[×××]IPsec 与 SSL分析比较
2008-05-21 12:55:46
标签:
××× IPsec SSL [
推送到技术圈]
|
fandy0026 from chinaunix.net
经常和客户交流的时候会碰到要向客户介绍这两种×××的不同之处,以及SSL ×××的优势等等。 整理出来,大家有兴趣可以看一下! 有不同意见的可以来相互交流! MSN:[email protected] 需要资料的可以找我。 IPsec *** & SSL ××× 分析比较 Array Networks, Inc. 2007年11月 概述 由于×××(虚拟专网)比租用专线更加便宜、安全、灵活,所以有越来越多的公司采用×××,连接在家工作和出差在外的员工,以及替代连接分公司和合作伙伴的标准广域网。×××建在互联网的公共网络架构上,一般通过加密协议,在发端加密数据、在收端解密数据,以保证数据的私密性。 Internet Protocol Secutity(IPSec) 和 Secure Sockets Layer (SSL) 是企业部署×××所采用的两种主要技术,它们都用来作企业远程接入的加密和认证机制,以下我们简要介绍一下两种×××组网方法,并尽可能的对两种技术作技术和应用的对比,使企业能够对两种技术的优劣进行对比,选取更加适合本企业的×××技术。 IPSec 从20世纪90年代中期开始,IPSec ×××逐步受到人们重视。IPSec ×××在远程访问者和企业局域网之间创建加密“隧道”,从而允许使用者就像他们在公司局域网内部一样工作,即使他们处在很遥远的地方。为了创建这个加密隧道,需要安装×××的集中器和每一个使用者的笔记本上安装专用软件。 如上图,IPSec ×××是工作在IP层上,是在networks层进行认证和加密的,它的建立需要在×××的两端建立IPSec 隧道,一旦隧道建立好,所有的数据流量都从这个隧道穿过,并可以支持之上任意一种IP应用。 IPSec 隧道的建立采用Authentication Header (AH) 协议或 Encapsulating Security Payload (ESP) 协议。IPSec 是一套IETF制定的标准安全协议。 IPSec可以采用40-bit 、128-bit RC4, 56-bit DES、112或168-bit Triple-DES、128-,192-, or 256-bit AES 等加密算法。 用户的认证机制采用用户名、密码或基于Radius 、RSA SecurID ,或X.509证书等认证机制。 SSL ××× 密套接字协议层(SSL)作为一种新的方式出现在×××领域。分析人员和媒体给予了SSL ×××以前所未有的关注,而且它的使用正在增加。 SSL ×××工作在TCP层,这个技术特性决定了它是一种基于应用的×××,可以更好的作应用层的安全访问控制机制,并能够做到底层无关性,可以做到部署方式更灵活。由于它的客户端只需要标准的浏览器,可以看作是无客户端的×××方案,被认为是SSL ×××的主要特点。 若要使用SSL ×××,要求客户端必须具有SSL 功能的标准浏览器,如IE、Netscape等。除了WEB应用,主要的SSL ×××厂家,包括SSL ×××的领导厂家ArrayNetworks都支持C/S结构的应用,甚至包括动态端口等音频、视频等复杂应用。由于要支持C/S结构的应用,一般还要求支持Java和 ActiveX。 加密机制如同IPSec,仍然采用40-bit 、128-bit RC4, 56-bit DES、112或168-bit Triple-DES、128-,192-, or 256-bit AES 等加密算法 IPSec ××× 和 SSL ×××比较 1. 适用×××组网结构 IPSec ×××适用 Site to Site 组网:这是由于IPSec ×××采用隧道技术,部署时一般采用两端部署×××网关方式。例如当×××的总部和分支机构有很多IT设备时,采用IPSec组网方式比较灵活,支持应用广泛。 SSL ×××适用 Client to Site组网:当客户端为PC终端设备时,采用此方式。当分支机构为少量终端,或者×××用户为分布在广泛地域的移动用户时更显优势。 IPSec 和 SSL ×××可以互为补充,满足企业不同的×××上网群体,达到更加安全的访问组合。 2. 适用应用 IPSec ×××适用应用广泛:由于IPSec ×××采用隧道技术,部署时一般采用两端部署×××网关方式。当×××隧道建立后,各种IP应用都可以通过×××隧道进行访问,但这也会带来一定的安全问题。 SSL ×××同样适用各种应用:由于SSL ×××采用的是 SSL Proxy机制,作各种应用时要进行相对复杂的配置,对于WEB 应用最为适用,当支持C/S应用时,需要采用如JAVA,ActivcX等技术。复杂的控制也带来了更高的安全性。 