SSL VPN,與傳統的IPSec VPN技術各具特色,各有千秋。
SSL VPN比較適合用於移動用戶的遠程接入(Client-Site),而IPSec VPN則在網對網(Site-Site)的VPN連接中具備先天優勢。這兩種產品將在VPN市場上長期共存,優勢互補。在產品的表現形式上,兩者有以下幾大差異:
1、IPsec VPN多用於“網—網”連接,SSL VPN用於“移動客戶—網”連接。SSL VPN的移動用戶使用標準的瀏覽器,無需安裝客戶端程序,即可通過SSL VPN隧道接入內部網絡;而IPSec VPN的移動用戶需要安裝專門的IPSec客戶端軟件。
2、SSL VPN是基於應用層的VPN,而IPsec VPN是基於網絡層的VPN。IPsec VPN對所有的IP應用均透明;而SSL VPN保護基於Web的應用更有優勢,當然好的產品也支持TCP/UDP的C/S應用,例如文件共享、網絡鄰居、Ftp、Telnet、Oracle等。
3、SSL VPN用戶不受上網方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客戶端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打開UDP500端口。
4、SSL VPN只需要維護中心節點的網關設備,客戶端免維護,降低了部署和支持費用。而IPSec VPN需要管理通訊的每個節點,網管專業性較強。
5、SSL VPN 更容易提供細粒度訪問控制,可以對用戶的權限、資源、服務、文件進行更加細緻的控制,與第三方認證系統(如:radius、AD等)結合更加便捷。而IPSec VPN主要基於IP組對用戶進行訪問控制。
在實現技術及應用方面,從以下四個方面論述:
一、SSL VPN和IPSec VPN在底層協議上的區別
簡單來說,SSL和IPSec兩個都是加密的通訊協議, 從任何TCP網絡來保護基於IP的數據流。這兩種通訊協議都有它們自己獨特的特色和好處。
IPSec協議是網絡層協議, 是為保障IP通信而提供的一系列協議族。SSL協議則是套接層協議,它是保障在Internet上基於Web的通信的安全而提供的協議。
IPSec針對數據在通過公共網絡時的數據完整性、安全性和合法性等問題設計了一整套隧道、加密和認證方案。IPSec能為IPv4/IPv6網絡提供能共同操作使用的、高品質的、基於加密的安全機制。提供包括存取控制、無連接數據的完整性、數據源認證、防止重發攻擊、基於加密的數據機密性和受限數據流的機密性服務。
SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL是一種高層安全協議,建立在應用層上。SSL VPN使用SSL協議和代理為終端用戶提供HTTP、客戶機/服務器和共享的文件資源的訪問認證和訪問安全SSL VPN傳遞用戶層的認證。確保只有通過安全策略認證的用戶可以訪問指定的資源。
SSL是專門設計來保護HTTP通訊協議。當瀏覽器和Web服務器雙方皆已設定好來支持SSL時,如果透過這個通訊協議所傳輸的數據流加密,SSL將提供一個安全的"封套"來保護瀏覽器和Web服務器中的IP封包。在IPSec和SSL通訊協議的設計上有一些原理上的不同。第一,IPSec是以網絡層為中心,而SSL是以應用層為中心。第二,IPSec需要專門的使用端軟件,而SSL使用任何SSL支持的瀏覽器為使用端。最後,SSL原本是以機動性為中心而IPSec不是。
二、 SSL VPN 和IPSec VPN在連接方式上的區別
在連接方式上,SSL VPN 和IPSec VPN 也有很大的區別。IPSec VPN 最初設計是用來為企業的各個部門之間提供站點到站點通信的。由於企業將用戶擴展到了包括遠程訪問,於是不得不擴充IPSec協議的標準,或者修改廠商實現的協議。
