wampserver 64 3.0.6:IPSec VPN与SSL VPN的特点比较——北京国富安电子商务安全认证有限公司

IPSec VPN与SSL VPN的特点比较

　　首先让我们从SSL VPN和IPSec VPN个阵营出发做一个比较。

　　1 SSL VPN相对于IPSec VPN的优势

　　1.1 SSL VPN比IPSec VPN部署、管理成本低

　　首先我们先认识一下IPSEC存在的不足之处:

　　在设计上，IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于，它们尽量提高IP环境的安全性。可问题在于，部署IPSec需要对基础设施进行重大改造，以便远程访问。好处就摆在那里，但管理成本很高。IPSec安全协议方案需要大量的IT技术支持，包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。

　　IPSec VPN最大的难点在于客户端需要安装复杂的软件，而且当用户的VPN策略稍微有所改变时，VPN的管理难度将呈几何级数增长。SSL VPN则正好相反，客户端不需要安装任何软件或硬件，使用标准的浏览器，就可通过简单的SSL安全加密协议，安全地访问网络中的信息。

　　其次我们再看看SSL的优势特点:

　　SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁，目前对SSL VPN公认的三大好处是:

　　第一来自于它的简单性，它不需要配置，可以立即安装、立即生效;

　　第二个好处是客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行;

　　第三个好处是兼容性好，传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件，而SSL VPN则完全没有这样的麻烦。

　　综合分析可见:

　　1. SSL VPN强调的优势其实主要集中在VPN客户端的部署和管理上，我们知道SSL VPN一再强调无需安装客户端，主要是由于浏览器内嵌了SSL协议，也就是说是基于B/S结构的业务时，可以直接使用浏览器完成SSL的VPN建立;

　　2. 某些SSL VPN厂商如F5有类似IPSec VPN的“网络访问”方式，可以解决传统的C/S应用程序的问题，用户用浏览器登录SSL VPN设备后，拨通网络访问资源即可获得一个虚拟IP，即可以访问按照安全策略允许访问的内网地址和端口，和IPSec VPN不同的是，这种方式并非工作在网络层，所以不会有接入地点的限制;

　　1.2 SSL VPN比IPSec VPN更安全

　　首先我们还是先认识一下IPSEC存在的不足之处:

　　1. 在通路本身安全性上，传统的IPSec VPN还是非常安全的，比如在公网中建立的通道，很难被人篡改。说其不安全，是从另一方面考虑的，就是在安全的通路两端，存在很多不安全的因素。比如总公司和子公司之间用IPsec VPN连接上了，总公司的安全措施很严密，但子公司可能存在很多安全隐患，这种隐患会通过IPsec VPN传递给总公司，这时，公司间的安全性就由安全性低的分公司来决定了。

　　2. 比如黑客想要攻击应用系统，如果远程用户以IPSec VPN的方式与公司内部网络建立联机之后，内部网络所连接的应用系统，黑客都是可以侦测得到，这就提供了黑客攻击的机会。

　　3. 比如应对病毒入侵，一般企业在Internet联机入口，都是采取适当的防毒侦测措施。采用IPSec联机，若是客户端电脑遭到病毒感染，这个病毒就有机会感染到内部网络所连接的每台电脑。

　　4. 不同的通讯协议，并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说，发信和收信一般都是采取SMTP和POP3通讯协议，而且两种通讯协议采用25和110端口，若是从远程电脑来联机Email服务器，就必须在防火墙上开放25和110端口，否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上，每开启一个通讯埠，就多一个黑客攻击机会。

　　其次我们再看看SSL的优势特点:

　　1. SSL安全通道是在客户到所访问的资源之间建立的，确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的，客户对资源的每一次操作都需要经过安全的身份验证和加密。

　　2. 若是采取SSL VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络设置，同时黑客攻击的也只是VPN服务器，无法攻击到后台的应用服务器，攻击机会相对就减少。有的厂商如F5公司的产品，可以对客户端允许访问的地址、协议、端口都加以限制;可以对客户端做各种检查，如操作系统补丁、防病毒软件及病毒库更新时间、个人防火墙等等，不符合条件的客户端可以不允许其登录，这样就大大增加了整个系统的安全性。

　　3. 而对于SSL VPN的联机，病毒传播会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接，受外界病毒感染的可能性大大减小。有的厂商如F5公司的产品，自身带有防病毒软件，更可以通过标准协议连接防病毒软件，加强对于病毒的防治。

　　4. SSL VPN就没有这方面的困扰。因为在远程主机与SSLVPN 之间，采用SSL通讯端口443来作为传输通道，这个通讯端口，一般是作为Web Server对外的数据传输通道，因此，不需在防火墙上做任何修改，也不会因为不同应用系统的需求，而来修改防火墙上的设定，减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护，那么在日常办公中防火墙只开启一个443端口就可以，因此大大增强内部网络受外部黑客攻击的可能性。

　　1.3 SSL VPN与IPSec VPN相比，具有更好的可扩展性

 　首先我们还是先认识一下IPSec VPN存在的不足之处:

　　IPSec VPN在部署时一般放置在网络网关处，因而要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可扩展性比较差。

　　其次我们再看看SSL VPN的优势特点:

　　SSL VPN就有所不同，它一般部署在内网中任一节点处即可，可以随时根据需要，添加需要VPN保护的服务器，因此无需影响原有网络结构。

　　1.4 SSL VPN在访问控制方面比IPSec VPN具有更细粒度

　　为什么最终用户要部署VPN，究其根本原因，还是要保护网络中重要数据的安全，比如财务部门的财务数据，人事部门的人事数据，销售部门的项目信息，生产部门的产品配方等等。

