方案安全级别高,基于 Internet 实现多专用网安全连接,IPSec VPN 是比较理想的方案。IPSec 工作于网络层,对终端站点间所有传输数据进行保护,而不管是哪类网络应用。它在事实上将远程客户
10、端“置于”企业内部网,使远程客户端拥有内部网用户一样的权限和操作功能。 IPSec VPN 要求在远程接入客户端适当安装和配置 IPSec 客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。 IPSec VPN 还能减轻网管负担。如今一些 IPSec 客户端软件能实现自动安装,不需要用户参与。VPN 服务器能够为终端用户接入设备自动安装和配置客户端软件包,因而无论对网管还是终端用户,安装过程都大为简化。 3、IPSec VPN 应用优势 SSL 用户仅限于运用 Web 浏览器接入,这对新型基于 Web 的商务应用软件比较合适
11、,但它限制了非 Web 应用访问,使得一些文件操作功能难于实现,如文件共享、预定文件备份和自动文件传输。用户可以通过升级、增加补丁、安装SSL 网关或其它办法来支持非 Web 应用,但实现成本高且复杂,难以实现。IPSec VPN 能顺利实现企业网资源访问,用户不一定要采用 Web 接入(可以是非 Web 方式),这对同时需要以两种方式进行自动通信的应用程序来说是最好的方案。 IPSec 方案能实现网络层连接,任何 LAN 应用都能通过 IPSec 隧道进行访问,因而在用户仅需要网络层接入时,IPSec 是理想方案。如今有的机构同时采用IPSec 和 SSL 远程接入方案,IT 主管利用 IP
12、Sec VPN 实现网络层接入,进行网络管理,其他人员要访问的资源有限,一般也就是电子邮件、传真,以及接入公司内部网(Web 浏览),因而采用 SSL 方案。这正是充分利用了 IPSec 的网络层接入功能。IPSec VPN 与 SSL VPN 优劣比较 IPSec VPN 和 SSL VPN 各有优缺点。IPSec VPN 提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项;而 SSL VPN 的“零客户端”架构特别适合于远程用户连接,用户可通过任何 Web 浏览器访问企业网 Web 应用。SSL VPN 存在一定安全风险,因为用户可运用公众 Internet 站点接入;IPSe
13、c VPN需要软件客户端支撑,不支持公共 Internet 站点接入,但能实现 Web 或非 Web类企业应用访问。 Meta Group 认为,不能简单地给 IPSec 与 SSL 方案的优劣下定论。客户在关注应用方案本身的同时,还应考虑远程机器外围设备的安全性,如是否配置有个人防火墙和反病毒防护系统。IT 主管需要综合评估商务应用需求,以决定采纳哪类 VPN 策略。IPSec 提供站点间(例如:分支办公室到总部)及远程访问的安全联机。这是一种成熟的标准,全球各地许多厂家提供这种解决方案。IPSec/IKE 事实上指的是 IETF 标准(从 RFCs 2401 到 241X)的集合,包括密钥
14、管理协议(IKE)和加密封包格式协议(IPSec)。IPSec/IKE 可支持各种加密算法(DES、3DES、AES 与 RC4)及信息完整性检验机制(MD5、SHA-1)。 IPSec 是网络层的 VPN 技术,表示它独立于应用程序。IPSec 以自己的封包封装原始 IP 信息,因此可隐藏所有应用协议的信息。一旦 IPSec 建立加密隧道后,就可以实现各种类型的一对多的连接,如 Web、电子邮件、文件传输、VoIP 等连接,并且,每个传输必然对应到 VPN 网关之后的相关服务器上。 4、IPSec VPN 有如下的优缺点: 优点 IPSec 是与应用无关的技术,因此 IPSec VPN 的客
15、户端支持所有 IP 层协议; IPSec 技术中,客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的; IPSec VPN 网关一般整合了网络防火墙的功能; IPSec 客户端程序可与个人防火墙等其他安全功能一起销售,因此,可保证配置、预防病毒,并能进行入侵检测。 不足 IPSec VPN 需要安装客户端软件,但并非所有客户端操作系统均支持 IPSec VPN 的客户端程序; IPSec VPN 的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响; I
16、PSec VPN 需要先完成客户端配置才能建立通信信道,并且配置复杂。 5、SSL VPN SSL VPN 指的是以 HTTPS 为基础的 VPN,但也包括可支持 SSL 的应用程序,例如,电子邮件客户端程序,如 Microsoft Outlook 或 Eudora。SSL VPN 经常被称之“无客户端”,因为目前大多数计算机在出货时,都已经安装了支持 HTTP 和HTTPS(以 SSL 为基础的 HTTP)的 Web 浏览器。 目前,SSL 已由 TLS 传输层安全协议(RFC 2246)整合取代,它工作在 TCP 之上。如同 IPSec/IKE 一样,它必须首先进行配置,包括使用公钥与对称
17、密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器,还可选择性地通过签名或其他方法让服务器验证客户端的合法性,接着可安全地产生会话密钥进行信息加密并提供完整性检查。SSL 可利用各种公钥(RSA、DSA)算法、对称密钥算法(DES、3DES、RC4)和完整性(MD5、SHA-1)算法。 SSL VPN 有如下优缺点: 优点 它的 HTTPS 客户端程序,如 Microsoft Internet Explorer、Netscape Communicator、Mozilla 等已经预装在了终端设备中,因此不需要再次安装; 像 Microsoft Outlook 与 Eudora 这
18、类流行的邮件客户端服务器程序所支持的 SSL HTTPS 功能,同样也与市场上主要的 Web 服务器捆绑销售,或者通过专门的软硬件供货商(例如 Web 存取设备)获得; SSL VPN 可在 NAT 代理装置上以透明模式工作; SSL VPN 不会受到安装在客户端与服务器之间的防火墙的影响。 不足 SSL VPN 不适用做点对点的 VPN,后者通常是使用 IPSec/IKE 技术; SSL VPN 需要开放网络防火墙中的 HTTPS 连接端口,以使 SSL VPN 网关流量通过; SSL VPN 通常需要其他安全配置,例如用第三方技术验证“非信任”设备的安全性 (“非信任”设备是指其他信息站或
19、家用计算机)。 远程访问IPSec 或 SSL VPN? 以现有技术来说,所谓最佳选择其实必须根据远程访问的需求与目标而定。当企业需要安全的点对点连接,或用单一装置进行远程访问,并且让企业拥有管理所有远程访问使用者的能力时,IPSec/IKE 可能是最适合的解决方案。而 SSL VPN 则最适合下述情况:企业需要通过互联网(笔记本型计算机、家用个人计算机、Internet 信息站点接入)达到广泛而全面性的信息存取; 使用者的设备与目标服务器之间有防火墙,此防火墙设定允许 HTTPS 联机,但不允许IKE(UDP 500 端口)或 IPSec(IP 协议 51)运行; 企业无法控制远程访问使用者计算机的配置,不可能在使用者计算机上安装软件以提供远程访问。 用户可选择的远程访问解决方案很多,因此必须依据远程访问不同的特定需求与目标进行选购。今天,大多数信息管理人员都发现,以 IPSec VPN 作为点对点连结方案,再搭配以 SSL VPN 作为远程访问方案,则能满足员工、商业伙伴与客户的安全连接需求,是最合适也最具成本效益的组合。
