隨著企業信息化發展和web2.0時代的到來,傳統的辦公方式已經跟不上時代的需求,移動辦公,soho辦公逐漸成為主流的辦公方式。相比傳統的辦公方式,移動辦公和soho辦公帶來了更靈活的工作時間以及辦公地點,對於及時取得最新最有價值的信息有很大的幫助。在這個信息化的時代,誰能最先掌控信息誰就能掌控最終的勝利,因此遠程登錄,遠程訪問開始成為現代工作生活的一種必要的需求。隨著遠程登錄,遠程訪問的逐漸增多,網路安全問題也開始凸顯出來。開放遠程登錄可能會給企業的網路安全帶來極大的威脅,有可能造成機密信息的丟失,如果是這樣,那么遠程登錄就有些得不償失了。為了保證遠程登錄的安全性,虛擬專用網路VPN孕育而生,它的出現改善了整個網路的安全性,為奪取更有價值的信息打好了安全基礎。
定義
虛擬專用網路VPN即“Virtual Private Network”。定義為通過一個公用網路(通常是網際網路)建立一個臨時的、安全的連線,是一條穿過混亂的公用網路的安全、穩定的隧道。通過虛擬專用網VPN可以幫助遠程用戶、分公司、合作夥伴及經銷商等建立內部的可信安全連線,保證數據的安全傳輸,這樣既可以得到最新的信息,擴大信息量,又能保證溝通的及時性,最主要的是它讓真箇的“內部”大環境更加的安全可靠。
然而隨著用戶對網路安全性和其它使用需求的提升,VPN的技術也需要更新發展,因此IPSec VPN和SSL VPN相繼出現,為虛擬專用網路提供了更加安全的保證。
關係
IPSec VPN 簡單來說就是採用IPSec協定來實現遠程登錄的一種VPN技術,IPSec是IETF(Internet Engineer Task Force)制定的安全標準,IPSec協定是一個範圍廣泛、開放的虛擬專用網安全協定,它提供所有在網路層上的數據保護,提供透明的安全通信。需要指出的是IPSec是基於網路層的,不能穿越通常的NAT、防火牆。
SSL VPN 簡單來說就是採用SSL協定來實現遠程登錄的一種新型VPN技術。SSL(Security Socket Layer)協定是網景公司提出的基於WEB套用的安全協定,它包括:伺服器認證、客戶認證、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。值得一提的是,SSL 協定被內置於IE等瀏覽器中,使用SSL 協定進行認證和數據加密的SSL VPN就可以免於安裝客戶端,簡化了客戶端的操作。
區別
1、認證方面,IPSec採用Internet Key Exchange(IKE)方式,通過數字憑證或是一組密匙來做認證;而SSL僅能使用數字憑證,所以如果兩者都採用數字憑證的認證方式的話,它們的認證安全等級幾乎是相同的。用戶控制方面,IPSec能明確使用收控的設備接入的移動用戶;而SSL則使用無法控制的設備接入的用戶。
2、安全通道方面,IPSec和SSL都採用對稱式或非對稱式這兩種典型的加密算法來執行加密作業。所以兩者在安全通道方面並無太大的區別,區別僅在於套用方面。
3、關於系統攻擊方面,採用IPSec方式連線的話,區域網路所連線的套用系統都有可能被黑客監測到,並找到攻擊機會。而採用SSL方式連線的話,由於採用直接開始套用系統,沒有網路層上的連結,所以黑客不容易監測到,攻擊的機會也很小。
4、防病毒方面,如果採用IPSec在線上,一旦客戶端遭到病毒感染,那么這個病毒就很可能會感染到內部網路所連線的每台電腦。相對來說,如果採用SSL在線上,感染的僅限於這台主機,並且病毒必須是針對相同的套用系統的類型,否則這台主機都不會被感染。
優勢
1、SSL VPN套用簡單,不需要配置,可以立即安裝、快速實現;它的客戶端不需要複雜的安裝,因為瀏覽器中內嵌了SSL協定;它的兼容性好,與IPSec vpn對不同的作業系統需要不同的客戶端軟體不同,SSL完全不需要這樣的麻煩。
2、SSL VPN比IPSEC VPN更安全,SSL的安全通道是點到點連線的,所以無論是在區域網路還是外網數據都不透明,像上面介紹的一樣,SSL受黑客攻擊的機會很小,感染病毒的可能也很低,即使感染了也僅是一台主機,不會影響到整個網路的。
3、SSL VPN具有更好的可擴展性,IPSec在部署安全網關時要考慮拓撲排序,一旦添加新設備就要改變網路結構,那就需要重新部署。而SSL VPN由於可以部署在區域網路中任意節點處,所以可以根據需要添加,無需改變網路結構。
4、SSL VPN讓數據更安全,由於IPSec VPN是基於網路層的,所以一旦過了IPSec vpn網關,內部就處於無保護狀態,內部數據就有丟失的可能。而SSL vpn則是重點保護具體的敏感數據,對於不同的用戶名給予不同的操作許可權,這樣既安全又能保證數據的實時跟蹤。
5、SSL VPN具有更好的經濟性,對於IPSec vpn來說,如果要增加一個訪問分支,就需要增加一個硬體設備,這對於中小企業來說是難以承受的。而SSL VPN由於自始至終僅需要一台硬體設備就可以實現添加更多的遠程訪問許可權,投資更具性價比。
6、IPSec VPN套用更廣泛,由於SSL vpn僅限於web瀏覽器的套用,對於非web套用的訪問哪一實現,例如檔案共享,預定檔案備份,自動檔案傳輸等。這使得網路資源的共享受限,而IPSec則可以不通過web接入就實現企業資源的訪問。
7、IPSec VPN是網路層的理想方案,由於IPSec實現的是網路層的連線,任何的區域網路套用都可以通過IPSec隧道進行訪問,這是最理想的套用方案,對於網路許可權管理來說非常有用。
8、IPSec VPN適合專用網路 ,由於提供了完整的網路層連線功能,因此對於實現專用網路的安全連線IPSec是最佳選擇。
總結
通過上面的介紹可以看到,IPSec vpn和SSL vpn是各具優勢,然而各自缺點也很明顯,雖然SSL vpn是在IPSec之後推出的,但它並不是來取代IPSec vpn的,可以說SSL vpn和IPSec是互補關係,只有它們兩個結合起來才能提供更加安全的虛擬專用網路,今後各個企業將為不同的遠程網路而同時選擇SSL和IPSec,這將是vpn未來的走向。