论ipsecvpn和sslvpn的优劣及适应性

1、陈侃侃138008 1虚拟专用网络 虚拟专用网络(VPN： Virtual Private Network)VPN是通过公用网络 (如Internet )建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。随着网络，尤其是网络经济的发展，企业规模日益扩大，客户分布日益广泛，合作伙伴日益增多， 传统企业网基于固定地点的专线连接方式，已难以适应现代企业的需求。于是企业在自身网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。虚拟专用网(VPN以其独具特色的优势，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连

2、接，并保证数据的安全传输。因此，虚拟专用网赢得了越来越多的企业的青睐，通过将数据流转移到低成本的网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远 程网络连接上的费用。同时这也将简化网络的设计和管理。令企业可以较少地关注网络的运行与维护，更多地致力于企业商业目标的实现。如下图可以清楚的看到目前流行的，应用比较广泛两种 VPN的连接方式 IPsec VPN和SSL VPN 图1VPN有多种，每种都能满足特定的需求下面是二种主要的 VPN1)内部网接入 VPN接入VPN让移动办公者和小型办公室 /家庭办公室SOHQ通过基础的 共享设施远程接入总部的内部网和外联网。该方式使用专用

3、连接通过共享基础设施将地区性办事处和远程办公室与总部的内部网络连接起来。内部网接入VPN与外联网VPN区别在于，前者只允许企业的雇员访问。2)外联网 VPN (“外联网(Extranet) ”是不同单位间为了频繁交换业务信息，而基于互联 网或其他公网设施构建的单位间专用网络通道。因为外联网涉及到不同单位的局域网， 所以不仅要确保信息在传输过程中的安全性，更要确保对方单位不能超越权限，通过外联网连入本单位的内网。)外联网VPN使用专用连接通过共享基础设施将商业伙伴与总部网络连接起 来。外联网VPN与内部网VPN的区别在于，前者允许企业以外的用户访问。IPSec VPNIPSec是现在企业网络通讯

4、应用中被广泛使用的加密及隧道技术，同时也是在不牺牲安全性前提下，被选用来在网络第三层建立IP-VPN的方法，特别是对于无法负担 Frame Relay或ATM高额费用的中小企业而言，IPSec的应用是一项福音。而目前SSL VPN以其设置简单无需安装客户端的优势，越来越受到企业的欢迎，可望成为未来企业确保信息安全的新宠。IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec是IETF(InternetEngineer Task Force)正在完善的安全标准，相对于SSLVPN而言应用较早的一种 VPNj术。IPSec协议是一个范围广泛、开放的虚拟专用网安全协议 ，

5、它提供所有在网络层上的数据保 护，提供透明的安全通信。IPSec是基于网络层的，不能穿越通常的NAT防火墙。IPsec 协议IP_SECURITY协议(IPSec),通过相应的隧道技术，可实现 VPN IPSec有两种模式：隧道模 式和传输模式。IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协Authentication Header(AH) 、封装安全载荷协议Encapsulating Security Payload(ESP) 、密钥管理协议 Internet Key Exchange(IKE) 和用 于网络认证及加密的一些算法等。IPS

6、ec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。IPSec VPN 接入通过在两站点间创建隧道提供直接(非代理方式)接入，实现对整个网络的透明访问；一旦隧道创建，用户 PC就如同物理地处 于企业LAN中。就通常的企业高级用户( Power User )和LAN-to-LAN连接所需要的直接访 问企业网络功能而言，IPSec无可比拟。然而，典型的SSL VPN被认为最适合于普通远程员工访问基于Web的应用。SSL VPM需要在最终用户的PC和便携式电脑上装入另外的客户软件。有些公司之所以选择SSL而不是IPSec,这项不需要

7、客户软件的功能正是一个重要因素。因为最终用户避免了携带便携式电脑，通过与因特网连接的任何设备就能获得访问，SSL更容易满足大多数员工对移动连接的需求。但 SSL VPN也有其缺 点：业内人士认为，这些缺点通常涉及客户端安全和性能等问题。对E-mail和Intranet而言，SSL VPN是很好；但对需要较高安全级别(SSL VPN的加密级别通常不如 IPSec VPN高)、较为复杂的应用而言，就需要IPSec VPNIPSec VPN 的应用是提供站点到站点连接的首要工具，通过这种连接，你可以在广域网( WAN上实现基础设 施到基础设施的通信。而 SSL VPN不需要客户软件的特性有助于降低成

8、本、减缓远程桌面维 护方面的担忧。但是，SSL的局限性在于，只能访问通过网络浏览器连接的资源。所以，这 要求某些应用要有小应用程序，这样才能够有效地访问。如果企业资产或应用没有小应用程序，要想连接到它们就比较困难。因而，你无法在没有客户软件的环境下运行，因为这需要某种客户软件丰富(Client-Rich )的交互系统。SSL VPNSSL VPN协议SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成，其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器和客户端在应用协议传输第一个数据字节以前，彼此确认，协商一种加密算法和密码钥匙。在数据传输期间，记录协议

