歡迎您光臨本站 註冊首頁

VPN技術討論——IPsec VPN與SSL VPN的比較。

←手機掃碼閱讀     火星人 @ 2014-03-04 , reply:0

VPN技術討論——IPsec VPN與SSL VPN的比較。

經常和客戶交流的時候會碰到要向客戶介紹這兩種VPN的不同之處,以及SSL VPN的優勢等等。
整理出來,大家有興趣可以看一下!
有不同意見的可以來相互交流!
MSN:array123@hotmail.com
需要資料的可以找我。













IPsec vpn & SSL VPN
分析比較






Array Networks, Inc.
2007年11月


概述
由於VPN(虛擬專網)比租用專線更加便宜、安全、靈活,所以有越來越多的公司採用VPN,連接在家工作和出差在外的員工,以及替代連接分公司和合作夥伴的標準廣域網。VPN建在互聯網的公共網路架構上,一般通過加密協議,在發端加密數據、在收端解密數據,以保證數據的私密性。
Internet Protocol Secutity(IPSec) 和 Secure Sockets Layer (SSL) 是企業部署VPN所採用的兩種主要技術,它們都用來作企業遠程接入的加密和認證機制,以下我們簡要介紹一下兩種VPN組網方法,並儘可能的對兩種技術作技術和應用的對比,使企業能夠對兩種技術的優劣進行對比,選取更加適合本企業的VPN技術。














IPSec
從20世紀90年代中期開始,IPSec VPN逐步受到人們重視。IPSec VPN在遠程訪問者和企業區域網之間創建加密「隧道」,從而允許使用者就像他們在公司區域網內部一樣工作,即使他們處在很遙遠的地方。為了創建這個加密隧道,需要安裝VPN的集中器和每一個使用者的筆記本上安裝專用軟體。
如上圖,IPSec VPN是工作在IP層上,是在networks層進行認證和加密的,它的建立需要在VPN的兩端建立IPSec 隧道,一旦隧道建立好,所有的數據流量都從這個隧道穿過,並可以支持之上任意一種IP應用。
IPSec 隧道的建立採用Authentication Header (AH) 協議或 Encapsulating Security Payload (ESP) 協議。IPSec 是一套IETF制定的標準安全協議。
IPSec可以採用40-bit 、128-bit RC4, 56-bit DES、112或168-bit Triple-DES、128-,192-, or 256-bit AES 等加密演算法。
用戶的認證機制採用用戶名、密碼或基於Radius 、RSA SecurID ,或X.509證書等認證機制。


SSL VPN
密套接字協議層(SSL)作為一種新的方式出現在VPN領域。分析人員和媒體給予了SSL VPN以前所未有的關注,而且它的使用正在增加。
SSL VPN工作在TCP層,這個技術特性決定了它是一種基於應用的VPN,可以更好的作應用層的安全訪問控制機制,並能夠做到底層無關性,可以做到部署方式更靈活。由於它的客戶端只需要標準的瀏覽器,可以看作是無客戶端的VPN方案,被認為是SSL VPN的主要特點。
若要使用SSL VPN,要求客戶端必須具有SSL 功能的標準瀏覽器,如IE、Netscape等。除了WEB應用,主要的SSL VPN廠家,包括SSL VPN的領導廠家ArrayNetworks都支持C/S結構的應用,甚至包括動態埠等音頻、視頻等複雜應用。由於要支持C/S結構的應用,一般還要求支持Java和 ActiveX。

加密機制如同IPSec,仍然採用40-bit 、128-bit RC4, 56-bit DES、112或168-bit Triple-DES、128-,192-, or 256-bit AES 等加密演算法


IPSec VPN 和 SSL VPN比較

1. 適用VPN組網結構

IPSec VPN適用 Site to Site 組網:這是由於IPSec VPN採用隧道技術,部署時一般採用兩端部署VPN網關方式。例如當VPN的總部和分支機構有很多IT設備時,採用IPSec組網方式比較靈活,支持應用廣泛。
SSL VPN適用 Client to Site組網:當客戶端為PC終端設備時,採用此方式。當分支機構為少量終端,或者VPN用戶為分佈在廣泛地域的移動用戶時更顯優勢。

