IPSec VS. SSL 远程访问安全的选择

发表于:2007-06-23来源:作者:点击数: 标签:
进入2005年,我们预计,SSL VPN 将真正从预热走向全面应用。它所提供的无与伦比的简单性(无客户端安装)、 安全 性,以及它在移动设备中的广泛应用前景,将使我们有理由相信,一个在任何地点、任何时间、通过任何设备安全地接入公司关键应用的梦想就要实现

   
  进入2005年,我们预计,SSL VPN 将真正从预热走向全面应用。它所提供的无与伦比的简单性(无客户端安装)、安全性,以及它在移动设备中的广泛应用前景,将使我们有理由相信,一个在任何地点、任何时间、通过任何设备安全地接入公司关键应用的梦想就要实现了。
  

  IPSec VPN的不足之处
  
  我们还是先来认识一下IPSEC的不足之处:在通路本身安全性上,传统的IPSec VPN还是非常安全的,比如在公网中建立的通道,很难被人篡改。说其不安全,是从另一方面考虑的,就是在安全的通路两端,存在很多不安全的因素。比如总公司和子公司之间用IPsec VPN连接上了,总公司的安全措施很严密,但子公司可能存在很多安全隐患,这种隐患会通过IPsec VPN传递给总公司,这时,公司间的安全性就由安全性低的分公司来决定了。
  
  比如黑客想要攻击应用系统,如果远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,黑客都是可以侦测得到,这就提供了黑客攻击的机会。再比如应对病毒入侵,一般企业在Inte.net联机入口,都是采取适当的防毒侦测措施。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。
  
  不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯协议采用25和110端口,若是从远程电脑来联机Email服务器,就必须在防火墙上开放25和110端口,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。
  
  SSL VPN的优势
  
  我们再看看SSL的优势特点:SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密。
  
  若是采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器,攻击机会相对就会减少。有的厂商如F5公司的产品,可以对客户端允许访问的地址、协议、端口都加以限制;可以对客户端做各种检查,如操作系统补丁、防病毒软件及病毒库更新时间、个人防火墙等等,不符合条件的客户端可以不允许其登录,这样就大大增加了整个系统的安全性。而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。
  
  因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。因为在远程主机与SSLVPN 之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强了内部网络受外部黑客攻击的可能性。
  
  对于SSL VPN的安全性,F5公司市场总监柯文认为,IPSec VPN的安全性一直是个弱点。由于IPSec VPN引起的病毒、木马、Web攻击无法彻底根除,而F5的SSL VPN产品FirePass可以很好地解决这个问题。在FirePass的门户站主机访问模式下,FirePass可以对上传的文件做病毒扫描,更可以与企业现有的防病毒软件联动,彻底解决病毒问题。而FirePass内带的内容检查功能,解决了Web攻击问题。该产品还可以配置成在退出时自动清除高速缓存。这一点是相当方便用户的。通过改善以上这些功能使得系统的安全性大大加强。

原文转自:http://www.ltesting.net