IPsec 与 SSL分析比较
由于VPN(虚拟专网)比租用专线更加便宜、安全、灵活,所以有 越来越多的公司采用VPN,连接在家工作和出差在外的员工,以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上,一般通过加密 协议,在发端加密数据、在收端解密数据,以保证数据的私密性。
Internet Protocol Secutity(IPSec) 和 Secure Sockets Layer (SSL) 是企业部署VPN所采用的两种主要技术,它们都用来作企业远程接入的加密和认证机制,以下我们简要介绍一下两种VPN组网方法,并尽可能的对两种技术作技 术和应用的对比,使企业能够对两种技术的优劣进行对比,选取更加适合本企业的VPN技术。
IPSec
从20世纪90年代 中期开始,IPSec VPN逐步受到人们重视。IPSec VPN在远程访问者和企业局域网之间创建加密“隧道”,从而允许使用者就像他们在公司局域网内部一样工作,即使他们处在很遥远的地方。为了创建这个加密隧 道,需要安装VPN的集中器和每一个使用者的笔记本上安装专用软件。
如上图,IPSec VPN是工作在IP层上,是在networks层进行认证和加密的,它的建立需要在VPN的两端建立IPSec 隧道,一旦隧道建立好,所有的数据流量都从这个隧道穿过,并可以支持之上任意一种IP应用。
IPSec 隧道的建立采用Authentication Header (AH) 协议或 Encapsulating Security Payload (ESP) 协议。IPSec 是一套IETF制定的标准安全协议。
IPSec可以采用40-bit 、128-bit RC4, 56-bit DES、112或168-bit Triple-DES、128-,192-, or 256-bit AES 等加密算法。
用户的认证机制采用用户名、密码或基于Radius 、RSA SecurID ,或X.509证书等认证机制。
SSL VPN
密套接字协议层(SSL)作为一种新的方式出现在VPN领域。分析人员和媒体给予了SSL VPN以前所未有的关注,而且它的使用正在增加。
SSL VPN工作在TCP层,这个技术特性决定了它是一种基于应用的VPN,可以更好的作应用层的安全访问控制机制,并能够做到底层无关性,可以做到部署方式更 灵活。由于它的客户端只需要标准的浏览器,可以看作是无客户端的VPN方案,被认为是SSL VPN的主要特点。
若要使用SSL VPN,要求客户端必须具有SSL 功能的标准浏览器,如IE、Netscape等。除了WEB应用,主要的SSL VPN厂家,包括SSL VPN的领导厂家ArrayNetworks都支持C/S结构的应用,甚至包括动态端口等音频、视频等复杂应用。由于要支持C/S结构的应用,一般还要求 支持Java和 ActiveX。
加密机制如同IPSec,仍然采用40-bit 、128-bit RC4, 56-bit DES、112或168-bit Triple-DES、128-,192-, or 256-bit AES 等加密算法
IPSec VPN 和 SSL VPN比较
1. 适用VPN组网结构
IPSec VPN适用 Site to Site 组网:这是由于IPSec VPN采用隧道技术,部署时一般采用两端部署VPN网关方式。例如当VPN的总部和分支机构有很多IT设备时,采用IPSec组网方式比较灵活,支持应用广泛。
SSL VPN适用 Client to Site组网:当客户端为PC终端设备时,采用此方式。当分支机构为少量终端,或者VPN用户为分布在广泛地域的移动用户时更显优势。
IPSec 和 SSL VPN可以互为补充,满足企业不同的VPN上网群体,达到更加安全的访问组合。
2. 适用应用
IPSec VPN适用应用广泛:由于IPSec VPN采用隧道技术,部署时一般采用两端部署VPN网关方式。当VPN隧道建立后,各种IP应用都可以通过VPN隧道进行访问,但这也会带来一定的安全问题。
SSL VPN同样适用各种应用:由于SSL VPN采用的是 SSL Proxy机制,作各种应用时要进行相对复杂的配置,对于WEB 应用最为适用,当支持C/S应用时,需要采用如JAVA,ActivcX等技术。复杂的控制也带来了更高的安全性。
3. VPN部署
IPSec VPN部署管理复杂:由于IPSec VPN需要在隧道两端部署一对VPN网关,或是在客户端安装专用客户端软件,部署复杂,尤其是对于大量的远端用户,除此以外,除非已经在每一台客户使用的 计算机上安装了管理软件,软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务,VPN的安装甚至是一场恶梦。
