一、IPSec VPN
IPSec提供站点间(例如:分支办公室到总部)及远程访问的安全联机。这是一种成熟的标准,全球各地许多厂家提供这种解决方案。IPSec/IKE事实上指的是IETF标准(从RFCs 2401 到 241X)的集合,包括密钥管理协议(IKE)和加密封包格式协议(IPSec)。IPSec/IKE可支持各种加密算法(DES、3DES、AES与RC4)及信息完整性检验机制(MD5、SHA-1)。
IPSec是网络层的VPN技术,表示它独立于应用程序。IPSec以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSec建立加密隧道后,就可以实现各种类型的一对多的连接,如Web、电子邮件、文件传输、VoIP等连接,并且,每个传输必然对应到VPN网关之后的相关服务器上。
IPSec VPN有如下的优缺点:
优点
● IPSec是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议;
● IPSec技术中,客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的;
● IPSec VPN网关一般整合了网络防火墙的功能;
● IPSec客户端程序可与个人防火墙等其他安全功能一起销售,因此,可保证配置、预防病毒,并能进行入侵检测。
不足
● IPSec VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序;
● IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响;
● IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂;
● IPSec安全性能高,但通信性能较低;
● 实际全面支持的系统比较少。虽然已有许多开发的操作系统提出对IPSec协议的支持,但是在实际应用是,IPSec安全协议客户的计算机通常只运行基于Windows系统,很少有运行其它PC系统平台的,如Mac、Linux、Solaris 等。
二、SSL VPN
SSL VPN指的是以HTTPS为基础的VPN,但也包括可支持SSL的应用程序,例如,电子邮件客户端程序,如Microsoft Outlook或Eudora。SSL VPN经常被称之“无客户端”,因为目前大多数计算机在出货时,都已经安装了支持HTTP和HTTPS(以SSL为基础的HTTP)的Web浏览器。
目前,SSL已由TLS传输层安全协议(RFC 2246)整合取代,它工作在TCP之上。如同IPSec/IKE一样,它必须首先进行配置,包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器,还可选择性地通过签名或其他方法让服务器验证客户端的合法性,接着可安全地产生会话密钥进行信息加密并提供完整性检查。SSL可利用各种公钥(RSA、DSA)算法、对称密钥算法(DES、3DES、RC4)和完整性(MD5、SHA-1)算法。
SSL VPN有如下优缺点:
优点
● 它的HTTPS客户端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装;
● 像Microsoft Outlook与Eudora这类流行的邮件客户端/服务器程序所支持的SSL HTTPS功能,同样也与市场上主要的Web服务器捆绑销售,或者通过专门的软硬件供货商(例如Web存取设备)获得;
● SSL VPN可在NAT代理装置上以透明模式工作;
● SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。
不足
● SSL VPN不适用做点对点的VPN,后者通常是使用IPSec/IKE技术;
● SSL VPN需要开放网络防火墙中的HTTPS连接端口,以使SSL VPN网关流量通过;
● SSL VPN通常需要其他安全配置,例如用第三方技术验证“非信任”设备的安全性(“非信任”设备是指其他信息站或家用计算机)。
三、为什么要用SSL,而不用IPSec VPN?
虽然目前并不是所有,也不大多数用户采用SSL代理方式进行VPN通信,但是使用SSL VPN的用户数却在不断增加,有些是原来一直采用IPSec VPN的,原因主要有以下几个方面:
(1)不需要客户端软件和硬件需求
在SSL代理中的一个关键优势就是不需要在客户端安装另外的软件,而只需要在服务器端安装相应的软件和硬件,然后通过服务器向客户端发布。SSL代理可以使用于支持SSL技术的标准Web浏览器和email客户中。
(2)容易使用,容易支持Web界面
在今天的工厂中,有许多Web浏览器和支持SSL的email客户端,包括Windows、Macintosh、Linux/UNIX、PDAs,甚至到蜂窝电话都可以通过SSL协议进行通信。因为这些都是人们已非常熟悉的,这样就可以大大节省培训费用。
(3)端到端 vs. 端到边缘安全
IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全,不管怎样,所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
这两种VPN方式的通道安全示意图如下图所示。
<IMG title="IPSec VPN与SSL VPN的区别及优缺点" style="BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; PADDING-LEFT: 0px; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; PADDING-TOP: 0px; BORDER-RIGHT-WIDTH: 0px" src="http://www.softether.com.cn/upload/2011/8/1517323293.jpg" border=0>
(4)90%以上的通信是基于Web和Email的
近呼90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信,另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用,属非因特网应用。
添加新评论0 条评论