| 首先让我们从SSL
VPN和IPSec VPN两个阵营出发做一个比较。 1 SSL
VPN相对于IPSec VPN的优势
1.1 SSL VPN比IPSec VPN部署、管理成本低
首先我们先认识一下IPSEC存在的不足之处:
在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。
IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSL
VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。
其次我们再看看SSL的优势特点:
SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁,目前对SSL
VPN公认的三大好处是:
第一来自于它的简单性,它不需要配置,可以立即安装、立即生效;
第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;
第三个好处是兼容性好,传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL
VPN则完全没有这样的麻烦。
综合分析可见:
1. SSL VPN强调的优势其实主要集中在VPN客户端的部署和管理上,我们知道SSL
VPN一再强调无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立;
2. 某些SSL VPN厂商如F5有类似IPSec VPN的“网络访问”方式,可以解决传统的C/S应用程序的问题,用户用浏览器登录SSL
VPN设备后,拨通网络访问资源即可获得一个虚拟IP,即可以访问按照安全策略允许访问的内网地址和端口,和IPSec
VPN不同的是,这种方式并非工作在网络层,所以不会有接入地点的限制;
1.2 SSL VPN比IPSec VPN更安全
首先我们还是先认识一下IPSEC存在的不足之处:
1. 在通路本身安全性上,传统的IPSec VPN还是非常安全的,比如在公网中建立的通道,很难被人篡改。说其不安全,是从另一方面考虑的,就是在安全的通路两端,存在很多不安全的因素。比如总公司和子公司之间用IPsec
VPN连接上了,总公司的安全措施很严密,但子公司可能存在很多安全隐患,这种隐患会通过IPsec VPN传递给总公司,这时,公司间的安全性就由安全性低的分公司来决定了。
2. 比如黑客想要攻击应用系统,如果远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,黑客都是可以侦测得到,这就提供了黑客攻击的机会。
3. 比如应对病毒入侵,一般企业在Internet联机入口,都是采取适当的防毒侦测措施。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。
4. 不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet
Email系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯协议采用25和110端口,若是从远程电脑来联机Email服务器,就必须在防火墙上开放25和110端口,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec
VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。
其次我们再看看SSL的优势特点:
1. SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密。
2. 若是采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器,攻击机会相对就减少。有的厂商如F5公司的产品,可以对客户端允许访问的地址、协议、端口都加以限制;可以对客户端做各种检查,如操作系统补丁、防病毒软件及病毒库更新时间、个人防火墙等等,不符合条件的客户端可以不允许其登录,这样就大大增加了整个系统的安全性。
3. 而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL
VPN连接,受外界病毒感染的可能性大大减小。有的厂商如F5公司的产品,自身带有防病毒软件,更可以通过标准协议连接防病毒软件,加强对于病毒的防治。
4. SSL VPN就没有这方面的困扰。因为在远程主机与SSLVPN 之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为Web
Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。如果所有后台系统都通过SSL
VPN的保护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强内部网络受外部黑客攻击的可能性。
1.3 SSL VPN与IPSec VPN相比,具有更好的可扩展性
首先我们还是先认识一下IPSec VPN存在的不足之处:
IPSec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec
VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。
其次我们再看看SSL VPN的优势特点:
SSL VPN就有所不同,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。
1.4 SSL VPN在访问控制方面比IPSec VPN具有更细粒度
为什么最终用户要部署VPN,究其根本原因,还是要保护网络中重要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门的项目信息,生产部门的产品配方等等。
首先我们还是先认识一下IPSEC存在的不足之处:
由于IPSec VPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSec
VPN网关,他可以在内部为所欲为。因此,IPSec VPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以IPSec
VPN又被称为网络安全设备。
其次我们再看看SSL的优势特点:
在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec
VPN只搭建虚拟传输网络不同的是,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
目前,无线局域网络产品主要采用的是IEEE802.11b国际标准。802.11标准主要应用三项安全技术来保障无线局域网数据传输的安全。第一项为SSID(Service
Set Identifier)技术,该技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络;第二项为MAC(Media
Access Control)技术,应用这项技术,可在无线局域网的每一个接入点(AP,Access Point)下设置一个许可接入的用户的MAC地址清单,MAC地址不在清单中的用户,接入点(Access
Point)将拒绝其接入请求;第三项为WEP(Wired Equivalent Privacy)加密技术,WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求。
目前,这些技术已发展成熟并得到了充分应用。例如英特尔公司在去年推出的11Mbps无线LAN产品系列,就全面支持WEP的密码编码功能,用最长128bit的密码键对数据进行编码后,在AP适配器上进行通信,密码键长度可选择40
bit 或128bit。利用MAC地址和预设网络ID来限制哪些网卡和接入点可以连入网络,完全可确保网络安全。对于那些非法的接收者来说,截听无线局域网的信号是非常困难的,从而可以有效防止黑客和入侵者的攻击。
此外,目前已广泛应用于局域网络及远程接入等领域的VPN(Virtual Private Networking)安全技术也可用于无线局域网络,与IEEE802.11b标准所采用的安全技术不同,VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户,专家建议,将现有的VPN安全技术与IEEE802.11b安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案。
| 