　　首先我们还是先认识一下IPSEC存在的不足之处:

　　由于IPSec VPN部署在网络层，因此，内部网络对于通过VPN的使用者来说是透明的，只要是通过了IPSec VPN网关，他可以在内部为所欲为。因此，IPSec VPN的目标是建立起来一个虚拟的IP网，而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。

　　其次我们再看看SSL的优势特点:

　　在电子商务和电子政务日益发展的今天，各种应用日益复杂，需要访问内部网络人员的身份也多种多样，比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是，SSL VPN重点在于保护具体的敏感数据，比如SSL VPN可以根据用户的不同身份，给予不同的访问权限。就是说，虽然都可以进入内部网络，但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上，不仅可以控制访问人员的权限，还可以对访问人员的每个访问，做的每笔交易、每个操作进行数字签名，保证每笔数据的不可抵赖性和不可否认性，为事后追踪提供了依据。

　　1.5 使用SSL VPN相比IPSec VPN也具有更好的经济性

　　假设一个公司有1000个用户需要进行远程访问，那么如果购买IPSec VPN，那么就需要购买1000个客户端许可，而如果购买SSL VPN，因为这1000个用户并不同时进行远程访问，按照统计学原理，假定只有100个用户会同时进行远程访问，只需要购买100个客户端许可即可。

　　2 F5产品的特色

　　现在市场上充斥了各式各样的SSL VPN产品，相对于IPSec VPN产品之间的区别，SSL VPN产品之间的区别大的惊人，从“玩具”形态只实现了简单反向SSL代理的SSL VPN到提供了众多功能的“工具”级的成熟SSL VPN产品，是完全不同的，下面从F5的FirePass的特点出发再与IP Sec VPN产品做一个对比。

　　2.1 产品的多样化

　　F5的FirePass在同一硬件里集成了IP Sec VPN与SSL VPN功能，为企业节省了投资。

　　2.2 丰富的功能

　　F5的FirePass的SSL VPN包括网络访问、web 应用程序、Windows文件共享、移动电子邮件、针对C/S应用的应用访问等功能，提供了远比IPSec VPN丰富的功能。

　　2.3 高可用性

　　对于远程访问非常重要的企业来说，远程访问设备的高可用性非常重要，而IPSec VPN无法提供高可用性，往往成为系统的单点故障。而F5 FirePass可以多台以集群方式对外提供服务，也可以前端使用F5 BIG IP作为负载均衡设备对外提供服务，在提高系统可用性的同时也提高了系统性能。

　　2.4 与企业原有AAA服务器集成

　　企业在部署远程访问设备之前，一般都部署了各种形式的AAA服务器，一般有Active Directory、LDAP、Raduis、企业自行开发的SSO等等，客户端也有PKI、RSA Secure ID等等。FirePass可以轻易的与这样AAA服务器集成，对于IT管理员来说，可以轻易将一台FirePass加入企业网，用户管理仍然由原来的 AAA服务器去做。

　　2.5 详细的日志功能

　　IPSec VPN的日志功能非常薄弱，而FirePass可以提供非常丰富的用户级日志功能，更可以通过标准的日志协议将日志实时传送给企业中的日志服务器，便于审计。

　　2.6 更高的安全性

　　IPSec VPN的安全性一直是一个弱点，由于IPSec VPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题，而F5 FirePass可以很好的解决这个问题。在FirePass的门户站主机访问模式下，FirePass可以对上传的文件做病毒扫描，更可以与企业现有的防病毒软件联动，彻底解决病毒问题。而FirePass内带的内容检查功能，解决了Web攻击问题。

　　F5 FirePass可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径。

　　F5 FirePass可以对接入客户进行各种限制，如可以访问的地址、端口、URL等等。

　　F5 FirePass可以配置成在退出时自动清除高速缓存。

　　以上这些功能都大大增强了系统的安全性。

　　2.7 接入设备的多样性

　　F5 FirePass可以使用多种客户端接入，包括Mac、Linux、Solaris、Windows CE等等，大大扩展了客户端的使用便利性。

　　2.8 更高的性能

　　对于SSL VPN的性能，一向是IPSec VPN阵营攻击SSL VPN的有力武器。确实，SSL VPN单台的性能是无法与最高端的IPSec VPN相抗衡的，但是由于F5的FirePass可以通过自由堆叠来扩展，反而可以提供更高的性能。

　　Socks5 VPN功能是对传统的IPSec VPN和SSL VPN的革新，是在总结了IPSec VPN和SSL VPN的优缺点以后，提出的一种全新的解决方案。

　　3.Socks5 VPN运行在会话层，并且提供了对应用数据和应用协议的可见性，使网络管理员能够对用户远程访问实施细粒度的安全策略检查。基于会话层实现Socks5 VPN的核心是会话层代理，通过代理可以将用户实际的网络请求转发给应用服务器，从而实现远程访问的能力。

　　在实现上，通过在用户机器上安装Socks5 VPN瘦客户端，由瘦客户端监控用户的远程访问请求，并将这些请求转化成代理协议可以识别的请求并发送给Socks5 VPN服务器进行处理，Socks5 VPN服务器则根据发送者的身份执行相应的身份认证和访问控制策略。在这种方式上，Socks5 VPN客户端和Socks5 VPN服务器扮演了中间代理的角色，可以在用户访问远程资源之前执行相应的身份认证和访问控制，只有通过检查的合法数据才允许流进应用服务器，从而有力保护了组织的内部专用网络。