您当前的位置 > SSLVPN与IPSec VPN优劣势的比较
SSLVPN与IPSec VPN优劣势的比较
日期:2009-04-20
 

SSLVPN与IPSec VPN优劣势的比较.doc

SSLVPNIPSec VPN优劣势的比较

首先还是先来回顾一下传统的IPSec VPN方案。

IPSec
的英文全名为“Internet Protocol Security”,中文名为因特网安全协议”,这个安全协议是VPN的基本加密协议,它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方要建立IPSec通道,首先要采用一定的方式建立通信连接。因为IPSec协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式,这包括如加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCPUDP SNMPHTTPPOPAIMKaZaa等,而不管这些通道构建时所采用的安全和加密方法如何。


1. IPSec
的主要不足


1)安全性能高,但通信性能较低


因为IPSec安全协议是工作在网络层的,不仅所有网络通道都是加密的,而且在用户访问所有公司资源时,就像采用专线方式与公司网络直接物理连接一样。你可以或者不想让你的合作伙伴或者远程员工成为您的网络一部分,IPSec不仅使你正在通信的那一很小的部分通道加密,而是对所有通道进行加密。所以在在安全性方面比SSL VPN好,但整体通信性能却因安全性受到了影响,不过安全性方面始终高于性能的,这也是目前IPSec VPN仍为主流的原因之一。


2)需要客户端软件


IPSec VPN中需要在每一客户端安装特殊用途的客户端软件,用这些软件来替换或者增加客户系统的TCP/IP堆栈。在许多系统中,这就可能带来了与其他系统软件之间兼容性问题的风险,例如木马程序所带来的安全性风险,特别是在这些客户端软件是从网站上下载,而且不是经过专门的IT人员安装的情况下。解决IPSec协议的这一兼容性问题目前还缺乏一致的标准,几乎所有的IPSec客户端软件都是专有的,不能与其它兼容。


在一些情形中,IPSec安全协议是在运行在网络硬件应用中,在这种解决方案中大多数要求通信双方所采用的硬件是相同的,IPSec协议在硬件应用中同样存在着兼容性方面的问题。


并且,IPSec客户端软件在膝上电脑或者桌面系统中的应用受到限制。这种限制限制了用户使用的灵活性,在没有装载IPSec客户端系统的远程用户中用户不能与网络进行VPN连接。


3)安装和维护困难

IPSec
安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSecI安全协议进行的VPN远程访问提供服务。


4)实际全面支持的系统比较少


虽然已有许多开发的操作系统提出对IPSec协议的支持,但是在实际应用是,IPSec安全协议客户的计算机通常只运行基于Windows系统,很少有运行其它PC系统平台的,如MacLinuxSolaris 等。

2. 为什么要用SSL,而不用IPSec VPN

虽然目前并不是所有,也不大多数用户采用SSL代理方式进行VPN通信,但是使用SSL VPN的用户数却在不断增加,有些是原来一直采用IPSec VPN的,原因主要有以下几个方面:

1)不需要客户端软件和硬件需求


SSL代理中的一个关键优势就是不需要在客户端安装另外的软件,而只需要在服务器端安装相应的软件和硬件,然后通过服务器向客户端发布。SSL代理可以使用于支持SSL技术的标准Web浏览器和email客户中。


2)容易使用,容易支持Web界面


在今天的工厂中,有许多Web浏览器和支持SSLemail客户端,包括WindowsMacintoshLinux/UNIXPDAs,甚至到蜂窝电话都可以通过SSL协议进行通信。因为这些都是人们已非常熟悉的,这样就可以大大节省培训费用。


3)端到端 vs. 端到边缘安全


IPSec
安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全,不管怎样,所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。

490%以上的通信是基于WebEmail

近呼90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信,另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用,属非因特网应用。

选项

SSL VPN

IPSec VPN

身份验证

·单向身份验证

·
双向身份验证

·
数字证书

·双向身份验证

·
数字证书

加密

·强加密

·
基于Web浏览器

·强加密

·
依靠执行

全程安全性

·端到端安全

·
从客户到资源端全程加密

·网络边缘到客户端

·
仅对从客户到VPN网关之间通道加密

可访问性

选用于任何时间、任何地点访问

限制适用于已经定义好受控用户的访问

费用

·低(无需任何附加客户端软件)

