走近VPN的两大派系(上)
行业之道
随着VPN应用的逐渐升温,越来越多的企业用户开始考虑采用VPN的网络架构,来解决企业的远程访问需求。目前VPN远程接入有两大主流技术:IPSec VPN和SSL VPN,它们分别采用互联网的不同网络层来进行安全加密处理,以建立网络安全通道,因此它们在网络的安全管理上各有所长。下面我们来看看这两种VPN技术的区别。
IPSec VPN和SSL VPN的区别
1.IPSec VPN:安全优先
互联网安全协议(IPSec)是被采用得最广泛的VPN技术,它是由互联网工程任务组(IETF)开发的一组身份验证和加密的协议。在设计上,IPSec VPN是一种基础设施性的安全技术,它通过在一个数据包上再围上另外一个数据包的办法来封装该数据包,从而达到对整个数据包进行加密的目的。这种经过加密的信息流在没有安全措施的 IP 网络中形成了一个安全的信息隧道。无论在何种情况下,IPSec协议都被用于封装带有IP协议头或协议尾的且需要进行传输的数据,IP协议头或协议尾的作用是方便数据包在互联网中进行传输。该封装好的数据包被网络另一端的IPSec VPN网关接收后,其协议头或协议尾将会被删除,数据将会被解密,并被传送到指定的接收处。这样,从 IPSec VPN 网关传送来的信息处理起来就好像是来自于局域网中某个用户处一样。
正是基于这样的特性,IPSec算得上是VPN家族中最安全的协议。但是IPSec VPN 也存在一些缺点,比如必须安装客户端软件,另外通过IPSec 通道连接到企业内部网络可能会增加局域网受到攻击或被病毒感染的几率。即便如此,目前IPSec VPN仍是站点到站点连接的不二选择。
2.SSL VPN:便捷优先
与IPSec VPN相匹敌的是 SSL VPN,相对于IPSec VPN用于“网→网”连接,SSL VPN则主要用于“移动客户→网”的连接。安全套接层(SSL)是由Netscape(网景)公司开发的用于在互联网上传递隐秘消息的协议,它是利用RSA数据安全公司的公用密钥密码技术来实现的。公用密钥加密技术使用不对称的密钥来加密和解密,每对密钥包含一个公钥和一个私钥,公钥是公开广泛分布的,而私钥是隐秘的。用公钥加密的数据只有私钥才能解密,相反的,用私钥加密的数据只有公钥才能解密。
因此,目前SSL 协议被各种浏览器广泛应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。这正是SSL VPN的突出优势——使用任何安装了Web浏览器的设备,用户都可以通过互联网安全地访问企业内部Web。目前SSL VPN技术已经内嵌在浏览器中,用户使用时不需要像传统IPSec VPN那样,必须安装客户端软件,这对于移动用户和分散用户访问企业总部提供了极大的方便。
然而以上的优点偏偏成了SSL VPN的最大局限:通过SSL VPN是接入企业内部的Web应用,而不是企业的局域网络,因此移动用户只能访问所需要的应用和数据资源中的一小部分。同时SSL VPN无法为远程访问用户提供全面的解决方案,也不可用于有多种协议的复杂应用,而这些对企业及远程用户来说往往是关键需求,比如,SSL VPN没有架构来支持即时消息传送、数据馈送、视频会议及VoIP。此外,尽管SSL VPN能够保护由HTTP创建的TCP通道的安全,但它并不适用于UDP通道。目前企业网络一般都要求支持各种应用:TCP和UDP、客户机/服务器和Web、现成和内部开发的程序。当然,SSL VPN的加密级别一般也不如IPSec VPN高。
因此SSL VPN并不能取代IPSec VPN,这两种技术目前应用在不同的领域。
各自适合的企业用户群
面对VPN的两大派系,很多企业用户一直犹豫不决到底应该使用哪种技术,IPSec VPN 和SSL VPN,到底哪一种比较符合公司的网络安全政策呢?企业用户只要了解了它们分别可达成的存取目标以及可解决的问题,答案不言自明。
对于企业高级用户和站点对站点连接所需要的直接访问企业网络功能而言,IPSec VPN最合适。通过IPSec VPN,各地的员工能够享受不间断的安全连接,借此存取所需的企业数据资源,以提升工作效率。这样就可以让分散在各地的员工如同位于企业总部内一般地工作,并且能够像在内部局域网般地轻松存取所有网络资源。
而SSL VPN则最适合下述情况:企业用户需要通过互联网达到广泛而全面的信息存取;使用者的设备与目标服务器之间有防火墙,该防火墙设定允许HTTP联机,但不允许UDP 500端口或 IPSec运行;企业无法控制远程访问者的电脑配置,不可能在使用者的电脑上安装软件以提供远程访问。在这些情况下,SSL VPN可满足以上用户的远程存取需求,而且如果使用者的身份或环境改变时,还允许网管人员改变他们可存取的资源。