SSL-VPN介紹

2019-11-05 01:57:43

字體：大中小

來源：轉載

供稿：網友

　　客觀的講，目前SSL VPN不論是在應用實現還是在部署成本商均較ipsec要弱。我們公司當初在采購的時候也曾經考慮過SSL VPN，但是最后還是上了Ipsec。個人認為還需等一段時間。事實上，利用SSL VPN利用瀏覽器本身只能做到B/S應用和訪問FTP 服務，這在目前大大降低了靈活性。假如你要實現桌面級的應用，比如C/S結構的系統，怎么辦？不管采用哪一家的SSL VPN，你仍然需要安裝專門的客戶端，就似乎IPsec。隨著日后B/S結構應用的崛起，我們相信SSL VPN會有它大放異彩的一天，但還不是今天。

目前由于用戶在對SSL VPN的選擇上越來越感愛好，所以針對基于IPSEC的VPN和基于SSL的VPN我整理了一些材料進行了技術對比及分析供大家參考。

SSL VPN廠家經常強調其技術產品優勢，主要包括以下幾點：

1． IPSec VPN部署、治理成本比SSL VPN高；

2． SSL VPN比IPSEC VPN更安全；

3． SSL VPN與IPSec VPN相比，具有更好的克擴展性；

4． SSL VPN在訪問控制方面比IPSec VPN做的更細粒度；

5．使用SSL VPN相比IPSEC VPN也具有更好的經濟性。

一、IPSec VPN部署、治理成本比SSL VPN高；

首先我們先熟悉一下IPSEC存在的不足之處：

在設計上，IPSec VPN是一種基礎設施性質的安全技術。這類VPN的真正價值在于，它們盡量提高IP環境的安全性。可問題在于，部署IPSec需要對基礎設施進行重大改造，以便遠程訪問。好處就擺在那里，但治理成本很高。IPSec安全協議方案需要大量的IT技術支持，包括在運行和長期維護兩個方面。在大的企業通常有幾個專門的員工為通過IPSec安全協議進行的VPN遠程訪問提供服務。

IPSec VPN最大的難點在于客戶端需要安裝復雜的軟件，而且當用戶的VPN策略稍微有所改變時，VPN的治理難度將呈幾何級數增長。SSL VPN則正好相反，客戶端不需要安裝任何軟件或硬件，使用標準的瀏覽器，就可通過簡單的SSL安全加密協議，安全地訪問網絡中的信息。

其次我們再看看SSL的所謂優勢特點：

SSL VPN避開了部署及治理必要客戶軟件的復雜性和人力需求；SSL在Web的易用性和安全性方面架起了一座橋梁，目前對SSL VPN公認的三大好處是：

第一來自于它的簡單性，它不需要配置，可以立即安裝、立即生效；

第二個好處是客戶端不需要麻煩的安裝，直接利用瀏覽器中內嵌的SSL協議就行；第三個好處是兼容性好，傳統的IPSec VPN對客戶端采用的操作系統版本具有很高的要求，不同的終端操作系統需要不同的客戶端軟件，而SSL VPN則完全沒有這樣的麻煩。

最后我們對兩者進行綜合分析得知：

1、SSL強調的優勢其實主要集中在VPN客戶端的部署和治理上，我們知道前面SSL一再強調無需安裝客戶端，主要是由于瀏覽器內嵌了SSL協議，也就是說是基于B/S結構的業務時，可以直接使用瀏覽器完成SSL的VPN建立；但假如客戶的應用系統采用的是C/S結構的話，仍然需要安裝Client軟件；

2、目前進行VPN部署的用戶大部分都是要求對現有業務需要支持的用戶，而據統計這樣的用戶95％以上都有主要基于C/S架構的重要應用系統，也就是說其“Client軟件無需安裝”的優勢是有很大局限性的，非凡是對中國目前很多用戶來說這種方式實用性不強；

3、基于B/S的安全性顯而易見遠遠不如基于C/S結構；

4、但同時基于IPSEC的VPN雖然在業務應用基于B/S上沒有基于SSL的方便，但在業務應用基于C/S方面確下足了功夫，比如說天融信公司提供一套VPN客戶端自動部署系統－ADS，它能幫助用戶輕松實現客戶端、證書等的統一部署，而SSL VPN在基于C/S的部署時，則無此功能和實際的成功案例。

