論ipsecvpn和sslvpn的優(yōu)劣及適應性

1、陳侃侃138008 1虛擬專用網絡 虛擬專用網絡(VPN： Virtual Private Network)VPN是通過公用網絡 (如Internet )建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。虛擬專用網是對企業(yè)內部網的擴展。隨著網絡，尤其是網絡經濟的發(fā)展，企業(yè)規(guī)模日益擴大，客戶分布日益廣泛，合作伙伴日益增多， 傳統(tǒng)企業(yè)網基于固定地點的專線連接方式，已難以適應現(xiàn)代企業(yè)的需求。于是企業(yè)在自身網絡的靈活性、安全性、經濟性、擴展性等方面提出了更高的要求。虛擬專用網(VPN以其獨具特色的優(yōu)勢，可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連

2、接，并保證數(shù)據(jù)的安全傳輸。因此，虛擬專用網贏得了越來越多的企業(yè)的青睞，通過將數(shù)據(jù)流轉移到低成本的網絡上，一個企業(yè)的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠 程網絡連接上的費用。同時這也將簡化網絡的設計和管理。令企業(yè)可以較少地關注網絡的運行與維護，更多地致力于企業(yè)商業(yè)目標的實現(xiàn)。如下圖可以清楚的看到目前流行的，應用比較廣泛兩種 VPN的連接方式 IPsec VPN和SSL VPN 圖1VPN有多種，每種都能滿足特定的需求下面是二種主要的 VPN1)內部網接入 VPN接入VPN讓移動辦公者和小型辦公室 /家庭辦公室SOHQ通過基礎的 共享設施遠程接入總部的內部網和外聯(lián)網。該方式使用專用

3、連接通過共享基礎設施將地區(qū)性辦事處和遠程辦公室與總部的內部網絡連接起來。內部網接入VPN與外聯(lián)網VPN區(qū)別在于，前者只允許企業(yè)的雇員訪問。2)外聯(lián)網 VPN (“外聯(lián)網(Extranet) ”是不同單位間為了頻繁交換業(yè)務信息，而基于互聯(lián) 網或其他公網設施構建的單位間專用網絡通道。因為外聯(lián)網涉及到不同單位的局域網， 所以不僅要確保信息在傳輸過程中的安全性，更要確保對方單位不能超越權限，通過外聯(lián)網連入本單位的內網。)外聯(lián)網VPN使用專用連接通過共享基礎設施將商業(yè)伙伴與總部網絡連接起 來。外聯(lián)網VPN與內部網VPN的區(qū)別在于，前者允許企業(yè)以外的用戶訪問。IPSec VPNIPSec是現(xiàn)在企業(yè)網絡通訊

4、應用中被廣泛使用的加密及隧道技術，同時也是在不犧牲安全性前提下，被選用來在網絡第三層建立IP-VPN的方法，特別是對于無法負擔 Frame Relay或ATM高額費用的中小企業(yè)而言，IPSec的應用是一項福音。而目前SSL VPN以其設置簡單無需安裝客戶端的優(yōu)勢，越來越受到企業(yè)的歡迎，可望成為未來企業(yè)確保信息安全的新寵。IPSec VPN即指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術,IPSec是IETF(InternetEngineer Task Force)正在完善的安全標準，相對于SSLVPN而言應用較早的一種 VPNj術。IPSec協(xié)議是一個范圍廣泛、開放的虛擬專用網安全協(xié)議 ，

5、它提供所有在網絡層上的數(shù)據(jù)保 護，提供透明的安全通信。IPSec是基于網絡層的，不能穿越通常的NAT防火墻。IPsec 協(xié)議IP_SECURITY協(xié)議(IPSec),通過相應的隧道技術，可實現(xiàn) VPN IPSec有兩種模式：隧道模 式和傳輸模式。IPSec協(xié)議不是一個單獨的協(xié)議，它給出了應用于IP層上網絡數(shù)據(jù)安全的一整套體系結構，包括網絡認證協(xié)Authentication Header(AH) 、封裝安全載荷協(xié)議Encapsulating Security Payload(ESP) 、密鑰管理協(xié)議 Internet Key Exchange(IKE) 和用 于網絡認證及加密的一些算法等。IPS

6、ec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源認證、數(shù)據(jù)加密等網絡安全服務。IPSec VPN 接入通過在兩站點間創(chuàng)建隧道提供直接(非代理方式)接入，實現(xiàn)對整個網絡的透明訪問；一旦隧道創(chuàng)建，用戶 PC就如同物理地處 于企業(yè)LAN中。就通常的企業(yè)高級用戶( Power User )和LAN-to-LAN連接所需要的直接訪 問企業(yè)網絡功能而言，IPSec無可比擬。然而，典型的SSL VPN被認為最適合于普通遠程員工訪問基于Web的應用。SSL VPM需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec,這項不需要

