IPSec VPN與SSL VPN各領風騷

2019-11-03 09:04:30

字體：大中小

來源：轉載

供稿：網友

NetScreen亞太區資深市場行銷總監 Paul Serrano

ipSec VPN

　　IPSec提供站點間（例如：分支辦公室到總部）及遠程訪問的安全聯機。這是一種成熟的標準，全球各地許多廠家提供這種解決方案。IPSec/IKE事實上指的是IETF標準（從RFCs 2401 到 241X）的集合，包括密鑰管理協議（IKE）和加密封包格式協議（IPSec）。IPSec/IKE可支持各種加密算法（DES、3DES、AES與RC4）及信息完整性檢驗機制（md5、SHA-1）。

　　IPSec是網絡層的VPN技術，表示它獨立于應用程序。IPSec以自己的封包封裝原始IP信息，因此可隱藏所有應用協議的信息。一旦IPSec建立加密隧道后，就可以實現各種類型的一對多的連接，如Web、電子郵件、文件傳輸、VoIP等連接，并且，每個傳輸必然對應到VPN網關之后的相關服務器上。

IPSec VPN有如下的優缺點:

優點

● IPSec是與應用無關的技術，因此IPSec VPN的客戶端支持所有IP層協議;

● IPSec技術中，客戶端至站點（client-to-site）、站點對站點（site-to-site）、客戶端至客戶端（client-to-client）連接所使用的技術是完全相同的;

● IPSec VPN網關一般整合了網絡防火墻的功能;

● IPSec客戶端程序可與個人防火墻等其他安全功能一起銷售，因此，可保證配置、預防病毒，并能進行入侵檢測。

不足

● IPSec VPN需要安裝客戶端軟件，但并非所有客戶端操作系統均支持IPSec VPN的客戶端程序;

● IPSec VPN的連接性會受到網絡地址轉換（NAT）的影響，或受網關代理設備（PRoxy）的影響;

● IPSec VPN需要先完成客戶端配置才能建立通信信道，并且配置復雜。

SSL VPN

　　SSL VPN指的是以HTTPS為基礎的VPN，但也包括可支持SSL的應用程序，例如，電子郵件客戶端程序，如Microsoft Outlook或Eudora。SSL VPN經常被稱之“無客戶端”，因為目前大多數計算機在出貨時，都已經安裝了支持HTTP和HTTPS（以SSL為基礎的HTTP）的Web瀏覽器。

　　目前，SSL已由TLS傳輸層安全協議（RFC 2246）整合取代，它工作在TCP之上。如同IPSec/IKE一樣，它必須首先進行配置，包括使用公鑰與對稱密鑰加密以交換信息。此種交換通過數字簽名讓客戶端使用已驗證的服務器，還可選擇性地通過簽名或其他方法讓服務器驗證客戶端的合法性，接著可安全地產生會話密鑰進行信息加密并提供完整性檢查。SSL可利用各種公鑰（RSA、DSA）算法、對稱密鑰算法（DES、3DES、RC4）和完整性（MD5、SHA-1）算法。

SSL VPN有如下優缺點：

優點

● 它的HTTPS客戶端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經預裝在了終端設備中，因此不需要再次安裝；

● 像Microsoft Outlook與Eudora這類流行的郵件客戶端／服務器程序所支持的SSL HTTPS功能，同樣也與市場上主要的Web服務器捆綁銷售，或者通過專門的軟硬件供貨商（例如Web存取設備）獲得；

● SSL VPN可在NAT代理裝置上以透明模式工作；

● SSL VPN不會受到安裝在客戶端與服務器之間的防火墻的影響。

不足

● SSL VPN不適用做點對點的VPN，后者通常是使用IPSec/IKE技術;

● SSL VPN需要開放網絡防火墻中的HTTPS連接端口，以使SSL VPN網關流量通過;

● SSL VPN通常需要其他安全配置，例如用第三方技術驗證“非信任”設備的安全性 (“非信任”設備是指其他信息站或家用計算機)。

遠程訪問——IPSec 或SSL VPN？

　　以現有技術來說，所謂最佳選擇其實必須根據遠程訪問的需求與目標而定。當企業需要安全的點對點連接，或用單一裝置進行遠程訪問，并且讓企業擁有管理所有遠程訪問使用者的能力時，IPSec/IKE可能是最適合的解決方案。而SSL VPN則最適合下述情況：企業需要通過互聯網（筆記本型計算機、家用個人計算機、Internet信息站點接入）達到廣泛而全面性的信息存取; 使用者的設備與目標服務器之間有防火墻，此防火墻設定允許HTTPS聯機，但不允許IKE（UDP 500端口）或 IPSec（IP協議 51）運行; 企業無法控制遠程訪問使用者計算機的配置，不可能在使用者計算機上安裝軟件以提供遠程訪問。

　　用戶可選擇的遠程訪問解決方案很多，因此必須依據遠程訪問不同的特定需求與目標進行選購。今天，大多數信息管理人員都發現，以IPSec VPN作為點對點連結方案，再搭配以SSL VPN作為遠程訪問方案，則能滿足員工、商業伙伴與客戶的安全連接需求，是最合適也最具成本效益的組合。

摘自　計算機世界報

上一篇：IP電話的原理結構及其關鍵技術

下一篇：IP over WDM的演進之路