编者按：如今，已经没有多少人不知道VPN了。然而，你知道IPsec VPN、SSL VPN的区别么？什么样的企业应用需要IPsec VPN？什么样的企业应用又需要SSL VPN？

     【IT168 报道】IPsec VPN是一种比较成熟的VPN技术了，然而，最近一两年来，一种叫SSL VPN技术的声音越来强，很多供应商都在大力推广SSL VPN，其大有取代IPsec VPN的趋势。

　　其实，VPN的网络连接类型主要分为Site to Site 和End to Site两种类型。Site to Site主要指的是网络和网络之间的VPN连接。而End to Site指的是移动终端到企业私有网络之间的VPN连接。其中，IPsec VPN属于Site to Site类型的VPN，而SSL VPN 就是 end to site类型的VPN。
    
     IPsec VPN是VPN中最主要的技术了，它能够实现不同子公司与总部两个不同的局域网，远程连接成一个虚拟局域网，从而在广域网间实现以前只有在局域网内才能实现的应用操作。它给当前的企业带来了很多革命性的好处，不过，它也有不足之处，从而给SSL VPN这个新生者留下了机会。

IPSec VPN应用广

　　IPSec VPN已经日益成为企业用户组网的常用选择。通过在网络层建立加密隧道，无需部署专用的SDH/ATM等专有线路，用户内网的应用资源就可以方便地在Internet上安全扩展，实现了高效、低成本的联网。
　　
　　目前，国外的大多数企业都把VPN作为了网络扩展的首选方案，并认定其是一种安全可靠、易于管理的技术。由于中国的网络技术和设施的普及和国外有所差距，在2002年以前，由于缺乏对IPSec VPN安全性的认知，多数的中国企业用户还难以接受IPSec VPN这种”虚拟的专线”，在进行分支机构同总部的联网时，仍然把租用运营商提供的专有线路作为首选方案，这在金融、能源、政府、运输等行业尤为明显。
　　
　　然而，随着用户对IPSec VPN技术的了解加深，以及VPN厂商在安全性方面的不断提高，IPSec VPN已经在中国的大多数行业有了广泛的应用。政府的3、4级网络互联，金融机构的专线备份，应急系统的网络组建等领域，都能见到IPSec VPN的身影。而在对性价比要求比较高的企业中，VPN已经成为了组建分支网络的第一选择。
　　
　　在IPSec VPN领域中，存在着2大阵营。首先是传统的网络和网络安全厂商，如国外的思科、Netscreen，国内的H3C、天融信等，他们在防火墙中配备了IPSec VPN模块。防火墙中提供的IPSec VPN，功能相对简单，但可以满足一些用户的基础VPN需求；第二类是专业的VPN厂商，例如国外的SafeNet，国内的深信服等厂商，他们向用户提供功能更丰富、易用性更强的专业VPN，包括IPSec VPN，SSL VPN，以及部署在用户广域网出口的网关产品，主要面向那些对VPN的功能、性能有更高要求，VPN组网规模更大的行业用户。

IPSec VPN：廉颇老已？

　　此前，大多数公司都是使用传统的IPSEC VPN来解决远程接入的问题。但是IPSec VPN最初是为了解决site to site的安全问题而制定的协议，因此在此基础上建立的远程接入方案在面临越来越多的end to site应用情况下已经力不从心。
　　
　　首先是客户端配置问题：在每个远程接入的终端都需要安装相应的IPSec客户端，并且需要做复杂的配置，随着这种远程接入客户端安装数量的增多将给网络管理员带来巨大的挑战。虽然一些领先的公司已经解决了IPSec 客户端难以配置和维护的问题，但是还是无法避免安装在每个终端上安装客户端的麻烦，而且即使这些客户端很少出问题，但随着用户数量的增多，每天需要维护的客户端绝对数量也不少。
　　
　　其次是IPSec VPN自身安全问题：往往传统的IPSec 解决方案都没有很好的解决移动用户接入到私有网络的安全控制问题，这样就为病毒传播和黑客入侵提供了很多可能的途径。如果仅仅在受控的PC上，比如员工办公电脑上使用IPSec客户端则可以通过部署统一的安全策略来解决该问题，但如果要让合作伙伴或者客户的电脑接入，就难以控制了。
　　
　　然后是对网络的支持问题：传统的IPSec VPN在网络适应性上都存在一些问题，虽然一些领导厂商已经或正在解决网络兼容性问题，但由于IPSec VPN对防火墙的安全策略的配置较为复杂（往往要开放一些非常用端口），因此客户端的网络适应性还是不能做到百分之百完美。IPSec VPN要面临穿越防火墙、网络地址转换等众多问题，无法保证员工实时正常访问，不利于推广使用。