9、利用握手协议生成的密钥加密和解密后来交换的数据。SSL VPN的接入SSL独立于应用，因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL置身于网络结构体系的传输层和应用层之间。此外，SSL本身就被几乎所有的 Web浏览器支持。这意味着客户端不需要为了支持SSL连接安装额外的软件。这两个特征就是SSL能应用于VPN不同于IPsec-vpn的关键点。SSL VPN的应用典型的SSL VPN应用如OpenVPN是一个比较好的开源软件。PPTP主要为那些经常外出移动或家庭办公的用户考虑；而OpenVPNi要是针对企业异地或两地总分公司之间的VPN不间断按需连接，例如 ERP在企业中的应

10、用。 OpenVPN许参与建立 VPN的单点使用预设的私钥， 第三方证书，或者用户名/密码来进行身份验证。它大量使用了 OpenSSL加密库，以及SSLv3/TLSv1 协议。OpenVPN!旨在 Linux、xBSD Mac OS X与 Windows 2000/XP 上运行。它 并不是一个基于 Web的VPN软件，也不与IPsec及其他VPNM牛包兼容。2 IPSec VPN 和 SSL VPN的优劣部署万案IPSECVPN设计来保护私有的数据流从各种不被彳t任的网络传送到信任的网络。IPSec VPN在部署时一般放置在网络网关处，因而要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络

11、结构， 那么IPSec VPN 就要重新部署，因此造成 IPSec VPN的可扩展性比较差。由于工作在第三层，对上层的应用是透明的，几乎可以为所有的应用提供服务，包括客户端/服务器模式和某些传统的应用及网络共享等。以 IPSec VPN作为点对点连结方案，可以提供网与网之间的连接。 SSLVPN工作在网络层和应用层之间，它一般部署在内网中任一节点处即可，可以随时根据 需要，添加需要VPN呆护的服务器，因此无需影响原有网络结构。大多数SSL的VPN都是基 WebJ览器工作的，基于Web访问的开放体系和一些特定的系统如 邮件，ftp等，主要用于单机对服务器的访问。浏览器/服务器(Browser/S

12、erver )结构，简称 B/S结构，与C/S结构不同，其客户端不需 要安装专门的软件，只需要浏览器即可，浏览器通过Web服务器与数据库进行交互，可以方便的在不同平台下工作。客户机/服务器(Client/Server )结构，简称 C/S结构。服务器通常采用高性能的PG工作站或小型机，并采用大型数据库系统，如ORACLE SYBASE SQLServer o客户端需要安装专用的客户端软件来实现与服务器端进行交且OSSL这种方案可以解决 OS客户软件问题、客户软件维护问题，但肯定不能完全替代IPSecVPN因为他们各自所要解决的是几乎没多少重叠的两种不同问题：1) SSL优势其实主要集中在 VP

13、N客户端的部署和管理上，我们知道SSL无需安装客户端，主要是由于浏览器内嵌了SSL协议，也就是说是基于 B/S结构的业务时，可以直接使用浏览器完成SSL的VPN!立；但如果客户的应用系统采用的是 C/S结构的话，仍然需要安装Client软件；2)目前进行 VPN部署的用户大部分都是要求对现有业务需要支持的用户，而据统计这样的用户95 %以上都有基于 C/S架构的重要应用系统，也就是说其“ Client软件无需安装”的优势是有很大局限性的；3)基于B/S结构的安全性劣于基于C/S结构；4)基于IPSEC的VPN虽然在业务应用基于 B/S上没有基于SSL的方便，但在业务应用基于 C/S方面却存在很

14、大优势。安全性1)安全测试一IPSec VPN已经有多年的发展，有许多的学术和非营利实验室，提供各种的测试准则和服务，其中以 ICSA Labs是最常见的认证实验室，大多数的防火墙，VPN厂商，都会以通过它的测试及认证为重要的基准。但SSL VPN在这方面，则尚未有一个公正的测试准则，但是 ICSA Labs实验室也开始着手 SSL/TLC的认证计划，预计在今年底可以完成第一阶段的 Crypto运算建置及基础功能测试程序。2)认证和权限控管IPSec采取Internet Key Exchange(IKE)方式，使用数字凭证(Digital Certificate)或是一组 Secret Key

