SSL与IPSec对决如何部署你的VPN

文章由LinuxBoy分享于2019-03-23 01:03:24热评（278）

SSL与IPSec对决如何部署你的VPN

近段时间来，基于SSL的VPN似乎越来越热，真有大举要蚕食传统的VPN老大IPSec的市场份额之势。笔者一直持这样的观点：IPSec VPN是“工业级”的VPN，而其它VPN只是初级的应用，安全方面无法与IPSec 相提并论。但是SSL VPN真的越来越热，甚至于大企业都已经在纷纷部署它了，这多少令人始料未及呀。本文将为读者全部剖析SSL与IPSec之间的对决，试图以客观的观点为将要部署VPN的朋友分析我们应该选择何种合适的VPN技术。本文侧重点略偏向SSL VPN，着重阐述为何SSL VPN值得我们关注。

SSL VPN工作原理

Secure Sockets Layer SSL/安全套接层）是由Netscape(网景)公司开发的用于在INTERNET上传递隐密的消息的协议。Netscape的安全套接层是利用RSA数据安全公司的公用密钥密码技术来实现的。RSA的公用密钥密码系统广泛地应用于计算机工业的认证和加密方面。Netscape得到RSA数据安全公司的许可可以使用公用密钥密码系统。

公用密钥加密技术使用不对称的密钥来加密和解密，每对密钥包含一个公钥和一个私钥，公钥是公开广泛分布，而私钥是隐密的，只有自己知道。用公钥加密的数据只有私钥才能解密，相反的，用私钥加密的数据只有公钥才能解密。

认证是一个验明正身的过程，目的使一方能够确信对方就是它本身。下面的例子包括甲方和乙方，我们来看如何使用公用密钥密码系统来验证它们的身份。

假设甲方要认证乙方，乙方有一个密钥对，即一个公钥和一个私钥，乙方透露给甲方他的公钥。然后甲方产生一段随机的消息，然后把它发给乙方。
乙方用自己的私钥来加密这段消息，然后把加密后的消息返回给甲方。

甲方接到了这段消息，然后用乙方以前发过来的公钥来解密。甲方把解密后的消息和原始的消息做比较，如果匹配的话，就知道自己正在和乙方通信。一个入侵者应该不知道乙方的私钥，因此就不能正确的加密那段甲方要检查的随机消息。

SSL安全协议主要提供三方面的服务：1）认证用户和服务器, 使得它们能够确信数据将被发送到正确的客户机和服务器上；2）加密数据以隐藏被传送的数据；3）维护数据的完整性, 确保数据在传输过程中不被改变。

随着公司企业内部基于Web应用的增多以及远程接入访问需要的增长，SSL VPN正在成为一个热门市场。与复杂的IPSec VPN相比，SSL VPN通过任何安装了WEB浏览器的设备都可以使用SSL通过互联网安全地访问公司企业的内部WEB应用，这是因为目前SSL技术已经内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为要有客户端软件。这一点对于拥移动和零散的用户访问总部提了极大的方便。通过SSL VPN是接入企业内部的应用，而不是企业的局域网络。SSL VPN利用浏览器本身只能做到访问B/S浏览器/服务器）应用和访问ftp 服务。如果要实现桌面级的应用，比如传统的C/S客户/服务器）结构的系统，SSL VPN仍然需要安装专门的客户端。

SSL与IPSec对比

SSL VPN的优点：

无需安装客户端软件或客户端设备，只需通过Web浏览器即可以通过网页访问到企业总部的网络资源，免去了客户端的成本，维护、管理成本也大为降低。SSL VPN方案实施起来非常简单，只需要在企业的数据中心部署SSL VPN网关即可，无需在各分支机构部署硬件或软件设备。SSL VPN方案是无客户端的VPN方案，客户端只需要具备标准的浏览器即可。SSL VPN的管理工作属于集中管理和集中维护模式，可以极大地降低管理和维护成本。用户通过基于SSL的Web访问并不是网络的真实节点，而且还可代理访问公司内部资源。因此，这种方法可以非常安全的。为那些简单远程访问用户仅需进入公司内部WEB、FTP网站或者进行Email通信），基于SSL 的VPN网络可以非常经济地提供远程访问服务。可以绕过防火墙和代理服务器进行访问：基于SSL的远程访问方案中可以绕过防火墙和代理服务器进行访问公司资源。

SSL VPN的不足：

SSL VPN并不是主流的工业级的VPN方案，目前绝大多数需要最高安全标准的大企业、行业企业的首选是IPSec VPN，那么SSL VPN的主要不足在哪里呢？SSL VPN仅支持以代理方式访问基于web或特定的客户端/服务器的应用。由服务器直接操纵的应用，如net meeting以及一些客户书写的应用程序，将无法进行访问。一个企业往往运行了很多种应用OA、财务、销售管理、ERP），很多应用并不基于Web，单纯只有Web应用的企业极少。一般企业希望VPN 能达到局域网的效果，比如网上邻居，而SSL VPN 只能保护应用层协议，如WEB、FTP 等，要保护更多的应用，SSL VPN 根本做不到。所以目前的 SSL VPN还仅适用于基于Web的应用，范围相当有限。