SSL VPN：一种全新远程办公思路？

　　相对于IPSec VPN，SSL VPN似乎正好可以跟它互补。
　　
　　相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。
　　
　　SSL VPN能让企业实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低，因而降低了配置和运行支撑成本。SSL VPN 通信基于标准 TCP/UDP 协议传输，因而能遍历所有 NAT 设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入，无论是处于其他网络中基于代理的防火墙之后，或是宽带连接中。 而IPSec VPN 在稍复杂的网络结构中则难于实现，因为它很难实现防火墙和 NAT 遍历，无力解决 IP 地址冲突。

SSL VPN互补IPsec VPN？

　　SSL VPN是否会取代IPsec VPN呢？
　　就目前的技术而言，IPsec VPN是最成熟的VPN，但它有做不到的地方，而SSL VPN也并非尽善尽美。对于你的企业来说，到底是选用IPsec VPN，还是SSL VPN，这主要还需要看你的企业应用需求了。
　　
　　IPSec提供站点间（例如：分支办公室到总部）及远程访问的安全联机，IPSec是网络层的VPN技术，独立于应用程序。IPSec以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息。一旦IPSec建立加密隧道后，就可以实现各种类型的一对多的连接，如Web、电子邮件、文件传输、VoIP等连接，并且，每个传输必然对应到VPN网关之后的相关服务器上。

根据VPN网络类型选择

根据主要应用选择

根据用户类型

根据网络终端情况类型

哪些企业应用需要IPSec VPN？

　　什么样的用户需要IPSec VPN呢？和SSL VPN相比，IPSec VPN有什么样的技术优势呢？这个是我们接下来需要讨论的内容。
　　
　　从应用层上来看， IPSec VPN运行在IP层的特性，使得IPSec VPN对应用的支持达到了最大化。无论是常见的文件传输、数据录入，还是需要双向访问的VOIP和视频会议，IPSec VPN都可以无缝支持，这也是IPSec VPN被称作“透明专用网”的原因，即，可将不同区域的网络连接在一起，形成一个跨地区的大型局域网。
　　
　　那么，对于我们用户来说，IPSec VPN可以用在哪些环境？解决什么问题呢？

　　首先,IPSec VPN最常见的应用依然是总部局域网的向下延伸，即通过IPSec VPN将总部和分支机构连在一起。例如，政府机构将办公网延伸到区县、乡镇的单位，供电企业将总部的MIS、OA等系统扩展到下属的供电公司、供电所等，运营商将收费系统通过IPSec VPN延伸至分散的代办点，等等。通常用户在总部部署一台IPSec VPN，在分支机构的互联网出口部署另一台IPSec VPN网关，两端就可以实现互相访问。
　　
　　同时，同合作伙伴的联网，也成为了IPSec VPN的一个应用点。例如审计机构和被审计单位的联网，房产管理机构同房地产开发商的联网，制造类企业同原材料供应商以及下游销售商的联网，由于这些用户的办公地点相对固定，且都为局域网的形式，所以通常用IPSec VPN实现组网。而对于人员数量多，且人员工作地点不固定的远程接入，仍然是SSL VPN的地盘。
　　
　　另外，IPSec VPN在近两年出现了一些新的应用方式，更值得我们注意，其中之一就是大量的行业用户开始考虑用IPSec VPN组建专线的备份网络。

