论文部分内容阅读
VPN(Virtual Private Network):虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。SSL VPN与IPSec VPN是目前流行的两类Internet远程安全接入技术,它们具有类似功能特性,但也存在很大不同. 下面从不同角度对两种VPN技术比较:
一.SSL协议与IPSec协议
SSL(Secure socket Layer,安全套接层协议),主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它主要适用于点对点之间的信息传输,常用Web Server方式。
SSL是网景(Netscape)公司提出的基于WEB应用的安全协议,包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。使用SSL可保证信息的真实性、完整性和保密性。目前SSL协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。因为SSL协议被内置于IE等浏览器中,使用SSL协议进行认证和数据加密的SSL VPN就可以免于安装客户端。
IPSec(Security)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH(Authentication Header)和ESP(Encapsulating Security Payload)这两个安全协议来实现。而且此实现不会对用户主机或其它Internet组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。
二.IPSec VPN和SSL VPN在部署的对比
IPSec VPN
在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。但部署IPSec VPN需要对基础设施进行重大改造,以便远程访问,且管理成本很高。IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。
SSL VPN
SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求,SSL VPN在Web的易用性和安全性方面架起了一座桥梁,目前对SSL VPN公认的三大好处是:
简单性:它不需要配置,可以立即安装,立即生效;
客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;
兼容性好,传统的Ills VPN对客户端采用的操作系统版本
具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。
三.IPSec VPN和SSL VPN安全性的对比
IPSec VPN和SSL VPN都是通过认证和加密等加强其安全性。IPSec VPN一般不向外界开放,认证与连接双方设备、设备的网络参数和策略设置、设备的lP地址等有直接关系,对远程连接相当安全。SSL VPN通过浏览器,用户可随意登陆,客户端的数字证书鉴别是要求用户自行判断服务器证书是否有效。IPSec VPN采用加密算法复杂,密钥长,解密困难,而SSL VPN加密算法短,复杂度不高。安全性相对差。IPSec VPN一般只在网关提供加密,应用服务器到网关没加密。SSL VPN提供端到端加密,保障数据安全性。
四.IPSec VPN和SSL VPN在应用程序访问中的对比
IPSec VPN支持所有的基于IP的应用程序,对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件。SSL VPN的应用程序服务非常多样化,提供无客户端的Web访问,对于C/S的应用程序和完全的网络访问提供一个客户端代理来实现。
五.IPSec VPN和SSL VPN访问管理上的对比
SSL VPN实施了用户集中化管理,所有的远程访问都是通过SSL VPN控制台进行控管,这样可以更加有效的监控用户使用权限。IPSec VPN,安全权限只局限到网络,IPSec VPN支持基于包过滤的选择符,但在实际情况中,大多数组织允许主机访问整个子网而不是每一个lP地址。如果需要给信任的用户组访问私网内的服务器和子网,IPSec VPN是一个极好的选择。相反,如果实施中要求基于每用户、每用户组、每资源地进行访问控制,SSL VPN将是最好的选择。
IPsec VPN和SSL VPN这两种VPN架构.从整体的安全等级来看,两种都能够提供安全的远程访问机制。但综观上述IPsec VPN和SSL VPN各自有自己的优点和缺点。因为IPsec VPN在网络层,所以它在源和目的地址间只需要一次握手。这就使得在大量的数据传输时比SSL VPN有较高的效率,同样对于VPN它也是较为安全的协议。但是,由于它在网络层,缺乏访问控制的能力。而SSL VPN在其易使用性及安全访问控制级别上.都比IPSec VPN高。IPSec VPN适用来保护所有的lP流量,而SSL则着眼于应用层的流量。因此,IPSec VPN适应于广泛的、持续的、长时间的网络层连接。SSL适应于需要不同的个体连接到应用程序和资源的应用。IPSec VPN和SSL VPN技术是互为补充,互为共存的,它们的应用比重,要视用户需求而定。■
一.SSL协议与IPSec协议
SSL(Secure socket Layer,安全套接层协议),主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它主要适用于点对点之间的信息传输,常用Web Server方式。
SSL是网景(Netscape)公司提出的基于WEB应用的安全协议,包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。使用SSL可保证信息的真实性、完整性和保密性。目前SSL协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。因为SSL协议被内置于IE等浏览器中,使用SSL协议进行认证和数据加密的SSL VPN就可以免于安装客户端。
IPSec(Security)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH(Authentication Header)和ESP(Encapsulating Security Payload)这两个安全协议来实现。而且此实现不会对用户主机或其它Internet组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。
二.IPSec VPN和SSL VPN在部署的对比
IPSec VPN
在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。但部署IPSec VPN需要对基础设施进行重大改造,以便远程访问,且管理成本很高。IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。
SSL VPN
SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求,SSL VPN在Web的易用性和安全性方面架起了一座桥梁,目前对SSL VPN公认的三大好处是:
简单性:它不需要配置,可以立即安装,立即生效;
客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;
兼容性好,传统的Ills VPN对客户端采用的操作系统版本
具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。
三.IPSec VPN和SSL VPN安全性的对比
IPSec VPN和SSL VPN都是通过认证和加密等加强其安全性。IPSec VPN一般不向外界开放,认证与连接双方设备、设备的网络参数和策略设置、设备的lP地址等有直接关系,对远程连接相当安全。SSL VPN通过浏览器,用户可随意登陆,客户端的数字证书鉴别是要求用户自行判断服务器证书是否有效。IPSec VPN采用加密算法复杂,密钥长,解密困难,而SSL VPN加密算法短,复杂度不高。安全性相对差。IPSec VPN一般只在网关提供加密,应用服务器到网关没加密。SSL VPN提供端到端加密,保障数据安全性。
四.IPSec VPN和SSL VPN在应用程序访问中的对比
IPSec VPN支持所有的基于IP的应用程序,对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件。SSL VPN的应用程序服务非常多样化,提供无客户端的Web访问,对于C/S的应用程序和完全的网络访问提供一个客户端代理来实现。
五.IPSec VPN和SSL VPN访问管理上的对比
SSL VPN实施了用户集中化管理,所有的远程访问都是通过SSL VPN控制台进行控管,这样可以更加有效的监控用户使用权限。IPSec VPN,安全权限只局限到网络,IPSec VPN支持基于包过滤的选择符,但在实际情况中,大多数组织允许主机访问整个子网而不是每一个lP地址。如果需要给信任的用户组访问私网内的服务器和子网,IPSec VPN是一个极好的选择。相反,如果实施中要求基于每用户、每用户组、每资源地进行访问控制,SSL VPN将是最好的选择。
IPsec VPN和SSL VPN这两种VPN架构.从整体的安全等级来看,两种都能够提供安全的远程访问机制。但综观上述IPsec VPN和SSL VPN各自有自己的优点和缺点。因为IPsec VPN在网络层,所以它在源和目的地址间只需要一次握手。这就使得在大量的数据传输时比SSL VPN有较高的效率,同样对于VPN它也是较为安全的协议。但是,由于它在网络层,缺乏访问控制的能力。而SSL VPN在其易使用性及安全访问控制级别上.都比IPSec VPN高。IPSec VPN适用来保护所有的lP流量,而SSL则着眼于应用层的流量。因此,IPSec VPN适应于广泛的、持续的、长时间的网络层连接。SSL适应于需要不同的个体连接到应用程序和资源的应用。IPSec VPN和SSL VPN技术是互为补充,互为共存的,它们的应用比重,要视用户需求而定。■