正确看待SSL VPN和IPSec VPN
当在类似的领域有几种不同的解决方案的时候,人们热衷于对它们评头论足,总是喜欢讨论谁更有前途,谁可能会取代谁。我们的观点比较中庸,IPSec VPN和SSL VPN分别基于网络层和应用层开发,各自具有其擅长的领域,未来的一段时间内两者将会共存。
应用
IPSec是基于网络层的VPN技术,是一种基础设施性质的安全技术,与应用无关,所以IPSec VPN的客户端支持所有IP层协议。IPSec VPN比较适用于建立站点到站点、客户端到站点或者客户端到客户端的安全联机。IPSec VPN的连通性会受到网络地址转换(NAT)或者代理网关的影响,因此在现有的网络架构中引入IPSec VPN设备,可能会需要调整现有网络架构和设备。
SSL VPN则是利用了HTTPS协议,也就是利用SSL来确保信息的机密性和完整性,这种技术建立在应用层上,引入这种设备无需对现有的网络进行改变。对于远程用户来说,最直接的方便是这种VPN应用无需“专用”的客户端软件,这是因为目前的主流的浏览器都支持SSL,因此在访问基于B/S结构的应用时,利用浏览器提供的功能即可。但是现实情况却大大限制了SSL VPN的这种优势,据统计已经部署了VPN的用户的90%以上的应用都是基于C/S架构的(不过也有不同的统计结果,有的研究表明近90%的企业利用VPN进行的内部网和外部网的连接都只是用来进行Internet访问和电子邮件通信,而这些应用完全可以发挥SSL VPN的优势。鉴于我们对于国内应用和市场的了解,我们不太赞同该调查的结果)。因此不要过分的痴迷于SSL VPN厂商宣传的无需客户端将会带来多少多少的方便,而在应该选择IPSec VPN设备的时候选择了SSL VPN设备。
SSL VPN不会受到NAT等因素的影响,也不会受到安装在客户端与服务器之间的防火墙的影响。目前的SSL VPN技术并不太适用于站点对站点的应用,更适合于大量的客户端远程访问站点的应用。
针对这两种技术的优势和缺点,一般认为以IPSec VPN作为点对点连结方案,再搭配以SSL VPN作为远程访问方案,则能满足员工、商业伙伴与客户的安全连接需求,是最合适也最具成本效益的组合。针对这一点我们也要特别提醒正在考虑SSL VPN解决方案的用户,您需要首先考虑自己的应用,只有确认了适用之后再考虑其它的问题。
成本
一般的认为IPSec VPN的部署和管理成本相对较高,最直接的表现是客户端需要安装软件,而且软件的设置非常的复杂,稍有疏忽就无法成功的建立IPSec隧道。而且不同厂商的VPN设备可能需要不同客户端软件,这一点我们在对于不同厂商的VPN产品的评测过程中有着深切的体会。可想而知,让每个远程用户都熟练的掌握这类软件的设置是非常的不现实的,因此应用IPSec VPN的同时需要大量的IT技术支持,这是一项成本不菲的支出。
SSL VPN技术则仅仅需要用户的OS中安装有支持SSL安全加密协议的浏览器即可方便的接入SSL VPN设备中,还有一项好处是没有软件的兼容性问题,主流的浏览器均可用。另外,如果需要向现有网络添加新设备,那么一般会改变现有网络结构,IPSec VPN往往需要重新配置,而SSL VPN一般不受其影响。
安全
IPSec VPN可以提供相当高的通路安全性,同SSL VPN都采用对称式或者非对称式加密算法构建安全通道,依然是应用层面不同,并没有明显的孰优孰劣(在现阶段我们始终要强调应用,如果没有适合的应用,SSL VPN无法发挥其优势。)
IPSec VPN和SSL VPN均支持数字认证技术,此时两者的安全级别并没有太多的差别。主要的差别在于权限的管控,SSL可以设定不同的使用者,执行不同的应用系统,如果IPSec要实现同样的功能,那么配置的复杂程度将会更上几层楼。
远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,都是可以侦测得到,这就提供了黑客攻击的机会。若是采取SSL-VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络物制,所受到的威胁也仅是所联机的这个应用系统,攻击机会相对就减少。
一般企业在Internet联机入口,都是采取适当的防毒侦测措施,因此无论是IPSec VPN或SSL VPN联机,其入口的病毒侦测效果是相同的。对于远程客户端而言,若采用SSL VPN联机,病毒必须是针对所访问的应用系统的类型的,才可能破坏所访问的主机;如果采用IPSec联机,一般的认为该客户端所感染的病毒有较大机会感染到内部网络的所有电脑,但是考虑到IPSEC VPN本身也有严格的安全策略库,因此病毒也只有“对口”才会有破坏力。所以这个方面两者的差别也不明显。
基于传输层的IPSec VPN要求防火墙为不同的应用打开相应的端口,这就相当于为黑客攻击提供了更多的机会。如果应用均是建立在B/S架构上的话,那么部署SSL VPN则仅仅需要通过443端口即可,防火墙上不会有额外的“口子”。但是实际上,现在的大部分应用还是基于C/S架构的,所以大部分的SSL VPN也会提供DNS、LDAP等其它应用,因此也会有多端口问题。
总得来说,SSL VPN技术在远程安全连接方面是具有相当优势的技术,我们希望用户能够充分认识这项技术的利弊从而选择最适合自己的设备。