3. ×××部署 IPSec ×××部署管理复杂:由于IPSec ×××需要在隧道两端部署一对×××网关,或是在客户端安装专用客户端软件,部署复杂,尤其是对于大量的远端用户,除此以外,除非已经在每一台客户使用的计算机上安装了管理软件,软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务,×××的安装甚至是一场恶梦。 SSL ×××部署简单灵活:由于SSL ××× 是一种无客户端的方式,只需要在数据中心部署×××网关,属于集中管理和集中维护模式,虽然在应用适配时复杂一些,但大量用户的部署就要方便很多。尤其是随着用户量的增加,×××的部署和管理就简单易行多了。 4. ××× 的投资 IPSec ×××费用昂贵:部署IPSec需要对基础设施进行重大改造,每一个分支机构都需要部署×××网关,或是每个客户端都需要专用软件。尤其是对于分支机构很多,而每个分支机构终端数量又比较少的情况下,部署×××网关的费用将急剧上升。 SSL ×××价格低廉:SSL ×××部署是属于集中部署,只需要在数据中心部署SSL ×××网关,省去了客户端的费用和部署管理费用,从长期来看,投资将有极大的降低。 5. ××× 的安全性 IPSec ×××安全缺陷:IPSec 属于隧道机制,使远程接入的安全风险增加;由于IPSec ×××在连接的两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此IPSec ×××会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用,由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着***的威胁,这些客户端的安全行严重威胁企业数据中心的安全。 SSL ×××控制完善:SSL ×××是基于应用的×××,可以针对应用和用户或组等客户信息进行细粒度的访问控制,达到更加安全的保护效果,充分保障企业数据中心的安全。 6. 接入范围 IPSec ×××接入范围狭窄:IPSec ×××只能在部署了IPsec××× 网关的地方适用,或者客户端安装专用软件后才能使用,这对于合作伙伴或商业客户来讲很难说服他们安装自己的软件。对于在网吧或出差等用户来讲就更不可能。 SSL ×××接入范围广泛:SSL ×××将远程安全接入延伸到IPSec ×××扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和支持费用。SSL ×××正在成为远程接入的事实标准。 7. 适用组网结构 IPSec ×××组网不灵活:IPSec ×××的连接性会受到防火墙、网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响;因为客户端的上网方式多种多样,很多公司是通过Proxy或NAT上网的,IPsec对于这些方式上网的用户支持很差。 SSL ×××组网方式灵活:SSL ×××是在TCP之上,无论对于防火墙、还是用户通过NAT设备、Proxy等上网方式都能够很好的适应。 8. 访问控制 IPSec ×××控制不灵活:IPSec ×××采用隧道机制,一旦隧道建立,客户端即可访问各种应用,很难建立基于应用的访问控制机制。 SSL ×××访问控制灵活:SSL ×××是在TCP之上, SSL ××× 更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec ×××难以做到的)。
9. 客户端安全控制IPSec ×××控制缺失:IPSec ×××采用隧道机制,没有对客户端的安全检测和控制机制,建立IPSec ×××,单单有客户端软件是很不够的。如果没有防火墙和其他的安全软件,客户端机器非常容易成为******的目标。这些客户端很容易被***利用,他们会通过 ×××访问企业内部系统。这种***行为越来越普遍,而且后果也越来越严重。例如,如果雇员从家里的计算机通过公司×××访问企业资源,在他创建隧道前后,他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏,那么,病毒就很有可能经过×××在企业局域网内传播。
本文出自 51CTO.COM技术博客
SSL ×××具备客户端安全模块:SSL ×××产品一般具备客户端安全模块,ArrayNetworks 的 client Security模块即可完成客户端的安全检测功能,甚至可以对客户端的cache进行清除,还能生成一个安全的客户端(security desktop),把客户端的安全风险对数据中心的影响减至最低。SSl ×××还可以进行session级的保护,在客户长时间的离开自己的机器时,SSL ×××将自动关闭,时间可以根据情况具体配置。
|