IPSec 和 SSL VPN可以互為補充,滿足企業不同的VPN上網群體,達到更加安全的訪問組合。

2. 適用應用

IPSec VPN適用應用廣泛:由於IPSec VPN採用隧道技術,部署時一般採用兩端部署VPN網關方式。當VPN隧道建立后,各種IP應用都可以通過VPN隧道進行訪問,但這也會帶來一定的安全問題。
SSL VPN同樣適用各種應用:由於SSL VPN採用的是 SSL Proxy機制,作各種應用時要進行相對複雜的配置,對於WEB 應用最為適用,當支持C/S應用時,需要採用如JAVA,ActivcX等技術。複雜的控制也帶來了更高的安全性。


3. VPN部署

IPSec VPN部署管理複雜:由於IPSec VPN需要在隧道兩端部署一對VPN網關,或是在客戶端安裝專用客戶端軟體,部署複雜,尤其是對於大量的遠端用戶,除此以外,除非已經在每一台客戶使用的計算機上安裝了管理軟體,軟體補丁的發布和遠程電腦的配置升級將是一件十分令人頭疼的任務,VPN的安裝甚至是一場惡夢。
SSL VPN部署簡單靈活:由於SSL VPN 是一種無客戶端的方式,只需要在數據中心部署VPN網關,屬於集中管理和集中維護模式,雖然在應用適配時複雜一些,但大量用戶的部署就要方便很多。尤其是隨著用戶量的增加,VPN的部署和管理就簡單易行多了。


4. VPN 的投資

IPSec VPN費用昂貴:部署IPSec需要對基礎設施進行重大改造,每一個分支機構都需要部署VPN網關,或是每個客戶端都需要專用軟體。尤其是對於分支機構很多,而每個分支機構終端數量又比較少的情況下,部署VPN網關的費用將急劇上升。

SSL VPN價格低廉:SSL VPN部署是屬於集中部署,只需要在數據中心部署SSL VPN網關,省去了客戶端的費用和部署管理費用,從長期來看,投資將有極大的降低。

5.
VPN 的安全性

IPSec VPN安全缺陷:IPSec 屬於隧道機制,使遠程接入的安全風險增加;由於IPSec VPN在連接的兩端創建隧道,提供直接(而非代理)訪問,並對全部網路可視,因此IPSec VPN會增加安全風險。一旦隧道建立,就像用戶的PC機在公司區域網內部一樣,用戶能夠直接訪問公司全部的應用,由此會大大增加風險。用戶使用個人計算機在家裡或者通過無線區域網工作還面臨著黑客的威脅,這些客戶端的安全行嚴重威脅企業數據中心的安全。
SSL VPN控制完善:SSL VPN是基於應用的VPN,可以針對應用和用戶或組等客戶信息進行細粒度的訪問控制,達到更加安全的保護效果,充分保障企業數據中心的安全。


6. 接入範圍

IPSec VPN接入範圍狹窄:IPSec VPN只能在部署了IPsecVPN 網關的地方適用,或者客戶端安裝專用軟體后才能使用,這對於合作夥伴或商業客戶來講很難說服他們安裝自己的軟體。對於在網吧或出差等用戶來講就更不可能。
SSL VPN接入範圍廣泛:SSL VPN將遠程安全接入延伸到IPSec VPN擴展不到的地方,使更多的員工,在更多的地方,使用更多的設備,安全訪問企業網路資源,同時降低了部署和支持費用。SSL VPN正在成為遠程接入的事實標準。



7. 適用組網結構

IPSec VPN組網不靈活:IPSec VPN的連接性會受到防火牆、網路地址轉換(NAT)的影響,或受網關代理設備(proxy)的影響;因為客戶端的上網方式多種多樣,很多公司是通過Proxy或NAT上網的,IPsec對於這些方式上網的用戶支持很差。
SSL VPN組網方式靈活:SSL VPN是在TCP之上,無論對於防火牆、還是用戶通過NAT設備、Proxy等上網方式都能夠很好的適應。


