2011-04-12 13:34:30 来源:e-works
IPSec VPN是传统企业远程安全访问需求的解决方案,但随着SSL VPN应用的逐渐加温,越来越多的企业开始采纳SSL VPN的网络架构。自然也有许多的观望者,质疑SSL VPN的安全性和网络的兼容性。对于网络的兼容性,由于IPSec和SSL采取Internet网络中的不同网络层来进行安全加密处理,以建立网络安全通道,因此在网络的安全管理等级及使用方便性上是不相同的。究竟这两种VPN方案哪种是用户更好的选择,我们需要对它们进行综合分析。
1、SSL VPN与IPSec VPN工作原理
1.1 SSL VPN
SSL(安全套接层)协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层,SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/lP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。
SSL VPN利用浏览器内建的Secure Socket Layer封包处理功能,通过浏览器连回公司内部SSL VPN服务器,然后通过网络封包转向的方式,让客户可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。通过SSL VPN可以实现远程访问企业内部网络的构架。
1.2 IPSec VPN
IPSec协议为IPv4和IPv6提供可互操作的、高质量的、基于加密体制的安全方案。包括访问控制、无连接的完整性、数据源认证、防止重播攻击、信息加密和流量保密等安全服务。所有这些服务都建立在IP层,并保护上层的协议。这些服务通过使用两个安全协议:认证头AH[RFC2402]和封装安全载荷ESP[RFC2406],以及通过使用加密密钥管理过程和协议来实现。
2、SSL与IPSec VPN的优势与不足分析
2.1 SSL VPN分析
2.1.1优势分析
无需安装客户端软件或客户端设备,只需通过Web浏览器即可以通过网页访问到企业总部的网络资源,免去了客户端的成本,维护、管理成本也大为降低。SSL VPN方案实施起来非常简单,只需要在企业的数据中心部署SSL VPN网关即可,无需在各分支机构部署硬件或软件设备。SSL VPN方案是无客户端的VPN方案,客户端只需要具备标准的浏览器即可。
SSL VPN的管理工作属于集中管理和集中维护模式,可以极大地降低管理和维护成本。用户通过基于SSL的Web访问并不是网络的真实节点,而且还可代理访问公司内部资源。因此,这种方法可以非常安全的。为那些简单远程访问用户(仅需进入公司内部WEB、FTP网站或者进行Email通信),基于SSL的VPN网络可以非常经济地提供远程访问服务。可以绕过防火墙和代理服务器进行访问:基于SSL的远程访问方案中可以绕过防火墙和代理服务器进行访问公司资源。[page]
2.1.2不足分析
SSL VPN并不是主流的工业级的VPN方案,目前绝大多数需要最高安全标准的大企业、行业企业的首选是IPSec VPN,那么SSL VPN的主要不足在哪里呢?SSL VPN仅支持以代理方式访问基于Web或特定的客户端/服务器的应用。由服务器直接操纵的应用,如Netmeeting以及一些客户书写的应用程序,将无法进行访问。一个企业往往运行了很多种应用(OA、财务、销售管理、ERP),很多应用并不基于Web,单纯只有Web应用的企业极少。一般企业希望VPN能达到局域网的效果,比如网上邻居,而SSL VPN只能保护应用层协议,如WEB、FTP等,要保护更多的应用,SSL VPN目前做不到,所以有一定的局限性。
2.2IPsec VPN分析
2.2.1优势分析
日益增加的对SSL VPN的关注并不能降低对传统IPSec VPN解决方案价值的认可,IPSec仍然是作为站点到站点的VPN事实上的标准。I PSec VPN通过在互联网上的两站点间创建隧道提供直接接入,一旦隧道创建,远程PC就如同物理地处于企业总部LAN中,为公司的分支机构用户提供远程访问总部局域网内部资源的可能。只要能建立IPSec VPN隧道连接,远程的办事处和移动用户就能几乎总部局域网的所有应用和资源,而不象SSL VPN具有一定的局限性。IPSec VPN的优点是:最适合局域网到局域网的通信,适用性更大。
2.2.2不足分析
在远程方面访问,当只创建有限的几个隧道时,IPSec能满足基本的需要,如:总公司与若干个办事处的远程连接。但是,如果有数千个远程互联网用户分布在不同的地点,分发和管理客户端软件就是一件非常麻烦,也很费时的事情。另外,不易解决网络地址转换和穿越防火墙的问题。IPSec VPN产品并不总能很好地解决包括网络地址转换、防火墙穿越和宽带接入在内的复杂的远程访问问题。例如,如果一个用户已经安装了IPSec客户端,但他仍然不能在其他公司的网络内接入互联网(例如,工作在客户处的咨询顾问),IPSec会被那个公司的防火墙阻止,除非该用户和这个公司的网络管理员协商,在防火墙上打开另一个端口。而这是一个烦人、花时间的事情,也会增加风险,这是许多公司不愿承担的。需要同一家的产品,不同IPSec供应商之间的互操作可能存在问题。
3、安全策略对比分析
3.1安全通道(Secure Tunnel)
IPSec和SSL这两种安全协议,都有采用对称式(Symmetric)和非对称式(Asymmetric)的加密算法来执行加密作业。在安全的通道比较上,并没有谁好谁坏之差,仅在于应用上的不同。
3.2认证和权限控管
IPSec采取Internet Key Exchange(IKE)方式,使用数字凭证(Digital Certificate)或是一组Secret Key来做认证,而SSL仅能使用数字凭证,如果都是采取数字凭证来认证,两者在认证的安全等级上就没有太大的差别。SSL的认证,大多数的厂商都会建置硬件的Token,来提升认证的安全性。对于使用权限的控管,IPSec可以支持[Selectors],让网络封包过滤喊阻隔某些特定的主机应用系统。但是实际作业上,大多数人都是开发整个网段(Subset),以避免太多的设定所造成的麻烦。SSL可以设定不同的使用者,执行不同的应用系统,它在管理和设定上IPSec简单方便许多。[page]
3.3应用系统的攻击
远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,都是可以侦测得到,这就提供了黑客攻击的机会。若是采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络物制,所受到的威胁也仅是所联机的这个应用系统,攻击机会相对就减少。
3.4病毒入侵
一般企业在Internet联机入口,都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。相对于SSL VPN的联机,所感染的可能性,会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。
3.5防火墙上的通讯埠(Port)
在TCP/IP的网络架构上,各式各样的应用系统会采取不同的通讯协议,并且通过不同的通讯埠来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯埠是采用Port25,若是从远程电脑来联机Email服务器,就必须在防火墙上开放Port25,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSecVPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。反观之,SSL VPN就没有这方面的困扰。因为在远程主机与SSLVPN Gateway之间,采用SSL通讯埠(Port443)来作为传输通道,这个通讯埠,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。
IPSec VPN和SSL VPN这两种VPN架构,从整体的安全等级来看,两种都能够提供安全的远程登入存取联机。但综观上述,SSL VPN在其易于使用性及安全层级,都比IPSec VPN高。我们都知道,由于Internet的迅速扩展,针对远程安全登入的需求也日益提升。对于使用者而言,方便安全的解决方案,才能真正符合需求,所以在能满足需要的情况下,IPSec VPN是用户的合适选择。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
