信息化 频道

IPSecVPN与SSLVPN之比较

 

  虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

     目前在VPN领域存在着IPSecVPN和SSLVPN之争。从厂商上也划分了两大阵营。2006年初,Gartner就出台了一份报告,称未来全球SSLVPN的市场增长速度将达到170%以上,但是直到2006年8月,才有诺基亚的SSLVPN,以及彩虹天地基于SSL的VPN——IPW(InstantPrivateWeb,快速专用网)出台。但是现在就给IPSec、SSL下结论分出谁优谁劣有点为时过早,Gartner调查的SSLVPN170%的年增长,也与其标准出台晚,市场基数不大有关。

     SSLVPN的优势在于Web。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSLVPN公认的三大好处是:

     首先来自于它的简单性,它不需要配置,可以立即安装、立即生效,所以,彩虹天地将它称为快速专用网;

     第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;

     第三个好处是兼容性好,传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSLVPN则完全没有这样的麻烦。

     虽然SSLVPN有诸般好处,但SSLVPN并不能取代IPSecVPN。因为,这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSecVPN是在两个网站之间通过专线或互联网安全连接以及两台服务器之间的安全连接,保护的是点对点之间的通信,并且,它不局限于Web应用。而且IPSecVPN的厂商也开始研究怎样让IPSecVPN兼容SSLVPN,增强易用性。如果真能做到这点,IPSecVPN的扩展性将大大加强,市场生命力也将更长久。

     IPSecVPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSLVPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。

     虽然SSLVPN有许多相对IPSecVPN的优点,但对于应用VPN的大、中型企业来说这些优点显得不是很重要。一个企业往往有很多种应用(OA、财务、销售管理、ERP,很多并不基于Web),单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果(比如网上邻居,而SSLVPN只能保护应用层协议,如WEB、FTP等),保护更多的应用这点,SSLVPN根本做不到。所以目前的SSLVPN应用还仅适用于基于Web的应用,范围有限。只能说未来基于Web的便捷性会吸引很多用户转向SSLVPN。

     从网络结构上看,大多数下属公司构建独自的局域网络,而信息化项目的主要目的在于建立以集团为主体的统一的信息化平台,因此基于SSLVPN的应用,虽然提供了极高的易用性,但是对于客户端安全性提出了较高的要求,众所周知,目前WEB浏览器漏洞引发的网络安全问题,已经成为经常性问题。

     而IPSecVPN技术,不基于WEB应用,对于客户端操作人员,无需关注如何保障网络安全,只需将网络安全工作交由系统负担,由各下属分公司专(兼)职系统管理员(或网管人员)单独保管域控制密码,在客户端生成指定IP的登录密码后,客户端操作人员经由信息化系统认证后,方可登录信息化系统。从密码(权限)控制上看,形成了三道保护,而客户端操作人员只需关心信息化系统登录密码,相较于SSLVPN的WEB登录,在不增加客户端日常操作的情况下,提供了更多的安全性。

     同时,对于集团领导的移动办公,可以提供SSLVPN登录的方式,在减少安全问题的情况下,体现了易用性特征。

     IPSecVPN实施过程中,前期准备工作比较复杂,包括大量的客户端设置、各下属公司网管人员培训,以及部分网络改造。后期维护时,如各公司突发网络故障或病毒爆发,对于信息中心处理及VPN实施商响应有较高要求。

     其他需要关注的问题。

     首先,客户端信息化系统登录密码必须指定到人,不可串用。各下属公司网管人员只能独自掌握域控制密码,不可串用,人员调岗,必须将此密码上交信息中心后,由信息中心重新下发。

     其次,此次的SSLVPN的实施,可以作为未来IPSecVPN向SSLVPN过渡的一个前期准备。

     再次,软件实施是否有特殊要求,也应作为关注焦点之一。

     综上所述,在目前企业内部各下属公司分布广,安全要求高的前提下,以IPSecVPN为主,辅之以SSLVPN的方式,更适合目前企业要求。

     SSLVPN与IPSecVPN主要性能比较

   

(E-works)

0
相关文章