8. 訪問控制

IPSec VPN控制不靈活:IPSec VPN採用隧道機制,一旦隧道建立,客戶端即可訪問各種應用,很難建立基於應用的訪問控制機制。
SSL VPN訪問控制靈活:SSL VPN是在TCP之上, SSL VPN 更容易提供細粒度遠程訪問(即可以對用戶的許可權和可以訪問的資源、服務、文件進行更加細緻的控制,這是IPSec VPN難以做到的)。
《解決方案》

9. 客戶端安全控制IPSec VPN控制缺失:IPSec VPN採用隧道機制,沒有對客戶端的安全檢測和控制機制,建立IPSec VPN,單單有客戶端軟體是很不夠的。如果沒有防火牆和其他的安全軟體,客戶端機器非常容易成為黑客攻擊的目標。這些客戶端很容易被黑客利用,他們會通過VPN訪問企業內部系統。這種黑客行為越來越普遍,而且後果也越來越嚴重。例如,如果僱員從家裡的計算機通過公司VPN訪問企業資源,在他創建隧道前後,他十幾歲的孩子在這台電腦上下載了一個感染了病毒的遊戲,那麼,病毒就很有可能經過VPN在企業區域網內傳播。
SSL VPN具備客戶端安全模塊:SSL VPN產品一般具備客戶端安全模塊,ArrayNetworks 的 client Security模塊即可完成客戶端的安全檢測功能,甚至可以對客戶端的cache進行清除,還能生成一個安全的客戶端(security desktop),把客戶端的安全風險對數據中心的影響減至最低。SSl VPN還可以進行session級的保護,在客戶長時間的離開自己的機器時,SSL VPN將自動關閉,時間可以根據情況具體配置。




項目
Ipsec
ssl
適用環境
Site to Site
Client to Site
VPN層次
IP 層
應用層   
數據傳輸
隧道方式
SSL傳輸  (TCP 443)
客戶端
需專用軟體
無需專用客戶端軟體
VPN部署
複雜
簡單
遠端維護管理
複雜,成本高
簡單,成本低
部署成本


移動連接
不適用
適用
加密級別


複雜應用支持
容易
較容易
Intranet適用
較好
很好
Web 應用
適合
非常適合
安全級別


NAT支持
不容易
容易
代理訪問
不容易
容易
穿越防火牆
不容易
容易
供應商互操作
不容易
容易
即時消息傳送、多播、視頻會議及VoIP
容易
較複雜
採用L3VPN
B/S 應用
支持
支持
Legacy application
支持
支持
http 應用
支持
支持
文件共享
支持
支持
Wireless device
支持
支持
家庭、網吧、賓館、其他企業接入
不好
很好,非常適用
代理級保護
不支持
支持
用戶認證
不好

用戶授權
有限
靈活
Web 訪問一次性認證
不支持
支持
url 級別的接入限制
不支持
支持
域名和IP地址的保護
不支持
很好
根據用戶訪問的類別控制接入
不支持
支持
Session 級保護
不支持
支持
《解決方案》

附件可以下載。word 文檔。
《解決方案》

謝謝你的勞動
《解決方案》

好好學習!!!!
《解決方案》

究竟哪個好??

從樓主的比較來看,似乎可以得出的結論是,SSL VPN在各個方面都要比IPSEC VPN更有優勢??
《解決方案》

array vpn和openvpn

openvpn 好像也是ssl vpn吧,和array vpn比較起來怎麼樣呢?
《解決方案》

感謝你的總結與整理....
《解決方案》

謝謝!!!
《解決方案》

很好的文章

[火星人 ] VPN技術討論——IPsec VPN與SSL VPN的比較。已經有7126次圍觀

http://coctec.com/docs/service/show-post-13067.html