论IPSecVPN和SSLVPN的优劣及适应性

-.z.论IPSecVPN和SSLVPN的优劣及适应性陈侃侃1380081虚拟专用网络1.1虚拟专用网络(VPN：VirtualPrivateNetwork)VPN是通过公用网络〔如Internet〕建立一个临时的、平安的连接，是一条穿过混乱的公用网络的平安、稳定的隧道。虚拟专用网是对企业内部网的扩展。随着网络，尤其是网络经济的开展，企业规模日益扩大，客户分布日益广泛，合作伙伴日益增多，传统企业网基于固定地点的专线连接方式，已难以适应现代企业的需求。于是企业在自身网络的灵活性、平安性、经济性、扩展性等方面提出了更高的要求。虚拟专用网〔VPN〕以其独具特色的优势，可以帮助远程用户、公司分支机构、商业伙伴及供给商同公司的内部网建立可信的平安连接，并保证数据的平安传输。因此，虚拟专用网赢得了越来越多的企业的青睐，通过将数据流转移到低本钱的网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时这也将简化网络的设计和管理。令企业可以较少地关注网络的运行与维护，更多地致力于企业商业目标的实现。如下列图可以清楚的看到目前流行的，应用比较广泛两种VPN的连接方式——IPsecVPN和SSLVPN。图11.2VPN有多种，每种都能满足特定的需求下面是二种主要的VPN：1〕内部网接入VPN：接入VPN让移动办公者和小型办公室/家庭办公室SOHO能通过根底的共享设施远程接入总部的内部网和外联网。该方式使用专用连接通过共享根底设施将地区性办事处和远程办公室与总部的内部网络连接起来。内部网接入VPN与外联网VPN区别在于，前者只允许企业的雇员访问。2〕外联网VPN：〔"外联网(E*tranet)〞是不同单位间为了频繁交换业务信息，而基于互联网或其他公网设施构建的单位间专用网络通道。因为外联网涉及到不同单位的局域网，所以不仅要确保信息在传输过程中的平安性，更要确保对方单位不能超越权限，通过外联网连入本单位的内网。〕外联网VPN使用专用连接通过共享根底设施将商业伙伴与总部网络连接起来。外联网VPN与内部网VPN的区别在于，前者允许企业以外的用户访问。1.3IPSecVPNIPSec是现在企业网络通讯应用中被广泛使用的加密及隧道技术，同时也是在不牺牲平安性前提下，被选用来在网络第三层建立IP-VPN的方法，特別是对于无法负担FrameRelay或ATM高額费用的中小企业而言，IPSec的应用是一项福音。而目前SSLVPN以其设置简单无需安装客户端的优势，越来越受到企业的欢送，可望成为未来企业确保信息平安的新宠。IPSecVPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec是IETF(InternetEngineerTaskForce)正在完善的平安标准，相对于SSLVPN而言应用较早的一种VPN技术。IPSec协议是一个范围广泛、开放的虚拟专用网平安协议,它提供所有在网络层上的数据保护，提供透明的平安通信。IPSec是基于网络层的，不能穿越通常的NAT、防火墙。1〕IPsec协议IP_SECURITY协议(IPSec)，通过相应的隧道技术，可实现VPN。IPSec有两种模式：隧道模式和传输模式。IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据平安的一整套体系构造，包括网络认证协AuthenticationHeader(AH)、封装平安载荷协议EncapsulatingSecurityPayload(ESP)、密钥管理协议InternetKeyE*change(IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择平安协议、确定平安算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络平安效劳。2〕IPSecVPN接入通过在两站点间创立隧道提供直接〔非代理方式〕接入，实现对整个网络的透明访问；一旦隧道创立，用户PC就如同物理地处于企业LAN中。就通常的企业高级用户〔PowerUser〕和LAN-to-LAN连接所需要的直接访问企业网络功能而言，IPSec无可比较。然而，典型的SSLVPN被认为最适合于普通远程员工访问基于Web的应用。SSLVPN不需要在最终用户的PC和便携式电脑上装入另外的客户软件。有些公司之所以选择SSL而不是IPSec，这项不需要客户软件的功能正是一个重要因素。因为最终用户防止了携带便携式电脑，通过与因特网连接的任何设备就能获得访问，SSL更容易满足大多数员工对移动连接的需求。但SSLVPN也有其缺点：业内人士认为，这些缺点通常涉及客户端平安和性能等问题。对E-mail和Intranet而言，SSLVPN是很好；但对需要较高平安级别〔SSLVPN的加别通常不如IPSecVPN高〕、较为复杂的应用而言，就需要IPSecVPN。3〕IPSecVPN的应用是提供站点到站点连接的首要工具，通过这种连接，你可以在广域网〔WAN〕上实现根底设施到根底设施的通信。而SSLVPN不需要客户软件的特性有助于降低本钱、减缓远程桌面维护方面的担忧。但是，SSL的局限性在于，只能访问通过网络浏览器连接的资源。