IPSec-VPN和SSL-VPN的比较与区别

IPSecVPN和SSLVPN的比较与区别首先我们先来介绍一下什么是IPSecVPN以及SSLVPNIPSecVPN简单来说就是采用IPSec协议来实现远程登录的一种VPN技术,IPSec是IETF(InternetEngineerTaskForce)制定的安全标准，IPSec协议是一个范围广泛、开放的虚拟专用网安全协议,它提供所有在网络层上的数据保护，提供透明的安全通信。需要指出的是IPSec是基于网络层的，不能穿越通常的NAT、防火墙。SSLVPN简单来说就是采用SSL协议来实现远程登录的一种新型VPN技术。SSL（SecuritySocketLayer）协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。值得一提的是，SSL协议被内置于IE等浏览器中，使用SSL协议进行认证和数据加密的SSLVPN就可以免于安装客户端，简化了客户端的操作。下面我们来谈谈二者之间的区别1认证方面，IPSec采用InternetKeyExchange(IKE)方式，通过数字凭证或是一组密匙来做认证；而SSL仅能使用数字凭证，所以如果两者都采用数字凭证的认证方式的话，它们的认证安全等级几乎是相同的。用户控制方面，IPSec能明确使用收控的设备接入的移动用户；而SSL则使用无法控制的设备接入的用户。2安全通道方面，IPSec和SSL都采用对称式或非对称式这两种典型的加密算法来执行加密作业。所以两者在安全通道方面并无太大的区别，区别仅在于应用方面。3关于系统攻击方面，采用IPSec方式连接的话，内网所连接的应用系统都有可能被黑客监测到，并找到攻击机会。而采用SSL方式连接的话，由于采用直接开始应用系统，没有网络层上的链接，所以黑客不容易监测到，攻击的机会也很小。4防病毒方面，如果采用IPSec联机，一旦客户端遭到病毒感染，那么这个病毒就很可能会感染到内部网络所连接的每台电脑。相对来说，如果采用SSL联机，感染的仅限于这台主机，并且病毒必须是针对相同的应用系统的类型，否则这台主机都不会被感染。SSLVPN相比IPSecVPN的优势1、SSLVPN应用简单，不需要配置，可以立即安装、快速实现；它的客户端不需要复杂的安装，因为浏览器中内嵌了SSL协议；它的兼容性好，与IPSecvpn对不同的操作系统需要不同的客户端软件不同，SSL完全不需要这样的麻烦。2、SSLVPN比IPSECVPN更安全，SSL的安全通道是点到点连接的，所以无论是在局域网还是外网数据都不透明，像上面介绍的一样，SSL受黑客攻击的机会很小，感染病毒的可能也很低，即使感染了也仅是一台主机，不会影响到整个网络的。3、SSLVPN具有更好的可扩展性，IPSec在部署安全网关时要考虑拓扑排序，一旦添加新设备就要改变网络结构，那就需要重新部署。而SSLVPN由于可以部署在内网中任意节点处，所以可以根据需要添加，无需改变网络结构。4、SSLVPN让数据更安全，由于IPSecVPN是基于网络层的，所以一旦过了IPSecvpn网关，内部就处于无保护状态，内部数据就有丢失的可能。而SSLvpn则是重点保护具体的敏感数据，对于不同的用户名给予不同的操作权限，这样既安全又能保证数据的实时跟踪。5、SSLVPN具有更好的经济性，对于IPSecvpn来说，如果要增加一个访问分支，就需要增加一个硬件设备，这对于中小企业来说是难以承受的。而SSLVPN由于自始至终仅需要一台硬件设备就可以实现添加更多的远程访问权限，投资更具性价比。IPSecVPN相比SSLVPN的优势1、IPSecVPN应用更广泛，由于SSLvpn仅限于web浏览器的应用，对于非web应用的访问哪一实现，例如文件共享，预定文件备份，自动文件传输等。这使得网络资源的共享受限，而IPSec则可以不通过web接入就实现企业资源的访问。2、IPSecVPN是网络层的理想方案，由于IPSec实现的是网络层的连接，任何的局域网应用都可以通过IPSec隧道进行访问，这是最理想的应用方案，对于网络权限管理来说非常有用。3、IPSecVPN适合专用网络，由于提供了完整的网络层连接功能，因此对于实现专用网络的安全连接IPSec是最佳选择。总结：IPSecVPN和SSLVPN应是互补关系通过上面的介绍可以看到，IPSecvpn和SSLvpn是各具优势，然而各自缺点也很明显，虽然SSLvpn是在IPSec之后推出的，但它并不是来取代IPSecvpn的，可以说SSLvpn和IPSec是互补关系，只有它们两个结合起来才能提供更加安全的虚拟专用网络，今后各个企业将为不同的远程网络而同时选择SSL和IPSec，这将是vpn未来的走向。SSLVPN目前在VPN领域存在着IPSecVPN和SSLVPN之争。从厂商上也划分了两大阵营。年初，Gartner就出台了一份报告，称未来全球SSLVPN的市场增长速度将达到170%以上，但是直到8月，才有诺基亚的SSLVPN，以及彩虹天地基于SSL的VPN——IPW（InstantPrivateWeb，快速专用网）出台。但是现在就给IPSec、SSL下结论分出谁优谁劣有点为时过早，Gartner调查的SSLVPN170%的年增长，也与其标准出台晚，市场基数不大有关。SSLVPN的优势在于Web。SSL在Web的易用性和安全性方面架起了一座桥梁。目前，对SSLVPN公认的三大好处是：首先来自于它的简单性，它不需要配置，可以立即安装、立即生效，所以，彩虹天地将它称为快速专用网；第二个好处是客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行；第三个好处是兼容性好，传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件，而SSLVPN则完全没有这样的麻烦。虽然SSLVPN有诸般好处，但SSLVPN并不能取代IPSecVPN。因为，这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性，更多应用在Web的远程安全接入方面；而IPSecVPN是在两个网站之间通过专线或互联网安全连接以及两台服务器之间的安全连接，保护的是点对点之间的通信，并且，它不局限于Web应用。而且IPSecVPN的厂商也开始研究怎样让IPSecVPN兼容SSLVPN，增强易用性。如果真能做到这点，IPSecVPN的扩展性将大大加强，市场生命力也将更长久。IPSecVPN最大的难点在于客户端需要安装复杂的软件，而且当用户的VPN策略稍微有所改变时，VPN的管理难度将呈几何级数增长。SSLVPN则正好相反，客户端不需要安装任何软件或硬件，使用标准的浏览器，就可通过简单的SSL安全加密协议，安全地访问网络中的信息。虽然SSLVPN有许多相对IPSecVPN的优点，但对于应用VPN的大、中型企业来说这些优点显得不是很重要。一个企业往往有很多种应用（OA、财务、销售管理、ERP，很多并不基于Web），单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果（比如网上邻居，而SSLVPN只能保护应用层协议，如WEB、FTP等），保护更多的应用这点，SSLVPN根本做不到。所以目前的SSLVPN应用还仅适用于基于Web的应用，范围有限。只能说未来基于Web的便捷性会吸引很多用户转向SSLVPN