·高(需要管理客户端软件)

安装

·即插即用安装

·
无需任何附加的客户端软、硬件安装

·通常需要长时间的配置

·
需要客户端软件或者硬件

用户的易使用性

·对用户非常友好,使用非常熟悉的Web浏览器

·
无需终端用户的培训

·对没有相应技术的用户比较困难

·
需要培训

支持的应用

·基于Web的应用

·
文件共享

·E-mail

·所有基于IP协议的服务

用户

客户、合作伙伴用户、远程用户、供应商等

更适用于企业内部使用

可伸缩性

容易配置和扩展

在服务器端容易实现自由伸缩,在客户端比较困难

 

SSL VPNIPSec VPN是目前流行的两类Internet远程安全接入技术,它们具有类似功能特性,但也存在很大不同。

SSL
零客户端解决方案被认为是实现远程接入的最大优势,这对缺乏维护大型IPSec配置资源的用户来说的确如此。但SSL方案也有不足, 它仅支持以代理方式访问基于Web或特定的客户端/服务器的应用。由服务器直接操纵的应用,如Net Meeting以及一些客户书写的应用程序,将无法进行访问。


IPSec
方案安全级别高,基于Internet实现多专用网安全连接,IPSec VPN是比较理想的方案。IPSec工作于网络层,对终端站点间所有传输数据进行保护,而不管是哪类网络应用。它在事实上将远程客户端置于企业内部网,使远程客户端拥有内部网用户一样的权限和操作功能。


IPSec VPN
要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备,这大大提高了安全级别,因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。


IPSec VPN
还能减轻网管负担。如今一些IPSec客户端软件能实现自动安装,不需要用户参与。VPN服务器能够为终端用户接入设备自动安装和配置客户端软件包,因而无论对网管还是终端用户,安装过程都大为简化。


3
IPSec VPN应用优势


SSL
用户仅限于运用Web浏览器接入,这对新型基于Web的商务应用软件比较合适,但它限制了非Web应用访问,使得一些文件操作功能难于实现,如文件共享、预定文件备份和自动文件传输。用户可以通过升级、增加补丁、安装SSL网关或其它办法来支持非Web应用,但实现成本高且复杂,难以实现。IPSec VPN能顺利实现企业网资源访问,用户不一定要采用Web接入(可以是非Web方式),这对同时需要以两种方式进行自动通信的应用程序来说是最好的方案。


IPSec
方案能实现网络层连接,任何LAN应用都能通过IPSec隧道进行访问,因而在用户仅需要网络层接入时,IPSec是理想方案。如今有的机构同时采用IPSecSSL远程接入方案,IT主管利用IPSec VPN实现网络层接入,进行网络管理,其他人员要访问的资源有限,一般也就是电子邮件、传真,以及接入公司内部网(Web浏览),因而采用SSL方案。这正是充分利用了IPSec的网络层接入功能。IPSec VPNSSL VPN优劣比较


IPSec VPN
SSL VPN各有优缺点。IPSec VPN提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项;而SSL VPN零客户端架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网Web应用。SSL VPN存在一定安全风险,因为用户可运用公众Internet站点接入;IPSec VPN需要软件客户端支撑,不支持公共Internet站点接入,但能实现Web或非Web类企业应用访问。


Meta Group
认为,不能简单地给IPSecSSL方案的优劣下定论。客户在关注应用方案本身的同时,还应考虑远程机器外围设备的安全性,如是否配置有个人防火墙和反病毒防护系统。IT主管需要综合评估商务应用需求,以决定采纳哪类VPN策略。

IPSec提供站点间(例如:分支办公室到总部)及远程访问的安全联机。这是一种成熟的标准,全球各地许多厂家提供这种解决方案。IPSec/IKE事实上指的是IETF标准(从RFCs 2401 241X)的集合,包括密钥管理协议(IKE)和加密封包格式协议(IPSec)。IPSec/IKE可支持各种加密算法(DES3DESAESRC4)及信息完整性检验机制(MD5SHA-1)。