SSL VPN部署简单灵活:由于SSL VPN 是一种无客户端的方式,只需要在数据中心部署VPN网关,属于集中管理和集中维护模式,虽然在应用适配时复杂一些,但大量用户的部署就要方便很多。尤其是随着用户量的增加,VPN的部署和管理就简单易行多了。
4. VPN 的投资
IPSec VPN费用昂贵:部署IPSec需要对基础设施进行重大改造,每一个分支机构都需要部署VPN网关,或是每个客户端都需要专用软件。尤其是对于分支机构很多,而每个分支机构终端数量又比较少的情况下,部署VPN网关的费用将急剧上升。
SSL VPN价格低廉:SSL VPN部署是属于集中部署,只需要在数据中心部署SSL VPN网关,省去了客户端的费用和部署管理费用,从长期来看,投资将有极大的降低。
5. VPN 的安全性
IPSec VPN安全缺陷:IPSec 属于隧道机制,使远程接入的安全风险增加;由于IPSec VPN在连接的两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此IPSec VPN会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用,由此会大大增加风险。用户使用个人计算机 在家里或者通过无线局域网工作还面临着黑客的威胁,这些客户端的安全行严重威胁企业数据中心的安全。
SSL VPN控制完善:SSL VPN是基于应用的VPN,可以针对应用和用户或组等客户信息进行细粒度的访问控制,达到更加安全的保护效果,充分保障企业数据中心的安全。
6. 接入范围
IPSec VPN接入范围狭窄:IPSec VPN只能在部署了IPsecVPN 网关的地方适用,或者客户端安装专用软件后才能使用,这对于合作伙伴或商业客户来讲很难说服他们安装自己的软件。对于在网吧或出差等用户来讲就更不可能。
SSL VPN接入范围广泛:SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准。
7. 适用组网结构
IPSec VPN组网不灵活:IPSec VPN的连接性会受到防火墙、网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响;因为客户端的上网方式多种多样,很多公司是通过Proxy或NAT上网的,IPsec对于这些方式上网的用户支持很差。
SSL VPN组网方式灵活:SSL VPN是在TCP之上,无论对于防火墙、还是用户通过NAT设备、Proxy等上网方式都能够很好的适应。
8. 访问控制
IPSec VPN控制不灵活:IPSec VPN采用隧道机制,一旦隧道建立,客户端即可访问各种应用,很难建立基于应用的访问控制机制。
SSL VPN访问控制灵活:SSL VPN是在TCP之上, SSL VPN 更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec VPN难以做到的)。 9. 客户端安全控制IPSec VPN控制缺失:IPSec VPN采用隧道机制,没有对客户端的安全检测和控制机制,建立IPSec VPN,单单有客户端软件是很不够的。如果没有防火墙和其他的安全软件,客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用,他们会通过 VPN访问企业内部系统。这种黑客行为越来越普遍,而且后果也越来越严重。例如,如果雇员从家里的计算机通过公司VPN访问企业资源,在他创建隧道前后, 他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏,那么,病毒就很有可能经过VPN在企业局域网内传播。
SSL VPN具备客户端安全模块:SSL VPN产品一般具备客户端安全模块,ArrayNetworks 的 client Security模块即可完成客户端的安全检测功能,甚至可以对客户端的cache进行清除,还能生成一个安全的客户端(security desktop),把客户端的安全风险对数据中心的影响减至最低。SSl VPN还可以进行session级的保护,在客户长时间的离开自己的机器时,SSL VPN将自动关闭,时间可以根据情况具体配置。
Internet Protocol Secutity(IPSec) 和 Secure Sockets Layer (SSL) 是企业部署VPN所采用的两种主要技术,它们都用来作企业远程接入的加密和认证机制,以下我们简要介绍一下两种VPN组网方法,并尽可能的对两种技术作技 术和应用的对比,使企业能够对两种技术的优劣进行对比,选取更加适合本企业的VPN技术。
IPSec
从20世纪90年代 中期开始,IPSec VPN逐步受到人们重视。IPSec VPN在远程访问者和企业局域网之间创建加密“隧道”,从而允许使用者就像他们在公司局域网内部一样工作,即使他们处在很遥远的地方。为了创建这个加密隧 道,需要安装VPN的集中器和每一个使用者的笔记本上安装专用软件。