二、SSL VPN比IPSEC VPN更安全

首先我們還是先熟悉一下IPSEC存在的不足之處：

1、在通路本身安全性上，傳統的IPsec VPN還是非常安全的，比如在公網中建立的通道，很難被人篡改。說其不安全，是從另一方面考慮的，就是在安全的通路兩端，存在很多不安全的因素。比如總公司和子公司之間用IPsec VPN連接上了，總公司的安全措施很嚴密，但子公司可能存在很多安全隱患，這種隱患會通過IPsec VPN傳遞給總公司，這時，公司間的安全性就由安全性低的分公司來決定了。

2、比如黑客想要攻擊應用系統，假如遠程用戶以IPSec VPN的方式與公司內部網絡建立聯機之后，內部網絡所連接的應用系統，黑客都是可以偵測得到，這就提供了黑客攻擊的機會。

3、比如應對病毒入侵，一般企業在Internet聯機入口，都是采取適當的防毒偵測措施。不論是IPSec VPN或SSL VPN聯機，對于入口的病毒偵測效果是相同的，但是比較從遠程客戶端入侵的可能性，就會有所差別。采用IPSec聯機，若是客戶端電腦遭到病毒感染，這個病毒就有機會感染到內部網絡所連接的每臺電腦。

4、不同的通訊協議，并且通過不同的通訊端口來作為服務器和客戶端之間的數據傳輸通道。以Internet Email系統來說，發信和收信一般都是采取SMTP和POP3通訊協議，而且兩種通訊端口是采用25端口，若是從遠程電腦來聯機Email服務器，就必須在防火墻上開放25端口，否則遠程電腦是無法與SMTP和POP3主機溝通的。IPSec VPN聯機就會有這個困擾和安全顧慮。在防火墻上，每開啟一個通訊埠，就多一個黑客攻擊機會。

其次我們再看看SSL的所謂優勢特點：

1、SSL安全通道是在客戶到所訪問的資源之間建立的，確保點到點的真正安全。無論在內部網絡還是在因特網上數據都不是透明的?？蛻魧Y源的每一次操作都需要經過安全的身份驗證和加密。

2、若是采取SSL VPN來聯機，因為是直接開啟應用系統，并沒在網絡層上連接，黑客不易偵測出應用系統內部網絡設置，同時黑客攻擊的也只是VPN服務器，無法攻擊到后臺的應用服務器，攻擊機會相對就減少。

3、而對于SSL VPN的聯機，病毒傳播會局限于這臺主機，而且這個病毒必須是針對應用系統的類型，不同類型的病毒是不會感染到這臺主機的。因此通過SSL VPN連接，受外界病毒感染的可能性大大減小。

4、SSL VPN就沒有這方面的困擾。因為在遠程主機與SSLVPN Gateway之間，采用SSL通訊端口443來作為傳輸通道，這個通訊端口，一般是作為Web Server對外的數據傳輸通道，因此，不需在防火墻上做任何修改，也不會因為不同應用系統的需求，而來修改防火墻上的設定，減少IT治理者的困擾。假如所有后臺系統都通過SSL VPN的保護，那么在日常辦公中防火墻只開啟一個443端口就可以，因此大大增強內部網絡受外部黑客攻擊的可能性。

最后我們對兩者進行綜合分析得知：

1、目前基于SSL的VPN網關都還是一種‘點到端’的模式，因而在‘端’處兩種VPN都面臨著‘端’內部的不安全性，如：內網數據的非法監聽等等；

2、由于基于IPSEC的VPN本身也有嚴格的SPD（安全策略庫），因此也只有響應的應用類型數據可以達到內部對應服務器，所以兩者對防病毒的意義是相同的；

3、由于用戶的應用系統存在著大量的基于C/S架構的業務系統，同時基于SSL的VPN產品技術可能還需支持DNS、SMTP、LDAP等其他治理和安全功能，所以它同樣面臨著多端口的安全威脅；而目前基于IPSEC的VPN已經做了很多技術的改進，所以所開放的協議和端口很少，同時加上防火墻/VPN一體機的這種結構，使得VPN和防火墻的訪問控制技術很好結合起來，大大提供VPN自身的安全性。

三、SSL VPN與IPSec VPN相比，具有更好的可擴展性；

首先我們還是先熟悉一下IPSEC存在的不足之處：

IPSec VPN在部署時一般放置在網絡網關處，因而要考慮網絡的拓撲結構，假如增添新的設備，往往要改變網絡結構，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可擴展性比較差。