IPSec VPN通過在兩站點間創建隧道提供直接(非代理方式)接入,實現對整個網絡的透明訪問;一旦隧道創建,用戶PC就如同物理地處於企業LAN中。它要求軟硬件兼容,要求"隧道"兩端幾乎只能是同一個供應商的軟件。採用IPSec VPN,企業要指定"隧道"兩端使用的技術,但是很少有公司能夠或者願意強迫他們的合作伙伴或者客戶也選用這個技術,這就限制了通過IPSec VPN建立企業外網的應用。
相對於傳統的IPSec VPN,SSL能讓企業實現更多遠程用戶在不同地點接入,實現更多網絡資源訪問,且對客戶端設備要求低,因而降低了配置和運行支撐成本。很多企業用戶採納SSL VPN作為遠程安全接入技術,主要看重的是其方便的接入能力。
SSL VPN提供增強的遠程安全接入功能。IPSec VPN的接入方式,使用戶PC就如同物理地處於企業LAN中。這帶來很多安全風險,尤其是在接入用戶權限過大的情況下。SSL VPN提供安全、可代理連接,只有經認證的用戶才能對資源進行訪問,這就安全多了。SSL VPN能對加密隧道進行細分,從而使得終端用戶能夠同時接入Internet和訪問內部企業網資源,也就是說它具備可控功能。另外,SSL VPN還能細化接入控制功能,易於將不同訪問權限賦予不同的用戶,實現伸縮性訪問;這種精確的接入控制功能對遠程接入IPSec VPN來說幾乎是不可能實現的。
SSL VPN基本上不受接入位置限制,可以從眾多Internet接入設備、任何遠程位置訪問網絡資源。SSL VPN通信基於標準TCP/UDP協議傳輸,因而能遍歷所有NAT設備、基於代理的防火牆和狀態檢測防火牆。這使得用戶能夠從任何地方接入,無論是處於其他公司網絡中基於代理的防火牆之後,或是寬帶連接中。而IPSec VPN在稍複雜的網絡結構中則難於實現。另外,SSL VPN能實現從可管理企業設備或非管理設備接入,如家用PC或公共Internet接入場所,而IPSec VPN客戶端只能從可管理或固定設備接入。隨著遠程接入需求的不斷增長,遠程接入IPSec VPN在訪問控制方面受到極大挑戰,而且管理和運行成本較高,它是實現點對點連接的最佳解決方案,但要實現任意位置的遠程安全接入,SSL VPN則要更加理想。
三、SSL VPN 和IPSec VPN在安全方面的區別
IPSec安全協議的一個主要優勢就是隻需要在客戶和網絡資源邊緣處建立通道。僅保護從客戶到公司網絡邊緣連接的安全,不管怎樣,所有運行在內部網絡的數據是透明的,包括任何密碼和在傳輸中的敏感數據。SSL安全通道是在客戶到所訪問的資源之間建立的,確保端到端的真正安全。無論在內部網絡還是在因特網上數據都不是透明的。客戶對資源的每一次操作都需要經過安全的身份驗證和加密。
使用IPSec的聯機方式,每一個使用者端在網絡上會被當成一個節點,而此聯機會一直處於激活的狀態(Active)。因此,一但使用者端的計算機被黑客或病毒入侵,黑客就可以透過此網絡連結進入另一個端點,也就是公司內部。因這樣的運作模式,此節點很有可能成為黑客、病毒入侵的管道。使用SSL VPN的方式做網絡聯機則可以避免這樣的問題發生。因為,SSL VPN的一大特點就是具有Session保護功能,就是在會話停止一段時間以後切自動斷聯機,如果需要繼續訪問則需要重新登錄。這樣的SSL通訊協議機制可以有效避免黑客和病毒的入侵威脅。
遠程用戶以IPSec VPN的方式與公司內部網絡建立聯機之後,內部網絡所連接的應用系統,都可以被偵測到,這就提供了黑客攻擊的機會。若是採取SSL VPN來聯機,因為是直接開啟應用系統,並沒在網絡層上連接,黑客不易偵測出應用系統內部網絡機制,所受到的威脅也僅是所聯機的應用系統,攻擊機會相對減少許多。