7、客戶軟件的功能正是一個重要因素。因為最終用戶避免了攜帶便攜式電腦，通過與因特網連接的任何設備就能獲得訪問，SSL更容易滿足大多數(shù)員工對移動連接的需求。但 SSL VPN也有其缺 點：業(yè)內人士認為，這些缺點通常涉及客戶端安全和性能等問題。對E-mail和Intranet而言，SSL VPN是很好；但對需要較高安全級別(SSL VPN的加密級別通常不如 IPSec VPN高)、較為復雜的應用而言，就需要IPSec VPNIPSec VPN 的應用是提供站點到站點連接的首要工具，通過這種連接，你可以在廣域網( WAN上實現(xiàn)基礎設 施到基礎設施的通信。而 SSL VPN不需要客戶軟件的特性有助于降低成

8、本、減緩遠程桌面維 護方面的擔憂。但是，SSL的局限性在于，只能訪問通過網絡瀏覽器連接的資源。所以，這 要求某些應用要有小應用程序，這樣才能夠有效地訪問。如果企業(yè)資產或應用沒有小應用程序，要想連接到它們就比較困難。因而，你無法在沒有客戶軟件的環(huán)境下運行，因為這需要某種客戶軟件豐富(Client-Rich )的交互系統(tǒng)。SSL VPNSSL VPN協(xié)議SSL協(xié)議提供了數(shù)據(jù)私密性、端點驗證、信息完整性等特性。SSL協(xié)議由許多子協(xié)議組成，其中兩個主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。握手協(xié)議允許服務器和客戶端在應用協(xié)議傳輸?shù)谝粋€數(shù)據(jù)字節(jié)以前，彼此確認，協(xié)商一種加密算法和密碼鑰匙。在數(shù)據(jù)傳輸期間，記錄協(xié)議

9、利用握手協(xié)議生成的密鑰加密和解密后來交換的數(shù)據(jù)。SSL VPN的接入SSL獨立于應用，因此任何一個應用程序都可以享受它的安全性而不必理會執(zhí)行細節(jié)。SSL置身于網絡結構體系的傳輸層和應用層之間。此外，SSL本身就被幾乎所有的 Web瀏覽器支持。這意味著客戶端不需要為了支持SSL連接安裝額外的軟件。這兩個特征就是SSL能應用于VPN不同于IPsec-vpn的關鍵點。SSL VPN的應用典型的SSL VPN應用如OpenVPN是一個比較好的開源軟件。PPTP主要為那些經常外出移動或家庭辦公的用戶考慮；而OpenVPNi要是針對企業(yè)異地或兩地總分公司之間的VPN不間斷按需連接，例如 ERP在企業(yè)中的應

10、用。 OpenVPN許參與建立 VPN的單點使用預設的私鑰， 第三方證書，或者用戶名/密碼來進行身份驗證。它大量使用了 OpenSSL加密庫，以及SSLv3/TLSv1 協(xié)議。OpenVPN!旨在 Linux、xBSD Mac OS X與 Windows 2000/XP 上運行。它 并不是一個基于 Web的VPN軟件，也不與IPsec及其他VPNM牛包兼容。2 IPSec VPN 和 SSL VPN的優(yōu)劣部署萬案IPSECVPN設計來保護私有的數(shù)據(jù)流從各種不被彳t任的網絡傳送到信任的網絡。IPSec VPN在部署時一般放置在網絡網關處，因而要考慮網絡的拓撲結構，如果增添新的設備，往往要改變網絡

11、結構， 那么IPSec VPN 就要重新部署，因此造成 IPSec VPN的可擴展性比較差。由于工作在第三層，對上層的應用是透明的，幾乎可以為所有的應用提供服務，包括客戶端/服務器模式和某些傳統(tǒng)的應用及網絡共享等。以 IPSec VPN作為點對點連結方案，可以提供網與網之間的連接。 SSLVPN工作在網絡層和應用層之間，它一般部署在內網中任一節(jié)點處即可，可以隨時根據(jù) 需要，添加需要VPN呆護的服務器，因此無需影響原有網絡結構。大多數(shù)SSL的VPN都是基 WebJ覽器工作的，基于Web訪問的開放體系和一些特定的系統(tǒng)如 郵件，ftp等，主要用于單機對服務器的訪問。瀏覽器/服務器(Browser/S