其次我們再看看SSL的所謂優勢特點：

而SSL VPN就有所不同，它一般部署在內網中任一節點處即可，可以隨時根據需要，添加需要VPN保護的服務器，因此無需影響原有網絡結構。

最后我們對兩者進行綜合分析得知：

1．由于目前國內知名的VPN廠商（如天融信等），就提供透明模式下的VPN網關，所以對用戶原有的網絡不做任何改變，包括主機路由、接入方式等方面；

2．同時由于VPN網關本身就是安全設備，所以它自身的安全性也非常重要，因此SSL VPN網關雖然提供簡單的包過濾功能，但是遠遠不如防火墻/VPN一體機安全，因此SSLVPN網關需要通過防火墻進行非凡的安全保護部署；同時由于它位于防火墻后面，也使得SSL的數據無法被防火墻進行安全過濾，但在同等條件下防火墻/VPN一體機則很好解決了加密和防火墻的訪問控制的矛盾。

四、SSL VPN在訪問控制方面比IPSec VPN做的更細粒度；

為什么最終用戶要部署VPN，究其根本原因，還是要保護網絡中重要數據的安全，比如財務部門的財務數據，人事部門的人事數據，銷售部門的項目信息，生產部門的產品配方等等。

首先我們還是先熟悉一下IPSEC存在的不足之處：

由于IPSec VPN部署在網絡層，因此，內部網絡對于通過VPN的使用者來說是透明的，只要是通過了IPSec VPN網關，他可以在內部為所欲為。因此，IPSec VPN的目標是建立起來一個虛擬的IP網，而無法保護內部數據的安全。所以IPSec VPN又被稱為網絡安全設備。

其次我們再看看SSL的所謂優勢特點：

在電子商務和電子政務日益發展的今天，各種應用日益復雜，需要訪問內部網絡人員的身份也多種多樣，比如可能有自己的員工、控股公司的工作人員、供貨商、分銷商、商業合作伙伴等等。與IPSec VPN只搭建虛擬傳輸網絡不同的是，SSL VPN重點在于保護具體的敏感數據，比如SSL VPN可以根據用戶的不同身份，給予不同的訪問權限。就是說，雖然都可以進入內部網絡，但是不同人員可以訪問的數據是不同的。

而且在配合一定的身份認證方式的基礎上，不僅可以控制訪問人員的權限，還可以對訪問人員的每個訪問，做的每筆交易、每個操作進行數字簽名，保證每筆數據的不可抵賴性和不可否認性，為事后追蹤提供了依據。

最后我們對兩者進行綜合分析得知：

1．目前基于SSL的VPN和基于IPSEC遠程接入的VPN都采用的是點到端的模式，所以在進入內網后（VPN網關后）都面臨著內部數據安全的問題，雖然兩者都可以分別通過各自VPN的策略和認證的安全方式對用戶進行相應的安全過濾；

2．只有基于點到點的SSL VPN才能真正做到每個應用、每筆業務的細粒度控制，但這需要服務器端提供直接的SSL接口，服務器系統本身提供強認證等安全功能，所以目前這種基于SSL的VPN網關方式還不能到達這種細粒度的要求。

五、使用SSL VPN相比IPSEC VPN也具有更好的經濟性

首先我們還是先熟悉一下IPSEC存在的不足之處：

對于IPSec VPN來說，每增加一個需要訪問的分支，就需要添加一個硬件設備。所以，尤其是對于一個成長型的公司來說，隨著IT建設的擴大，要不斷購買新的設備來滿足需要。

其次我們再看看SSL的所謂優勢特點：

使用SSL VPN只需要在總部放置一臺硬件設備就可以，就可以實現所有用戶的遠程安全訪問接入。

最后我們對兩者進行綜合分析得知：

1、但是我們知道基于IPSEC的VPN也支持點到端的方式（也就是指遠程的‘點’用戶連接總部VPN網關的‘端’用戶），也就是說也可以支持總部放置一臺硬件設備就可以了，其他都使用VPN客戶端就可以了，況且國內外很多VPN客戶端實質上都是免費的；

2、同時對于很多企業自己專用的業務應用系統（基于C/S架構的業務應用系統）來說，假如系統本身沒有進行安全地設計SSL接口或者更本就沒有提供的話，這種SSL的遠程接入方式根本就沒有辦法滿足用戶需求。

綜觀上述，SSL VPN雖然有很多新奇的特點，但是無論從用戶的實際出發還是我們作為基于IPSEC技術廠家的角度來說，大家都必須要冷靜看待新技術的發展，其必然有個過程和局限性，非凡是想取代目前成熟的安全技術時都有很大盲目性，對于我們而言就更是如此，希望此文章對于我們的銷售還是技術都能有所幫助，謝謝大家的閱讀?。?！

上一篇：IPSec基礎－密鑰交換和密鑰保護Internet密鑰交換（IKE）

下一篇：SSL VPN靈活實現遠程用戶接入