IPSec VPN的优点：

日益增加的对SSL VPN的关注并不能降低对传统IPSec VPN解决方案价值的认可，IPSec仍然是作为站点到站点的VPN事实上的标准。IPSec VPN通过在互联网上的两站点间创建隧道提供直接接入，一旦隧道创建，远程PC就如同物理地处于企业总部LAN中，为公司的分支机构用户提供远程访问总部局域网内部资源的可能。只要能建立IPSec VPN隧道连接，远程的办事处和移动用户就能几乎总部局域网的所有应用和资源，而不象SSL VPN具有一定的局限性。IPSec VPN的优点是：最适合局域网到局域网的通信，适用性更大。

IPSec VPN的不足：

在远程方面访问，当只创建有限的几个隧道时，IPSec能满足基本的需要，如：总公司与若干个办事处的远程连接。但是，如果有数千个远程互联网用户分布在不同的地点，分发和管理客户端软件就是一件非常麻烦，也很费时的事情。另外，不易解决网络地址转换和穿越防火墙的问题。IPSec VPN产品并不总能很好地解决包括网络地址转换、防火墙穿越和宽带接入在内的复杂的远程访问问题。例如，如果一个用户已经安装了IPSec客户端，但他仍然不能在其他公司的网络内接入互联网例如，工作在客户处的咨询顾问），IPSec 会被那个公司的防火墙阻止，除非该用户和这个公司的网络管理员协商，在防火墙上打开另一个端口。而这是一个烦人、花时间的事情，也会增加风险，这是许多公司不愿承担的。需要同一家的产品，不同IPSec供应商之间的互操作可能存在问题。　

IPSec VPN 还是SSL VPN？

SSL虽然对于用户端是“免维护”，有WEB浏览器，能上网就能远程连接，但SSL VPN并不能取代IPSEC VPN。因为，这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性，更多应用基于Web应用的远程安全接入方面；而IPSEC VPN是在两个局域网之间通过Internet建立的安全连接，保护的是点对点之间的通信，并且，它不局限于Web应用，而是构建了局域网之间的虚拟专用网络，功能更强和应用更扩。

很多使用者一直犹豫不决到底应部署哪一种技术，IPSec VPN 和SSL VPN，哪一种比较符合公司的网路安全政策，而这二种技术分别可解决哪些问题呢？长期以來，业界在讨论IPSec 和SSL 时，都将焦点摆在二者所采用的协议等技术细节，而非适用环境这个最关键性的决定要素，因此使用者还是无法决定到底应采用何种技术。答案其实很简单，企业只要了解它们分别可达成的存取目标、二者所提供的成本/ 效能比，以及可解决的问题，答案不言自明。事实上，IPSec 和SSL 可并行不悖，很多企业便同时部署了这两种存取架构。

努力建立site-to-site 连接的网管人员可采用IPSec VPN 产品，以便让全球各地的员工能够享受不间断的安全連结，藉此存取所需的企业资源，以提升工作效率。长期以來，IPSec VPN 一直提供弹性、可靠的连接，使得位于不同办公地点的员工能够持续不断地透过网路沟通。IPSec VPN 让分散各地的使用者就如同位于企业总部内一般地工作，并且能够像在内部区域网路般地轻松存取所有网路资源。此外，部署与维护site-to-site 连接所需的管理资源相当有限：因为站点site）的数目很有限；可控管通常也当作防火墙使用的网络设备；并采用固定连接。

为了让移动工作者、协办厂商、海外员工、企业合作伙伴或客户都能存取不同的企业资源，网管人员可考虑采用SSL VPN。SSLVPN 的设计可满足不同使用者的存取需求，以便随时随地安全地存取网管人员限定其存取的企业资源。如果使用者的身分或环境改变时，它还允许网管人员改变其存取方式即可存取的资源。经过设定后，SSL VPN 可检查终端设备是否符合安全政策规范，并根据检验结果限定可存取的资源，或告知使用者如何修订其联网设备。再搭配上严密的存取控管与终端设备防御功能，可消除未受保护终端设备、非信任网路，或未经授权使用者可能带來风险。在此情况下，SSL VPN 让使用者能够随时使用任何内建网络浏览器的电脑存取企业资源。

总结

据互联网调查报告指出，大约90%的企业利用IPSec VPN只是用来进行电子邮件通信以及访问企业的Web应用，只有10%的用户利用IPSec VPN访问非Web应用的业务系统。也就是说，目前90%的IPSec VPN应用都可以被SSL VPN来实现，而SSL VPN更加容易配置和管理，实现成本要比IPSec VPN低很多。这就是SSL VPN热起来的原因。

随着基于JAVA、ASP.NET技术的三层结构分布式应用程序客户显示层、业务逻辑层、数据层）的开发和部署，B/S应用越来越普遍。随着电子商务、电子政务、电子报关、电子报税、电子银行等等应用的普及，各个行业在互联网上来实现业务的开通，用户可以在互联网上商品交易、行政申请、费用的网上自助缴纳，电子银行的自助交易，等等多种基于Internet的商务业务都可以在网上进行。这就是为什么有大企业采用SSL VPN的原因。

IPSec VPN和SSL VPN二者各有优势，谁也不能取代谁。现在已经有多个网络设备提供商要将两者结合在单一设备里，IPSec VPN对内提供服务，SSL VPN对外的移动员工、合作伙伴提供服务，实现两者的完美结合和互补，也许这将是未来VPN技术发展的趋势。

推荐文章：

SSL与IPSec对决如何部署你的VPN