12、erver )結構，簡稱 B/S結構，與C/S結構不同，其客戶端不需 要安裝專門的軟件，只需要瀏覽器即可，瀏覽器通過Web服務器與數(shù)據(jù)庫進行交互，可以方便的在不同平臺下工作?？蛻魴C/服務器(Client/Server )結構，簡稱 C/S結構。服務器通常采用高性能的PG工作站或小型機，并采用大型數(shù)據(jù)庫系統(tǒng)，如ORACLE SYBASE SQLServer o客戶端需要安裝專用的客戶端軟件來實現(xiàn)與服務器端進行交且OSSL這種方案可以解決 OS客戶軟件問題、客戶軟件維護問題，但肯定不能完全替代IPSecVPN因為他們各自所要解決的是幾乎沒多少重疊的兩種不同問題：1) SSL優(yōu)勢其實主要集中在 VP

13、N客戶端的部署和管理上，我們知道SSL無需安裝客戶端，主要是由于瀏覽器內嵌了SSL協(xié)議，也就是說是基于 B/S結構的業(yè)務時，可以直接使用瀏覽器完成SSL的VPN!立；但如果客戶的應用系統(tǒng)采用的是 C/S結構的話，仍然需要安裝Client軟件；2)目前進行 VPN部署的用戶大部分都是要求對現(xiàn)有業(yè)務需要支持的用戶，而據(jù)統(tǒng)計這樣的用戶95 %以上都有基于 C/S架構的重要應用系統(tǒng)，也就是說其“ Client軟件無需安裝”的優(yōu)勢是有很大局限性的；3)基于B/S結構的安全性劣于基于C/S結構；4)基于IPSEC的VPN雖然在業(yè)務應用基于 B/S上沒有基于SSL的方便，但在業(yè)務應用基于 C/S方面卻存在很

14、大優(yōu)勢。安全性1)安全測試一IPSec VPN已經有多年的發(fā)展，有許多的學術和非營利實驗室，提供各種的測試準則和服務，其中以 ICSA Labs是最常見的認證實驗室，大多數(shù)的防火墻，VPN廠商，都會以通過它的測試及認證為重要的基準。但SSL VPN在這方面，則尚未有一個公正的測試準則，但是 ICSA Labs實驗室也開始著手 SSL/TLC的認證計劃，預計在今年底可以完成第一階段的 Crypto運算建置及基礎功能測試程序。2)認證和權限控管IPSec采取Internet Key Exchange(IKE)方式，使用數(shù)字憑證(Digital Certificate)或是一組 Secret Key

15、 來做認證，而SSL僅能使用數(shù)字憑證，如果都是采取數(shù)字憑證來認證，兩者在認證的安全等級上就沒有太大的差別。SSL的認證，大多數(shù)的廠商都會建置硬件的token ,來提升認證的安全性。對于使用權限的控管，IPSec可以支持Selectors，讓網絡封包過濾阻隔某些特定的主機應用系統(tǒng)。但是實際作業(yè)上，大多數(shù)人都是開發(fā)整個網段 （Subset）,以避免太多的設 定所造成的麻煩。SSL可以設定不同的使用者，執(zhí)行不同的應用系統(tǒng)，它在管理和設定上比IPSec簡單方便許多。在電子商務和電子政務日益發(fā)展的今天，各種應用日益復雜，需要訪問內部網絡人員的身份也多種多樣，比如可能有自己的員工、控股公司的工作人員、供貨

16、商、分銷商、商業(yè)合作伙伴等等。與IPSec VPN只搭建虛擬傳輸網絡不同的是，SSL VPN重點在于保護具體的敏感數(shù)據(jù)，比如SSL VPN可以根據(jù)用戶的不同身份，給予不同的訪問權限。就是說，雖然都可以進入內部網絡，但是不同人員可以訪問的數(shù)據(jù)是不同的。而且在配合一定的身份認證方式的基礎上，不僅可以控制訪問人員的權限，還可以對訪問人員的每個訪問，做的每筆交易、每個操作進行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴性和不可否認性，為事后追蹤提供了依據(jù)?？梢詫尤肟蛻暨M行各種限制，如可以訪問的地址、端口、URL等等，因此SSL VPN在訪問控制方面比 IPSec VPN具有更細粒度3）應用系統(tǒng)的攻擊一遠程用戶以

17、IPSec VPN的方式與公司內部網絡建立聯(lián)機之后，內部網絡所連接的應用系統(tǒng)，都是可以偵測得到，這就提供了黑客攻擊的機會。若是采取SSL-VPN來聯(lián)機，因為是直接開啟應用系統(tǒng)，并沒在網絡層上連接，黑客不易偵測出應用系統(tǒng)內部網絡物制，所受到的威脅也僅是所聯(lián)機的這個應用系統(tǒng)，攻擊機會相對就減少。4）病毒入侵一一一般企業(yè)在 Internet 聯(lián)機入口，都是采取適當?shù)姆蓝緜蓽y措施。IPSec VPN的安全性一直是一個弱點，由于 IP?Sec VPN而引起的病毒、木馬、Web攻擊一直是無法徹底解決的問題，目前好多廠家也正積極改進從而解決這個問題。若是采取SSL VPN來聯(lián)機，因為是直接開啟應用系統(tǒng)，病毒

