客观的讲,目前SSL VPN不论是在应用实现还是在部署成本商均较IPsec要弱。我们公司当初在采购的时候也曾经考虑过SSL VPN,但是最后还是上了Ipsec。个人认为还需等一段时间。事实上,利用SSL VPN利用浏览器本身只能做到B/S应用和访问ftp 服务,这在目前大大降低了灵活性。
如果你要实现桌面级的应用,比如C/S结构的系统,怎么办?不管采用哪一家的SSL VPN,你仍然需要安装专门的客户端,就好像IPsec。 随着日后B/S结构应用的崛起,我们相信SSL VPN会有它大放异彩的一天,但还不是今天。
目前由于用户在对SSL VPN的选择上越来越感兴趣,所以针对基于IPSEC的VPN和基于SSL的VPN我整理了一些材料进行了技术对比及分析供大家参考。
SSL VPN厂家经常强调其技术产品优势,主要包括以下几点:
1. IPSec VPN部署、管理成本比SSL VPN高;
2. SSL VPN比IPSEC VPN更安全;
3. SSL VPN与IPSec VPN相比,具有更好的克扩展性;
4. SSL VPN在访问控制方面比IPSec VPN做的更细粒度;
5. 使用SSL VPN相比IPSEC VPN也具有更好的经济性。
一、IPSec VPN部署、管理成本比SSL VPN高;
首先我们先认识一下IPSEC存在的不足之处:
在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。
IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。
其次我们再看看SSL的所谓优势特点:
SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁,目前对SSL VPN公认的三大好处是:
第一来自于它的简单性,它不需要配置,可以立即安装、立即生效;
第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。
最后我们对两者进行综合分析得知:
1、SSL强调的优势其实主要集中在VPN客户端的部署和管理上,我们知道前面SSL一再强调无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立;但如果客户的应用系统采用的是C/S结构的话,仍然需要安装Client软件;
2、目前进行VPN部署的用户大部分都是要求对现有业务需要支持的用户,而据统计这样的用户95%以上都有主要基于C/S架构的重要应用系统,也就是说其“Client软件无需安装”的优势是有很大局限性的,特别是对中国目前很多用户来说这种方式实用性不强;
3、基于B/S的安全性显而易见远远不如基于C/S结构;
4、但同时基于IPSEC的VPN虽然在业务应用基于B/S上没有基于SSL的方便,但在业务应用基于C/S方面确下足了功夫,比如说天融信公司提供一套VPN客户端自动部署系统-ADS,它能帮助用户轻松实现客户端、证书等的统一部署,而SSL VPN在基于C/S的部署时,则无此功能和实际的成功案例。
二、SSL VPN比IPSEC VPN更安全
首先我们还是先认识一下IPSEC存在的不足之处:
1、在通路本身安全性上,传统的IPsec VPN还是非常安全的,比如在公网中建立的通道,很难被人篡改。说其不安全,是从另一方面考虑的,就是在安全的通路两端,存在很多不安全的因素。比如总公司和子公司之间用IPsec VPN连接上了,总公司的安全措施很严密,但子公司可能存在很多安全隐患,这种隐患会通过IPsec VPN传递给总公司,这时,公司间的安全性就由安全性低的分公司来决定了。
2、比如黑客想要攻击应用系统,如果远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,黑客都是可以侦测得到,这就提供了黑客攻击的机会。
3、比如应对病毒入侵,一般企业在Inte.net联机入口,都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。
4、不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯端口是采用25端口,若是从远程电脑来联机Email服务器,就必须在防火墙上开放25端口,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。
其次我们再看看SSL的所谓优势特点:
1、SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
2、若是采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器,攻击机会相对就减少。
3、而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。
4、SSL VPN就没有这方面的困扰。因为在远程主机与SSLVPN Gateway之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强内部网络受外部黑客攻击的可能性。
最后我们对两者进行综合分析得知:
1、目前基于SSL的VPN网关都还是一种‘点到端’的模式,因而在‘端’处两种VPN都面临着‘端’内部的不安全性,如:内网数据的非法监听等等;
2、由于基于IPSEC的VPN本身也有严格的SPD(安全策略库),因此也只有响应的应用类型数据可以达到内部对应服务器,所以两者对防病毒的意义是相同的;
3、由于用户的应用系统存在着大量的基于C/S架构的业务系统,同时基于SSL的VPN产品技术可能还需支持DNS、SMTP、LDAP等其他管理和安全功能,所以它同样面临着多端口的安全威胁;而目前基于IPSEC的VPN已经做了很多技术的改进,所以所开放的协议和端口很少,同时加上防火墙/VPN一体机的这种结构,使得VPN和防火墙的访问控制技术很好结合起来,大大提供VPN自身的安全性。
三、SSL VPN与IPSec VPN相比,具有更好的可扩展性;
首先我们还是先认识一下IPSEC存在的不足之处:
IPSec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。
其次我们再看看SSL的所谓优势特点:
而SSL VPN就有所不同,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。
最后我们对两者进行综合分析得知:
1.由于目前国内知名的VPN厂商(如天融信等),就提供透明模式下的VPN网关,所以对用户原有的网络不做任何改变,包括主机路由、接入方式等方面;
2.同时由于VPN网关本身就是安全设备,所以它自身的安全性也非常重要,因此SSL VPN网关虽然提供简单的包过滤功能,但是远远不如防火墙/VPN一体机安全,因此SSLVPN网关需要通过防火墙进行特殊的安全保护部署;同时由于它位于防火墙后面,也使得SSL的数据无法被防火墙进行安全过滤,但在同等条件下防火墙/VPN一体机则很好解决了加密和防火墙的访问控制的矛盾。
四、SSL VPN在访问控制方面比IPSec VPN做的更细粒度;
为什么最终用户要部署VPN,究其根本原因,还是要保护网络中重要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门的项目信息,生产部门的产品配方等等。
首先我们还是先认识一下IPSEC存在的不足之处:
由于IPSec VPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSec VPN网关,他可以在内部为所欲为。因此,IPSec VPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。
其次我们再看看SSL的所谓优势特点:
在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业