所以，这要求*些应用要有小应用程序，这样才能够有效地访问。如果企业资产或应用没有小应用程序，要想连接到它们就比较困难。因而，你无法在没有客户软件的环境下运行，因为这需要*种客户软件丰富〔Client-Rich〕的交互系统。1.4SSLVPN1〕SSLVPN协议SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成，其中两个主要的子协议是握手协议和记录协议。握手协议允许效劳器和客户端在应用协议传输第一个数据字节以前，彼此确认，协商一种加密算法和密码钥匙。在数据传输期间，记录协议利用握手协议生成的密钥加密和解密后来交换的数据。2〕SSLVPN的接入SSL独立于应用，因此任何一个应用程序都可以享受它的平安性而不必理会执行细节。SSL置身于网络构造体系的传输层和应用层之间。此外，SSL本身就被几乎所有的Web浏览器支持。这意味着客户端不需要为了支持SSL连接安装额外的软件。这两个特征就是SSL能应用于VPN不同于IPsec-vpn的关键点。3〕SSLVPN的应用典型的SSLVPN应用如OpenVPN,是一个比较好的开源软件。PPTP主要为那些经常外出移动或家庭办公的用户考虑;而OpenVPN主要是针对企业异地或两地总分公司之间的VPN不连续按需连接，例如ERP在企业中的应用。OpenVPN允许参与建立VPN的单点使用预设的私钥，第三方证书，或者用户名/密码来进展身份验证。它大量使用了OpenSSL加密库，以及SSLv3/TLSv1协议。OpenVPN能在Linu*、*BSD、MacOS*与Windows2000/*P上运行。它并不是一个基于Web的VPN软件，也不与IPsec及其他VPN软件包兼容。2IPSecVPN和SSLVPN的优劣2.1部署方案IPSECVPN是设计来保护私有的数据流从各种不被信任的网络传送到信任的网络。IPSecVPN在部署时一般放置在网络网关处，因而要考虑网络的拓扑构造，如果增添新的设备，往往要改变网络构造，则IPSecVPN就要重新部署，因此造成IPSecVPN的可扩展性比较差。由于工作在第三层，对上层的应用是透明的，几乎可以为所有的应用提供效劳，包括客户端/效劳器模式和*些传统的应用及网络共享等。以IPSecVPN作为点对点连结方案，可以提供网与网之间的连接。SSLVPN工作在网络层和应用层之间，它一般部署在内网中任一节点处即可，可以随时根据需要，添加需要VPN保护的效劳器，因此无需影响原有网络构造。大多数SSL的VPN都是基Web浏览器工作的，基于Web访问的开放体系和一些特定的系统如邮件，ftp等，主要用于单机对效劳器的访问。浏览器/效劳器〔Browser/Server〕构造，简称B/S构造，与C/S构造不同，其客户端不需要安装专门的软件，只需要浏览器即可，浏览器通过Web效劳器与数据库进展交互，可以方便的在不同平台下工作。客户机/效劳器〔Client/Server〕构造，简称C/S构造。效劳器通常采用高性能的PC、工作站或小型机，并采用大型数据库系统，如ORACLE、SYBASE、SQLServer。客户端需要安装专用的客户端软件来实现与效劳器端进展交互。SSL这种方案可以解决OS客户软件问题、客户软件维护问题，但肯定不能完全替代IPSecVPN，因为他们各自所要解决的是几乎没多少重叠的两种不同问题：1〕SSL优势其实主要集中在VPN客户端的部署和管理上，我们知道SSL无需安装客户端，主要是由于浏览器内嵌了SSL协议，也就是说是基于B/S构造的业务时，可以直接使用浏览器完成SSL的VPN建立；但如果客户的应用系统采用的是C/S构造的话，仍然需要安装Client软件；2〕目前进展VPN部署的用户大局部都是要求对现有业务需要支持的用户，而据统计这样的用户95％以上都有基于C/S架构的重要应用系统，也就是说其"Client软件无需安装〞的优势是有很大局限性的；3〕基于B/S构造的平安性劣于基于C/S构造；4〕基于IPSEC的VPN虽然在业务应用基于B/S上没有基于SSL的方便，但在业务应用基于C/S方面却存在很大优势。2.2平安性1〕平安测试－IPSecVPN已经有多年的开展，有许多的学术和非营利实验室，提供各种的测试准则和效劳，其中以ICSALabs是最常见的认证实验室，大多数的防火墙，VPN厂商，都会以通过它的测试及认证为重要的基准。但SSLVPN在这方面，则尚未有一个公正的测试准则，但是ICSALabs实验室也开场着手SSL/TLC的认证方案，预计在今年底可以完成第一阶段的Crypto运算建置及根底功能测试程序。2〕认证和权限控管－IPSec采取InternetKeyE*change(IKE)方式，使用数字凭证(DigitalCertificate)或是一组SecretKey来做认证，而SSL仅能使用数字凭证，如果都是采取数字凭证来认证，两者在认证的平安等级上就没有太大的差异。SSL的认证，大多数的厂商都会建置硬件的token，来提升认证的平安性。对于使用权限的控管，IPSec可以支持「Selectors」，让网络封包过滤阻隔*些特定的主机应用系统。但是实际作业上，大多数人都是开发整个网段(Subset)，以防止太多的设定所造成的麻烦。SSL可以设定不同的使用者，执行不同的应用系统，它在管理和设定上比IPSec简单方便许多。