四、SSL VPN和IPSec VPN在企業應用方面的互補
許多專家認為,就通常的企業高級用戶和LAN-to-LAN連接所需要的直接訪問企業網絡功能而言,IPSec VPN的優勢無可比擬。然而,典型的SSL VPN卻被認為最適合於普通遠程員工訪問基於Web的應用。因而,如果需要更全面的、面向基於瀏覽器應用的訪問,以及面向遠程員工、把所有辦公室連接起來,SSL VPN無疑是首選。
另一方面,SSL VPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec,這項不需要客戶軟件的功能正是一個重要因素。除此之外,SSL VPN還有其它經常被提到的特性,包括降低部署成本、減小對日常性支持和管理的需求。此外,因為所有內外部流量通常都經過單一的硬件設備,這樣就可以控制對資源和URL的訪問。
廠商推出這類不需要客戶軟件的VPN產品後,用戶就能通過與因特網連接的任務設備實現連接,並藉助於SSL隧道獲得安全訪問。這需要在企業防火牆後面增添硬件,但企業只要管理一種設備,不必維護、升級及配置客戶軟件。
因為最終用戶通過與因特網連接的任何設備就能訪問企業的網絡,SSL更容易滿足大多數員工對移動連接的需求。不過這種方案的問題在於,SSL VPN的加密級別通常不如IPSec VPN高。所以,儘管部署和支持成本比較低,但SSL VPN仍有其缺點。同時,SSL VPN還具有一定的侷限性,只能訪問通過網絡瀏覽器連接的資源。
SSL VPN在不需要客戶軟件的運行環境中有其效率和好處,但在性能、應用覆蓋等方面也存在問題。SSL VPN這種方案可以解決操作系統的客戶軟件問題、客戶軟件維護問題,但肯定不能完全替代IPSec VPN,因為各自所要解決的是幾乎沒多少重疊的兩種不同問題。
對需要遠程訪問的大多數公司而言,所支持的應用應當包括公司為儘量提高效率、生產力和盈利能力所需要的各種應用。SSL VPN能支持的應用種類比較有限。
大多數SSL VPN都是HTTP反向代理,這樣它們非常適合於具有Web功能的應用,只要通過任何Web瀏覽器即可訪問。HTTP反向代理支持其它的查詢/應答應用,譬如基本的電子郵件及許多企業的生產力工具,譬如ERP和CRM等客戶機/服務器應用。為了訪問這些類型的應用,SSL VPN為遠程連接提供了簡單、經濟的一種方案。它屬於即插即用型的,不需要任何附加的客戶端軟件或硬件。
然而,同樣這個優點偏偏成了SSL VPN的最大侷限因素:用戶只能訪問所需要的應用和數據資源當中的一小部分。SSL VPN無法為遠程訪問應用提供全面的解決方案,因為它並不有助於訪問內部開發的應用,也不有助於訪問要求多個渠道和動態端口以及使用多種協議這類複雜的應用。不過這對公司及遠程用戶來說卻是一個關鍵需求。譬如說,SSL VPN沒有架構來支持即時消息傳送、多播、數據饋送、視頻會議及VoIP。
儘管SSL能夠保護由HTTP創建的TCP通道的安全,但它並不適用於UDP通道。然而,如今企業對應用的支持要求支持各種類型的應用:TCP和UDP、客戶機/服務器和Web、現成和內部開發的程序。在這方面就需要應用IPSec VPN才能勝任。
理想的應用情況是:企業在總部和各個分部之間通過IPSec VPN進行連接,這樣可以把總部和分部的終端包括在一個LAN中。而為移動辦公或者出差的人員提供VPN的接入服務。充分利用IPSec VPN的互補性,使企業的網絡結構更加的合理
總的來說,IPSec VPN和SSL VPN在應用方面都有各自的優點和缺點。往往一方的缺點就是對方的缺點。兩種技術在應用上具有很大的互補性。企業在選購VPN產品的時候,可以針對這些優缺點,結合企業自身的應用合理的選擇合適的VPN產品。
閱讀更多 運維小弟 的文章