如上图,IPSec VPN是工作在IP层上,是在networks层进行认证和加密的,它的建立需要在VPN的两端建立IPSec 隧道,一旦隧道建立好,所有的数据流量都从这个隧道穿过,并可以支持之上任意一种IP应用。
IPSec 隧道的建立采用Authentication Header (AH) 协议或 Encapsulating Security Payload (ESP) 协议。IPSec 是一套IETF制定的标准安全协议。
IPSec可以采用40-bit 、128-bit RC4, 56-bit DES、112或168-bit Triple-DES、128-,192-, or 256-bit AES 等加密算法。
用户的认证机制采用用户名、密码或基于Radius 、RSA SecurID ,或X.509证书等认证机制。
SSL VPN
密套接字协议层(SSL)作为一种新的方式出现在VPN领域。分析人员和媒体给予了SSL VPN以前所未有的关注,而且它的使用正在增加。
SSL VPN工作在TCP层,这个技术特性决定了它是一种基于应用的VPN,可以更好的作应用层的安全访问控制机制,并能够做到底层无关性,可以做到部署方式更 灵活。由于它的客户端只需要标准的浏览器,可以看作是无客户端的VPN方案,被认为是SSL VPN的主要特点。
若要使用SSL VPN,要求客户端必须具有SSL 功能的标准浏览器,如IE、Netscape等。除了WEB应用,主要的SSL VPN厂家,包括SSL VPN的领导厂家ArrayNetworks都支持C/S结构的应用,甚至包括动态端口等音频、视频等复杂应用。由于要支持C/S结构的应用,一般还要求 支持Java和 ActiveX。
加密机制如同IPSec,仍然采用40-bit 、128-bit RC4, 56-bit DES、112或168-bit Triple-DES、128-,192-, or 256-bit AES 等加密算法
IPSec VPN 和 SSL VPN比较
1. 适用VPN组网结构
IPSec VPN适用 Site to Site 组网:这是由于IPSec VPN采用隧道技术,部署时一般采用两端部署VPN网关方式。例如当VPN的总部和分支机构有很多IT设备时,采用IPSec组网方式比较灵活,支持应用广泛。
SSL VPN适用 Client to Site组网:当客户端为PC终端设备时,采用此方式。当分支机构为少量终端,或者VPN用户为分布在广泛地域的移动用户时更显优势。
IPSec 和 SSL VPN可以互为补充,满足企业不同的VPN上网群体,达到更加安全的访问组合。
2. 适用应用
IPSec VPN适用应用广泛:由于IPSec VPN采用隧道技术,部署时一般采用两端部署VPN网关方式。当VPN隧道建立后,各种IP应用都可以通过VPN隧道进行访问,但这也会带来一定的安全问题。
SSL VPN同样适用各种应用:由于SSL VPN采用的是 SSL Proxy机制,作各种应用时要进行相对复杂的配置,对于WEB 应用最为适用,当支持C/S应用时,需要采用如JAVA,ActivcX等技术。复杂的控制也带来了更高的安全性。
3. VPN部署
IPSec VPN部署管理复杂:由于IPSec VPN需要在隧道两端部署一对VPN网关,或是在客户端安装专用客户端软件,部署复杂,尤其是对于大量的远端用户,除此以外,除非已经在每一台客户使用的 计算机上安装了管理软件,软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务,VPN的安装甚至是一场恶梦。
SSL VPN部署简单灵活:由于SSL VPN 是一种无客户端的方式,只需要在数据中心部署VPN网关,属于集中管理和集中维护模式,虽然在应用适配时复杂一些,但大量用户的部署就要方便很多。尤其是随着用户量的增加,VPN的部署和管理就简单易行多了。
4. VPN 的投资
IPSec VPN费用昂贵:部署IPSec需要对基础设施进行重大改造,每一个分支机构都需要部署VPN网关,或是每个客户端都需要专用软件。尤其是对于分支机构很多,而每个分支机构终端数量又比较少的情况下,部署VPN网关的费用将急剧上升。
SSL VPN价格低廉:SSL VPN部署是属于集中部署,只需要在数据中心部署SSL VPN网关,省去了客户端的费用和部署管理费用,从长期来看,投资将有极大的降低。
5. VPN 的安全性
IPSec VPN安全缺陷:IPSec 属于隧道机制,使远程接入的安全风险增加;由于IPSec VPN在连接的两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此IPSec VPN会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用,由此会大大增加风险。用户使用个人计算机 在家里或者通过无线局域网工作还面临着黑客的威胁,这些客户端的安全行严重威胁企业数据中心的安全。