15、 来做认证，而SSL仅能使用数字凭证，如果都是采取数字凭证来认证，两者在认证的安全等级上就没有太大的差别。SSL的认证，大多数的厂商都会建置硬件的token ,来提升认证的安全性。对于使用权限的控管，IPSec可以支持Selectors，让网络封包过滤阻隔某些特定的主机应用系统。但是实际作业上，大多数人都是开发整个网段 （Subset）,以避免太多的设 定所造成的麻烦。SSL可以设定不同的使用者，执行不同的应用系统，它在管理和设定上比IPSec简单方便许多。在电子商务和电子政务日益发展的今天，各种应用日益复杂，需要访问内部网络人员的身份也多种多样，比如可能有自己的员工、控股公司的工作人员、供货

16、商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是，SSL VPN重点在于保护具体的敏感数据，比如SSL VPN可以根据用户的不同身份，给予不同的访问权限。就是说，虽然都可以进入内部网络，但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上，不仅可以控制访问人员的权限，还可以对访问人员的每个访问，做的每笔交易、每个操作进行数字签名，保证每笔数据的不可抵赖性和不可否认性，为事后追踪提供了依据。可以对接入客户进行各种限制，如可以访问的地址、端口、URL等等，因此SSL VPN在访问控制方面比 IPSec VPN具有更细粒度3）应用系统的攻击一远程用户以

17、IPSec VPN的方式与公司内部网络建立联机之后，内部网络所连接的应用系统，都是可以侦测得到，这就提供了黑客攻击的机会。若是采取SSL-VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络物制，所受到的威胁也仅是所联机的这个应用系统，攻击机会相对就减少。4）病毒入侵一一一般企业在 Internet 联机入口，都是采取适当的防毒侦测措施。IPSec VPN的安全性一直是一个弱点，由于 IP?Sec VPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题，目前好多厂家也正积极改进从而解决这个问题。若是采取SSL VPN来联机，因为是直接开启应用系统，病毒

18、传播会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接，受外界病毒感染的可能性大大减小。5）防火墙上的通讯端口一在 TCP/IP的网络架构上，各式各样的应用系统会采取不同的通讯 协议，并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email 系统来说，IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上，每开启一个通讯端口，就多一个黑客攻击机会。而SSL VP硼没有这方面的困扰。因为在远程主机与SSLVPN之间，采用SSL通讯端口 443来作为传输通道，这个通讯端口，一般是作为Web

19、 Server对外的数据传输通道，因此，不需在防火墙上做任何修改，也不会因为不同应用系统的需求，而来修改防火墙上的设定，减少 IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护，那么在日常办公中防火墙只开启一个443端口就可以，因此大大增强内部网络受外部黑客攻击的可能性。同时可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径。可扩展性安全性IPSec VPN在部署时，要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可扩展性比较差。而 SSL VP

20、N就有所不同，可以随时根据需要，添加需要VPN保护的服务器。经济效益对于IPSec VPN来说，每增加一个需要访问的分支，就需要添加一个硬件设备。所以，尤其是对于一个成长型的公司来说，随着IT建设的扩大，要不断购买新的设备来满足需要。另外，就使用成本而言，SSL VPN具有更大的优势，由于这是一个即插即用设备，在部署实施以后，一个具有一定 IT知识的普通工作人员就可以完成日常的管理工作。假设一个公司有 1000个用户需要进行远程访问，那么如果购买 IPSec VPN,那么就需要购买1000个客户端许可，而如果购买SSLVPN,因为这1000个用户并不同时进行远程访问，按照统计学原理，假定只有1

21、00个用户会同时进行远程访问，只需要购买100个客户端许可即可。因此以IPSec VPN乍为点对点连结方案，而以SSL VPN作为远程访问方案，将是一种不错的选择。3 SSL VPN和IPSEC VPN的适应性由于目前在 VPN领域存在着IPSec VPN和SSL VPN之争。厂商也划分了两大阵营。年初，Gartner就出台了一份报告，称未来全球SSL VPN的市场增长速度将达到 170%A上，但是直到 8月，才有诺基亚的 SSL VPN以及 彩虹天地基于 SSL的VPN -IPW （In?stant Private Web快速专用网）出台。但是现在就给IPSec、SSL下结论分出谁优谁劣有点

22、为时过早，Gartner调查的SSL VPN170%勺年增长，也与其标准出台晚，市场基数不大有关。厂商也开始研究怎样让 IPSec VPN兼容SSL VPN增强易用性。如果真能做到这点，IPSec VPN 的扩展性将大大加强，市场生命 力也将更长久。虽然SSL VPN有许多相对IPSec VPN的优点，但对于应用 VPN的大、中型企业来说这些优点 显得不是很重要。一个企业往往有很多种应用（OA财务、销售管理、ERP很多并不基于 Web,单纯只有 Web应用的极少。一般企业希望VPN能达到局域网的效果（比如网上邻居，而SSLVPN只能保护应用层协议，如WEB FTP等），保护更多的应用这点，SSL VPN根本做不到。所以目前的 SSLVPN应用还仅适用于基于 Web的