IPsec和SSLVPN分析比较

IPsec vpn & SSL VPN
分析比较
Array Networks, Inc.
概述
由于VPN（虚拟专网）比租用专线更加便宜、安全、灵活，所以有越来越多的公司采用VPN，连接在家工作和出差在外的员工，以及替代连接分公司和合作伙伴的标准广域网。

VPN建在互联网的公共网络架构上，一般通过加密协议，在发端加密数据、在收端解密数据，以保证数据的私密性。

Internet Protocol Secutity(IPSec) 和Secure Sockets Layer (SSL) 是企业部署VPN所采用的两种主要技术，它们都用来作企业远程接入的加密和认证机制，以下我们简要介绍一下两种VPN组网方法，并尽可能的对两种技术作技术和应用的对比，使企业能够对两种技术的优劣进行对比，选取更加适合本企业的VPN技术。

IPSec
从20世纪90年代中期开始，IPSec VPN逐步受到人们重视。

IPSec VPN在远程访问者和企业局域网之间创建加密“隧道”，从而允许使用者就像他们在公司局域网内部一样工作，即使他们处在很遥远的地方。

为了创建这个加密隧道，需要安装VPN的集中器和每一个使用者的笔记本上安装专用软件。

如上图，IPSec VPN是工作在IP层上，是在networks层进行认证和加密的，它的建立需要在VPN的两端建立IPSec 隧道，一旦隧道建立好，所有的数据流量都从这个隧道穿过，并可以支持之上任意一种IP应用。

IPSec 隧道的建立采用Authentication Header 鉴别头(AH) 协议或Encapsulating Security Payload打包安全负载 (ESP) 协议。

IPSec 是一套IETF （internet工程任务组）制定的标准安全协议。

IPSec可以采用40-bit 、128-bit RC4, 56-bit DES、112或168-bit Triple-DES （三重数据加密）、128-,192-, or 256-bit AES 等加密算法。

用户的认证机制采用用户名、密码或基于Radius 、RSA SecurID ，或X.509证书等认证机制。

SSL VPN
密套接字协议层（SSL）作为一种新的方式出现在VPN领域。

分析人员和媒体给予了SSL VPN以前所未有的关注，而且它的使用正在增加。

SSL VPN工作在TCP层，这个技术特性决定了它是一种基于应用的VPN，可以更好的作应用层的安全访问控制机制，并能够做到底层无关性，可以做到部署方式更灵活。

由于它的客户端只需要标准的浏览器，可以看作是无客户端的VPN方案，被认为是SSL VPN的主要特点。

若要使用SSL VPN，要求客户端必须具有SSL 功能的标准浏览器，如IE、Netscape 等。

除了WEB应用，主要的SSL VPN厂家，包括SSL VPN的领导厂家ArrayNetworks 都支持C/S结构的应用，甚至包括动态端口等音频、视频等复杂应用。

由于要支持C/S 结构的应用，一般还要求支持Java和 ActiveX。

加密机制如同IPSec，仍然采用40-bit 、128-bit RC4, 56-bit DES、112或168-bit Triple-DES、128-,192-, or 256-bit AES 等加密算法
IPSec VPN 和SSL VPN比较
1.适用VPN组网结构
IPSec VPN适用 Site to Site 组网：这是由于IPSec VPN采用隧道技术，部署时一般采用两端部署VPN网关方式。

例如当VPN的总部和分支机构有很多IT设备时，采用IPSec组网方式比较灵活，支持应用广泛。

SSL VPN适用 Client to Site组网：当客户端为PC终端设备时，采用此方式。

当分支机构为少量终端，或者VPN用户为分布在广泛地域的移动用户时更显优势。

IPSec 和 SSL VPN可以互为补充，满足企业不同的VPN上网群体，达到更加安全的访问组合。

2.适用应用
IPSec VPN适用应用广泛：由于IPSec VPN采用隧道技术，部署时一般采用两端部署VPN网关方式。

当VPN隧道建立后，各种IP应用都可以通过VPN隧道进行访问，但这也会带来一定的安全问题。

SSL VPN同样适用各种应用：由于SSL VPN采用的是 SSL Proxy机制，作各种应用时要进行相对复杂的配置，对于WEB 应用最为适用，当支持C/S应用时，需要采用如JAVA，ActivcX等技术。

复杂的控制也带来了更高的安全性。

3.VPN部署
IPSec VPN部署管理复杂：由于IPSec VPN需要在隧道两端部署一对VPN网关，或是在客户端安装专用客户端软件，部署复杂，尤其是对于大量的远端用户，除此以外，。