给你抛弃IPSec VPN选择SSL

发表于:2007-06-23来源:作者:点击数: 标签:
部署 IPSec VPN 对 SSL VPN IPSec VPN部署、管理成本高 在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成

   
  部署 IPSec VPN 对 SSL VPN
  
  IPSec VPN部署、管理成本高
  

  在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。
  
  IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。
  
  SSL VPN 安全性和易用性的桥梁
  
  SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求
  
  SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。
  
  因此SSL VPN降低了部署成本,同时也减小对日常性支持和管理的需求。
  
  SSL VPN属于即插即用型的VPN。
  
  安全性IPSec VPN 对 SSL VPN
  
  SSL VPN更安全:端到端安全 对 端到边缘安全
  IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全,不管怎样,所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。
  
  SSL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
  
  那么端到端的安全与端到边缘的安全对使用者意味着什么呢?两种VPN技术都需要建立一条通路与访问资源之间进行安全的数据连接,这条安全通路的建立,正是VPN设备所能实现的效果。安全是个延展的概念。在通路本身安全性上,传统的IPsec VPN还是非常安全的,比如在公网中建立的通道,很难被人篡改。说其不安全,是从另一方面考虑的,就是在安全的通路两端,存在很多不安全的因素。比如总公司和子公司之间用IPsec VPN连接上了,总公司的安全措施很严密,但子公司可能存在很多安全隐患,这种隐患会通过IPsec VPN传递给总公司,这时,公司间的安全性就由安全性低的分公司来决定了。
  
  比如黑客想要攻击应用系统,如果远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,黑客都是可以侦测得到,这就提供了黑客攻击的机会。若是采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器,攻击机会相对就减少。
  
  比如应对病毒入侵,一般企业在Inte.net联机入口,都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。
  
  再比如防火墙上的通讯端口,在TCP/IP的网络架构上,各式各样的应用系统会采取不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯端口是采用25端口,若是从远程电脑来联机Email服务器,就必须在防火墙上开放25端口,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。反观之,SSL VPN就没有这方面的困扰。因为在远程主机与SSL VPN Gateway之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强内部网络受外部黑客攻击的可能性。
  
  通过以上例子我们不难看到,随着对安全性能要求的不断提高,现在流行的基于IPSec的VPN逐渐显现出的一个主要缺点:正是IPSec这条安全通道的建立,使得分支机构或者在外员工的PC和被访问资源之间形成了一条潜在的“危险通路”,危险容易从分支渗透到VPN另外一端的企业总部。
  
  可扩展性安全性IPSec VPN 对 SSL VPN
  
  SSL VPN与IPSec VPN相比,具有更好的克扩展性。这是因为IPSec VPN在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。而SSL VPN就有所不同,可以随时根据需要,添加需要VPN保护的服务器。
  
  访问控制IPSec VPN 对 SSL VPN
  
  为什么最终用户要部署VPN,究其根本原因,还是要保护网络中重要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门的项目信息,生产部门的产品配方等等。
  由于IPSec VPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSec VPN网关,他可以在内部为所欲为。因此,IPSec VPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。
  
  在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。
  
  而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
  
  经济性访问控制IPSec VPN 对 SSL VPN
  
  同时使用SSL VPN也有更好的经济性,这是因为只需要在总部放置一台硬件设备就可以,就可以实现所有用户的远程安全访问接入;但是对于IPSec VPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备。所以,尤其是对于一个成长型的公司来说,随着IT建设的扩大,要不断购买新的设备来满足需要。
  另外,就使用成本而言,SSL VPN具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定IT知识的普通工作人员就可以完成日常的管理工作。
  
  综观上述,SSL VPN在其易于使用性及安全层级,都比IPSec VPN高。我们都知道,由于Internet的迅速扩展,针对远程安全登入的需求也日益提升。对于使用者而言,方便安全的解决方案,才能真正符合需求。
  用户可选择的远程访问解决方案很多,因此必须依据远程访问不同的特定需求与目标进行选购。今天,大多数信息管理人员都发现,以IPSec VPN作为点对点连结方案,再搭配以SSL VPN作为远程访问方案,则能满足员工、商业伙伴与客户的安全连接需求,是最合适也最具成本效益的组合。
  
  以下批注来自美国纽约州水牛城Catholic Health系统公司的网络和技术服务总监,“这不是谁对谁错的问题,而是何者可以满足不同的需求”。Catholic Health系统公司提供四所医院相关医疗单位的网络系统和技术服务。最近他们采用了SSL VPN系统给500位医生和诊所,可以从远程来执行医疗操作系统,查询和更新病人的所有数据,但是他们仍然采用IPSec VPN来连结医院之间点对点的网络。

原文转自:http://www.ltesting.net