18、傳播會局限于這臺主機，而且這個病毒必須是針對應用系統(tǒng)的類型，不同類型的病毒是不會感染到這臺主機的。因此通過SSL VPN連接，受外界病毒感染的可能性大大減小。5）防火墻上的通訊端口一在 TCP/IP的網絡架構上，各式各樣的應用系統(tǒng)會采取不同的通訊 協(xié)議，并且通過不同的通訊端口來作為服務器和客戶端之間的數(shù)據(jù)傳輸通道。以Internet Email 系統(tǒng)來說，IPSec VPN聯(lián)機就會有這個困擾和安全顧慮。在防火墻上，每開啟一個通訊端口，就多一個黑客攻擊機會。而SSL VP硼沒有這方面的困擾。因為在遠程主機與SSLVPN之間，采用SSL通訊端口 443來作為傳輸通道，這個通訊端口，一般是作為Web

19、 Server對外的數(shù)據(jù)傳輸通道，因此，不需在防火墻上做任何修改，也不會因為不同應用系統(tǒng)的需求，而來修改防火墻上的設定，減少 IT管理者的困擾。如果所有后臺系統(tǒng)都通過SSL VPN的保護，那么在日常辦公中防火墻只開啟一個443端口就可以，因此大大增強內部網絡受外部黑客攻擊的可能性。同時可以對客戶端做各種掃描，如操作系統(tǒng)版本、補丁版本、防病毒軟件種類、病毒庫更新時間等等，從而堵住病毒、木馬入侵的途徑?？蓴U展性安全性IPSec VPN在部署時，要考慮網絡的拓撲結構，如果增添新的設備，往往要改變網絡結構，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可擴展性比較差。而 SSL VP

20、N就有所不同，可以隨時根據(jù)需要，添加需要VPN保護的服務器。經濟效益對于IPSec VPN來說，每增加一個需要訪問的分支，就需要添加一個硬件設備。所以，尤其是對于一個成長型的公司來說，隨著IT建設的擴大，要不斷購買新的設備來滿足需要。另外，就使用成本而言，SSL VPN具有更大的優(yōu)勢，由于這是一個即插即用設備，在部署實施以后，一個具有一定 IT知識的普通工作人員就可以完成日常的管理工作。假設一個公司有 1000個用戶需要進行遠程訪問，那么如果購買 IPSec VPN,那么就需要購買1000個客戶端許可，而如果購買SSLVPN,因為這1000個用戶并不同時進行遠程訪問，按照統(tǒng)計學原理，假定只有1

21、00個用戶會同時進行遠程訪問，只需要購買100個客戶端許可即可。因此以IPSec VPN乍為點對點連結方案，而以SSL VPN作為遠程訪問方案，將是一種不錯的選擇。3 SSL VPN和IPSEC VPN的適應性由于目前在 VPN領域存在著IPSec VPN和SSL VPN之爭。廠商也劃分了兩大陣營。年初，Gartner就出臺了一份報告，稱未來全球SSL VPN的市場增長速度將達到 170%A上，但是直到 8月，才有諾基亞的 SSL VPN以及 彩虹天地基于 SSL的VPN -IPW （In?stant Private Web快速專用網）出臺。但是現(xiàn)在就給IPSec、SSL下結論分出誰優(yōu)誰劣有點

22、為時過早，Gartner調查的SSL VPN170%勺年增長，也與其標準出臺晚，市場基數(shù)不大有關。廠商也開始研究怎樣讓 IPSec VPN兼容SSL VPN增強易用性。如果真能做到這點，IPSec VPN 的擴展性將大大加強，市場生命 力也將更長久。雖然SSL VPN有許多相對IPSec VPN的優(yōu)點，但對于應用 VPN的大、中型企業(yè)來說這些優(yōu)點 顯得不是很重要。一個企業(yè)往往有很多種應用（OA財務、銷售管理、ERP很多并不基于 Web,單純只有 Web應用的極少。一般企業(yè)希望VPN能達到局域網的效果（比如網上鄰居，而SSLVPN只能保護應用層協(xié)議，如WEB FTP等），保護更多的應用這點，SSL VPN根本做不到。所以目前的 SSLVPN應用還僅適用于基于 Web的