IPSec
是网络层的VPN技术,表示它独立于应用程序。IPSec以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSec建立加密隧道后,就可以实现各种类型的一对多的连接,如Web、电子邮件、文件传输、VoIP等连接,并且,每个传输必然对应到VPN网关之后的相关服务器上。


4
IPSec VPN有如下的优缺点:


优点


● IPSec
是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议
;

● IPSec
技术中,客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的;

● IPSec VPN网关一般整合了网络防火墙的功能;

● IPSec客户端程序可与个人防火墙等其他安全功能一起销售,因此,可保证配置、预防病毒,并能进行入侵检测。

不足


● IPSec VPN
需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序
;

● IPSec VPN
的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响
;

● IPSec VPN
需要先完成客户端配置才能建立通信信道,并且配置复杂。


5
SSL VPN


SSL VPN
指的是以HTTPS为基础的VPN,但也包括可支持SSL的应用程序,例如,电子邮件客户端程序,如Microsoft OutlookEudoraSSL VPN经常被称之无客户端,因为目前大多数计算机在出货时,都已经安装了支持HTTPHTTPS(以SSL为基础的HTTP)的Web浏览器。


目前,SSL已由TLS传输层安全协议(RFC 2246)整合取代,它工作在TCP之上。如同IPSec/IKE一样,它必须首先进行配置,包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器,还可选择性地通过签名或其他方法让服务器验证客户端的合法性,接着可安全地产生会话密钥进行信息加密并提供完整性检查。SSL可利用各种公钥(RSADSA)算法、对称密钥算法(DES3DESRC4)和完整性(MD5SHA-1)算法。


SSL VPN
有如下优缺点:


优点


它的HTTPS客户端程序,如Microsoft Internet ExplorerNetscape CommunicatorMozilla等已经预装在了终端设备中,因此不需要再次安装;


Microsoft OutlookEudora这类流行的邮件客户端/服务器程序所支持的SSL HTTPS功能,同样也与市场上主要的Web服务器捆绑销售,或者通过专门的软硬件供货商(例如Web存取设备)获得;


● SSL VPN
可在NAT代理装置上以透明模式工作;

● SSL VPN
不会受到安装在客户端与服务器之间的防火墙的影响。


不足

● SSL VPN不适用做点对点的VPN,后者通常是使用IPSec/IKE技术;

● SSL VPN
需要开放网络防火墙中的HTTPS连接端口,以使SSL VPN网关流量通过
;

● SSL VPN
通常需要其他安全配置,例如用第三方技术验证非信任设备的安全性 (“非信任设备是指其他信息站或家用计算机)


远程访问——IPSec SSL VPN


以现有技术来说,所谓最佳选择其实必须根据远程访问的需求与目标而定。当企业需要安全的点对点连接,或用单一装置进行远程访问,并且让企业拥有管理所有远程访问使用者的能力时,IPSec/IKE可能是最适合的解决方案。而SSL VPN则最适合下述情况:企业需要通过互联网(笔记本型计算机、家用个人计算机、Internet信息站点接入)达到广泛而全面性的信息存取; 使用者的设备与目标服务器之间有防火墙,此防火墙设定允许HTTPS联机,但不允许IKEUDP 500端口)或 IPSecIP协议 51)运行; 企业无法控制远程访问使用者计算机的配置,不可能在使用者计算机上安装软件以提供远程访问。


用户可选择的远程访问解决方案很多,因此必须依据远程访问不同的特定需求与目标进行选购。今天,大多数信息管理人员都发现,以IPSec VPN作为点对点连结方案,再搭配以SSL VPN作为远程访问方案,则能满足员工、商业伙伴与客户的安全连接需求,是最合适也最具成本效益的组合。

  
 

全国统一服务热线:021-60504168

地址:上海市闵行区沪闵路6088号凯德龙之梦大厦1102室

Copyright © 上海隆禄信息科技有限公司 沪ICP备17007618号-1

网站建设鸡西信息网