在电子商务和电子政务日益开展的今天，各种应用日益复杂，需要访问内部网络人员的身份也多种多样，比方可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSecVPN只搭建虚拟传输网络不同的是，SSLVPN重点在于保护具体的敏感数据，比方SSLVPN可以根据用户的不同身份，给予不同的访问权限。就是说，虽然都可以进入内部网络，但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的根底上，不仅可以控制访问人员的权限，还可以对访问人员的每个访问，做的每笔交易、每个操作进展数字签名，保证每笔数据的不可抵赖性和不可否认性，为事后追踪提供了依据。可以对接入客户进展各种限制，如可以访问的地址、端口、URL等等，因此SSLVPN在访问控制方面比IPSecVPN具有更细粒度3〕应用系统的攻击－远程用户以IPSecVPN的方式与公司内部网络建立联机之后，内部网络所连接的应用系统，都是可以侦测得到，这就提供了黑客攻击的时机。假设是采取SSL-VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络物制，所受到的威胁也仅是所联机的这个应用系统，攻击时机相对就减少。4〕病毒入侵——一般企业在Internet联机入口，都是采取适当的防毒侦测措施。IPSecVPN的平安性一直是一个弱点，由于IP⁃SecVPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题，目前好多厂家也正积极改良从而解决这个问题。假设是采取SSLVPN来联机，因为是直接开启应用系统，病毒传播会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。因此通过SSLVPN连接，受外界病毒感染的可能性大大减小。5〕防火墙上的通讯端口－在TCP/IP的网络架构上，各式各样的应用系统会采取不同的通讯协议，并且通过不同的通讯端口来作为效劳器和客户端之间的数据传输通道。以InternetEmail系统来说，IPSecVPN联机就会有这个困扰和平安顾虑。在防火墙上，每开启一个通讯端口，就多一个黑客攻击时机。而SSLVPN就没有这方面的困扰。因为在远程主机与SSLVPN之间，采用SSL通讯端口443来作为传输通道，这个通讯端口，一般是作为WebServer对外的数据传输通道，因此，不需在防火墙上做任何修改，也不会因为不同应用系统的需求，而来修改防火墙上的设定，减少IT管理者的困扰。如果所有后台系统都通过SSLVPN的保护，则在日常办公中防火墙只开启一个443端口就可以，因此大大增强内部网络受外部黑客攻击的可能性。同时可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径。2.3可扩展性平安性IPSecVPN在部署时，要考虑网络的拓扑构造，如果增添新的设备，往往要改变网络构造，则IPSecVPN就要重新部署，因此造成IPSecVPN的可扩展性比较差。而SSLVPN就有所不同，可以随时根据需要，添加需要VPN保护的效劳器。2.4经济效益对于IPSecVPN来说，每增加一个需要访问的分支，就需要添加一个硬件设备。所以，尤其是对于一个成长型的公司来说，随着IT建立的扩大，要不断购置新的设备来满足需要。另外，就使用本钱而言，SSLVPN具有更大的优势，由于这是一个即插即用设备，在部署实施以后，一个具有一定IT知识的普通工作人员就可以完成日常的管理工作。假设一个公司有1000个用户需要进展远程访问，则如果购置IPSecVPN，则就需要购置1000个客户端许可，而如果购置SSLVPN，因为这1000个用户并不同时进展远程访问，按照统计学原理，假定只有100个用户会同时进展远程访问，只需要购置100个客户端许可即可。因此以IPSecVPN作为点对点连结方案，而以SSLVPN作为远程访问方案，将是一种不错的选择。3SSLVPN和IPSECVPN的适应性由于目前在VPN领域存在着IPSecVPN和SSLVPN之争。厂商也划分了两大阵营。年初，Gartner就出台了一份报告，称未来全球SSLVPN的市场增长速度将到达170%以上，但是直到8月，才有诺基亚的SSLVPN，以及彩虹天地基于SSL的VPN---IPW〔In⁃stantPrivateWeb，快速专用网〕出台。但是现在就给IPSec、SSL下结论分出谁优谁劣有点为时过早，Gartner调查的SSLVPN170%的年增长，也与其标准出台晚，市场基数不大有关。厂商也开场研究怎样让IPSecVPN兼容SSLVPN，增强易用性。如果真能做到这点，IPSecVPN的扩展性将大大加强，市场生命力也将更长久。虽然SSLVPN有许多相对IPSecVPN的优点，但对于应用VPN的大、中型企业来说这些优点显得不是很重要。一个企业往往有很多种应用〔OA、财务、销售管理、ERP，很多并不基于Web〕，单纯只有Web应用的极少。一般企业希望VPN能到达局域网的效果〔比方网上邻居，而SSLVPN只能保护应用层协议，如WEB、FTP等〕，保护更多的应用这点，SSLVPN根本做不到。所以目前的SSLVPN应