IPSec ××× 和SSL ××× 对比
2009-10-03 22:23:13
 标签: IPSec ××× SSL    [ 推送到技术圈]

IPSec ××× 和SSL ××× 对比

随着网络,尤其是网络经济的发展,企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。于是企业在自身网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。虚拟专用网(×××)以其独具特色的优势,赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。
IPSec是现在企业网络通讯应用中被广泛使用的加密及隧道技术,同时也是在不牺牲安全性前提下,被选用来在网络第三层建立IP-×××的方法,特別是对于无法负担Frame Relay或ATM高額费用的中小企业而言,IPSec的应用是一项福音。而目前SSL ×××以其设置简单无需安装客户端的优势,越来越受到企业的欢迎,可望成为未来企业确保信息安全的新宠。下面我们详细分析、对比IP Sec和SSL ×××之间的特点。
一、适用范围
IPSEC ×××是设计来保护私有的数据流从各种不被信任的网络传送到信任的网络。IPSec ×××,由于工作在第三层,对上层的应用是透明的,几乎可以为所有的应用提供服务,包括客户端/服务器模式和某些传统的应用及网络共享等。以IPSec ×××作为点对点连结方案,可以提供网与网之间的连接。
SSL ××× 工作在网络层和应用层之间,大多数SSL的×××都是基Web浏览器工作的,基于Web访问的开放体系和一些特定的系统如邮件,ftp等,主要用于单机对服务器的访问。
二、部署、管理成本
在设计上,IPSec ×××是一种基础设施性质的安全技术。这类×××的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的×××远程访问提供服务。
IPSec ×××最大的难点在于客户端需要安装复杂的软件,而且当用户的×××策略稍微有所改变时,×××的管理难度将呈几何级数增长。SSL ×××则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。
SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL ×××公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,传统的IPSec ×××对客户端采用的*作系统版本具有很高的要求,不同的终端*作系统需要不同的客户端软件,而SSL ×××则完全没有这样的麻烦。
三、安全性
1.安全通道(Secure Tunnel)-IPSec和SSL这两种安全协议,都有采用对称式(Symmetric)和非对称式(Asymmetric)的加密算法来执行加密作业。在安全的通道比较上,并没有谁好谁坏之差,仅在于应用上的不同。Catholic Health系统公司提供四所医院相关医疗单位的网络系统和技术服务。最近他们采用了SSL ×××系统给500位医生和诊所,可以从远程来执行医疗*作系统,查询和更新病人的所有数据,但是他们仍然采用IPSec ×××来连结医院之间点对点的网络。
2.认证和权限控管-IPSec采取Internet Key Exchange(IKE)方式,使用数字凭证(Digital Certificate) 或是一组Secret Key来做认证,而SSL仅能使用数字凭证,如果都是采取数字凭证来认证,两者在认证的安全等级上就没有太大的差别。SSL的认证,大多数的厂商都会建置硬件的token,来提升认证的安全性。对于使用权限的控管,IPSec可以支持「Selectors」,让网络封包过滤喊阻隔某些特定的主机货应用系统。但是实际作业上,大多数人都是开发整个网段(Subset),以避免太多的设定所造成的麻烦。SSL可以设定不同的使用者,执行不同的应用系统,它在管理和设定上比IPSec简单方便许多。
3.安全测试-IPSec ×××已经有多年的发展,有许多的学术和非营利实验室,提供各种的测试准则和服务,其中以ICSA Labs是最常见的认证实验室,大多数的防火墙,×××厂商,都会以通过它的测试及认证为重要的基准。但SSL ×××在这方面,则尚未有一个公正的测试准则,但是ICSA Labs实验室也开始着手SSL/TLC的认证计划,预计在今年底可以完成第一阶段的Crypto运算建置及基础功能测试程序。
4.应用系统的***-远程用户以IPSec ×××的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,都是可以侦测得到,这就提供了******的机会。若是采取SSL-×××来联机,因为是直接开启应用系统,并没在网络层上连接,***不易侦测出应用系统内部网络物制,所受到的威胁也仅是所联机的这个应用系统,***机会相对就减少。
5.病毒***-一般企业在Internet联机入口,都是采取适当的防毒侦测措施。不论是IPSec ×××或SSL ×××联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端***的可能性,就会有所差别。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。相对于SSL ×××的联机,所感染的可能性,会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。
6. 防火墙上的通讯端口-在TCP/IP的网络架构上,各式各样的应用系统会采取不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯端口是分别 采用port 25和port 110,若是从远程电脑来联机Email服务器,就必须在防火墙上开放port 25和110,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec ×××联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯端口,就多一个******机会。反观之,SSL ×××就没有这方面的困扰。因为在远程主机与SSL ××× Gateway之间,采用SSL通讯端口(port 443)来作为传输通道,这个通讯端口,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。
四、可扩展性安全性
IPSec ×××在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec ×××就要重新部署,因此造成IPSec ×××的可扩展性比较差。而SSL ×××就有所不同,可以随时根据需要,添加需要×××保护的服务器。
五、访问控制
为什么最终用户要部署×××,究其根本原因,还是要保护网络中重要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门的项目信息,生产部门的产品配方等等。
由于IPSec ×××部署在网络层,因此,内部网络对于通过×××的使用者来说是透明的,只要是通过了IPSec ×××网关,他可以在内部为所欲为。因此,IPSec ×××的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以IPSec ×××又被称为网络安全设备。
与IPSec ×××只搭建虚拟传输网络不同的是,SSL ×××重点在于保护具体的敏感数据,比如SSL ×××可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个*作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
六、经济型
对于IPSec ×××来说,每增加一个需要访问的分支,就需要添加一个硬件设备。所以,尤其是对于一个成长型的公司来说,随着IT建设的扩大,要不断购买新的设备来满足需要。
另外,就使用成本而言,SSL ×××具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定IT知识的普通工作人员就可以完成日常的管理工作。
通过以上分析,IPSec ××× 和SSL ×××这两种×××架构,从整体上看具有各自不同的适用范围。SSL ×××在其易于使用性及安全层级,都比IPSec ×××高。由于Internet的迅速扩展,针对远程安全登入的需求也日益提升。对于使用者而言,方便安全的解决方案,才能真正符合需求。
因此以IPSec ×××作为点对点连结方案,而以SSL ×××作为远程访问方案,将是一种不错的选择。
本文出自 51CTO.COM技术博客