SSL与IPSec对比

    SSL VPN的优点：

    无需安装客户端软件或客户端设备，只需通过Web浏览器即可以通过网页访问到企业总部的网络资源，免去了客户端的成本，维护、管理成本也大为降低。SSL VPN方案实施起来非常简单，只需要在企业的数据中心部署SSL VPN网关即可，无需在各分支机构部署硬件或软件设备。SSL VPN方案是无客户端的VPN方案，客户端只需要具备标准的浏览器即可。SSL VPN的管理工作属于集中管理和集中维护模式，可以极大地降低管理和维护成本。用户通过基于SSL的Web访问并不是网络的真实节点，而且还可代理访问公司内部资源。因此，这种方法可以非常安全的。为那些简单远程访问用户（仅需进入公司内部WEB、FTP网站或者进行Email通信），基于SSL 的VPN网络可以非常经济地提供远程访问服务。可以绕过防火墙和代理服务器进行访问：基于SSL的远程访问方案中可以绕过防火墙和代理服务器进行访问公司资源。

    SSL VPN的不足：

    SSL VPN并不是主流的工业级的VPN方案，目前绝大多数需要最高安全标准的大企业、行业企业的首选是IPSec VPN，那么SSL VPN的主要不足在哪里呢？SSL VPN仅支持以代理方式访问基于web或特定的客户端/服务器的应用。由服务器直接操纵的应用，如net meeting以及一些客户书写的应用程序，将无法进行访问。一个企业往往运行了很多种应用（OA、财务、销售管理、ERP），很多应用并不基于Web，单纯只有Web应用的企业极少。一般企业希望VPN 能达到局域网的效果，比如网上邻居，而SSL VPN 只能保护应用层协议，如WEB、FTP 等，要保护更多的应用，SSL VPN 根本做不到。所以目前的 SSL VPN还仅适用于基于Web的应用，范围相当有限。

    IPSec VPN的优点：

    日益增加的对SSL VPN的关注并不能降低对传统IPSec VPN解决方案价值的认可，IPSec仍然是作为站点到站点的VPN事实上的标准。IPSec VPN通过在互联网上的两站点间创建隧道提供直接接入，一旦隧道创建，远程PC就如同物理地处于企业总部LAN中，为公司的分支机构用户提供远程访问总部局域网内部资源的可能。只要能建立IPSec VPN隧道连接，远程的办事处和移动用户就能几乎总部局域网的所有应用和资源，而不象SSL VPN具有一定的局限性。IPSec VPN的优点是：最适合局域网到局域网的通信，适用性更大。

    IPSec VPN的不足：

    在远程方面访问，当只创建有限的几个隧道时，IPSec能满足基本的需要，如：总公司与若干个办事处的远程连接。但是，如果有数千个远程互联网用户分布在不同的地点，分发和管理客户端软件就是一件非常麻烦，也很费时的事情。另外，不易解决网络地址转换和穿越防火墙的问题。IPSec VPN产品并不总能很好地解决包括网络地址转换、防火墙穿越和宽带接入在内的复杂的远程访问问题。例如，如果一个用户已经安装了IPSec客户端，但他仍然不能在其他公司的网络内接入互联网（例如，工作在客户处的咨询顾问），IPSec 会被那个公司的防火墙阻止，除非该用户和这个公司的网络管理员协商，在防火墙上打开另一个端口。而这是一个烦人、花时间的事情，也会增加风险，这是许多公司不愿承担的。需要同一家的产品，不同IPSec供应商之间的互操作可能存在问题。