SSL VPN控制完善:SSL VPN是基于应用的VPN,可以针对应用和用户或组等客户信息进行细粒度的访问控制,达到更加安全的保护效果,充分保障企业数据中心的安全。
6. 接入范围
IPSec VPN接入范围狭窄:IPSec VPN只能在部署了IPsecVPN 网关的地方适用,或者客户端安装专用软件后才能使用,这对于合作伙伴或商业客户来讲很难说服他们安装自己的软件。对于在网吧或出差等用户来讲就更不可能。
SSL VPN接入范围广泛:SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准。
7. 适用组网结构
IPSec VPN组网不灵活:IPSec VPN的连接性会受到防火墙、网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响;因为客户端的上网方式多种多样,很多公司是通过Proxy或NAT上网的,IPsec对于这些方式上网的用户支持很差。
SSL VPN组网方式灵活:SSL VPN是在TCP之上,无论对于防火墙、还是用户通过NAT设备、Proxy等上网方式都能够很好的适应。
8. 访问控制
IPSec VPN控制不灵活:IPSec VPN采用隧道机制,一旦隧道建立,客户端即可访问各种应用,很难建立基于应用的访问控制机制。
SSL VPN访问控制灵活:SSL VPN是在TCP之上, SSL VPN 更容易提供细粒度远程访问(即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制,这是IPSec VPN难以做到的)。 9. 客户端安全控制IPSec VPN控制缺失:IPSec VPN采用隧道机制,没有对客户端的安全检测和控制机制,建立IPSec VPN,单单有客户端软件是很不够的。如果没有防火墙和其他的安全软件,客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用,他们会通过 VPN访问企业内部系统。这种黑客行为越来越普遍,而且后果也越来越严重。例如,如果雇员从家里的计算机通过公司VPN访问企业资源,在他创建隧道前后, 他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏,那么,病毒就很有可能经过VPN在企业局域网内传播。
SSL VPN具备客户端安全模块:SSL VPN产品一般具备客户端安全模块,ArrayNetworks 的 client Security模块即可完成客户端的安全检测功能,甚至可以对客户端的cache进行清除,还能生成一个安全的客户端(security desktop),把客户端的安全风险对数据中心的影响减至最低。SSl VPN还可以进行session级的保护,在客户长时间的离开自己的机器时,SSL VPN将自动关闭,时间可以根据情况具体配置。
| 项目 |
Ipsec |
ssl |
| 适用环境 |
Site to Site |
Client to Site |
| VPN层次 |
IP 层 |
应用层 |
| 数据传输 |
隧道方式 |
SSL传输 (TCP 443) |
| 客户端 |
需专用软件 |
无需专用客户端软件 |
| VPN部署 |
复杂 |
简单 |
| 远端维护管理 |
复杂,成本高 |
简单,成本低 |
| 部署成本 |
高 |
低 |
| 移动连接 |
不适用 |
适用 |
| 加密级别 |
高 |
高 |
| 复杂应用支持 |
容易 |
较容易 |
| Intranet适用 |
较好 |
很好 |
| Web 应用 |
适合 |
非常适合 |
| 安全级别 |
高 |
高 |
| NAT支持 |
不容易 |
容易 |
| 代理访问 |
不容易 |
容易 |
| 穿越防火墙 |
不容易 |
容易 |
| 供应商互操作 |
不容易 |
容易 |
| 即时消息传送、多播、视频会议及VoIP |
容易 |
较复杂 采用L3VPN |
| B/S 应用 |
支持 |
支持 |
| Legacy application |
支持 |
支持 |
| http 应用 |
支持 |
支持 |
| 文件共享 |
支持 |
支持 |
| Wireless device |
支持 |
支持 |
| 家庭、网吧、宾馆、其他企业接入 |
不好 |
很好,非常适用 |
| 代理级保护 |
不支持 |
支持 |
| 用户认证 |
不好 |
好 |
| 用户授权 |
有限 |
灵活 |
| Web 访问一次性认证 |
不支持 |
支持 |
| url 级别的接入限制 |
不支持 |
支持 |
| 域名和IP地址的保护 |
不支持 |
很好 |
| 根据用户访问的类别控制接入 |
不支持 |
支持 |
| Session 级保护 |
不支持 |
支持 |