　　在大牛市的背景下，证券行业的营业额大幅增加，以华夏证券为代表的证券用户开始考虑通过IPSec VPN来实现联网。华夏证券的下属营业厅曾经均采用DDN专线与总部相连，但是考虑到证券业务对线路的依赖性和可能的故障，采用了IPSec VPN作为DDN专线的备份线路，在DDN专线出现故障的时候可以迅速切换到VPN链路上来进行数据传输。同时考虑到核心数据传输的重要性，所有非核心业务的数据（如日常的办公数据）全部通过VPN传送到总部，确保有限的DDN带宽全部用来进行核心业务的开展。对于部分规模较小的营业厅也采用了VPN作为连接方式，而不是使用昂贵的DDN专线。
　　
　　无独有偶，作为国家气象系统的信息化示范单位－浙江省气象局，也通过IPSec VPN实现了专网的备份。在今年初，浙江省气象部门在省市县三级ATM网络的基础上完成了VPN备份网络系统的建设。该VPN备份网络是建立在INTERNET网络基础上的实时备份系统，系统能够自动判别省、市、县三级ATM网络运行状态，一旦ATM网络任何一个点或全网出现故障时，系统能够在4秒钟左右的时间内自动切换到VPN网络上运行，并且能在ATM网络恢复正常后的4秒钟左右自动切换回ATM网络上运行。此项目的负责人，省气象局信息中心的陈主任向我们介绍说，由于全省VPN应急备份网络对设备的稳定性、速度要求极为严格，需要设备供应商具有大型方案的实施经验。在经过了多轮考核后，全省VPN网络全部采用了深信服的IPSec VPN设备。

哪些企业应用需要SSL VPN？

　　SSL VPN是以HTTPS为基础的VPN，但也包括可支持SSL的应用程序，例如，电子邮件客户端程序，如Microsoft Outlook或Eudora。SSL VPN经常被称之“无客户端”，因为目前大多数计算机在出货时，都已经安装了支持HTTP和HTTPS（以SSL为基础的HTTP）的Web浏览器。
　　
　　目前，SSL已由TLS传输层安全协议（RFC 2246）整合取代，它工作在TCP之上。如同IPSec一样，它必须首先进行配置，包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器，还可选择性地通过签名或其他方法让服务器验证客户端的合法性，接着可安全地产生会话密钥进行信息加密并提供完整性检查。 SSL可利用各种公钥（RSA、DSA）算法、对称密钥算法（DES、3DES、RC4）和完整性（MD5、SHA-1）算法。
　　
　　从当前的使用情况，以及接合今后的发展趋势看来，SSL VPN主要用来满足以下三种应用需求
　　1、远程接入平台： 远程接入速度，访问加密和安全(包括客户端安全)，提高接入方式的网络适应性 和可访问的方便性(比如整网访问)  该方向就是替代传统VPN和传统接入。
　　2、统一认证门户： 内外部统一身份认证，权限分配，内部访问审计，内部服务器保护。
　　3、应用/平台转换网关： 将原来不能应用于某些终端的应用在流经SSL VPN时进行转换。比如去掉一些元素，使得Web应用可以显示在不同的浏览器，对页面根据浏览器的种类重新排版。对常用应用(网上邻居等)做Web转换，以使得其可以应用于多种平台。

SSL VPN能够融合IPSec VPN？

    SSL VPN和 IPsec VPN是一种互补关系，但对于很多企业用户来说，却希望同时能够实现以上两种应用。在这种情况下，就需要SSL VPN和 IPsec VPN能够相互融合。
　　
　　可喜的是，随着技术的进步和客户需求的进一步成熟的推动，当前主流市场的SSL VPN和几年前面市的仅支持WEB访问的SSL VPN相比已经发生很大的变化，它已经开始融合了IPsec VPN的不少技术优势。例如国外的Juniper、国内的深信服等专业VPN厂商，纷纷革新SSL VPN的技术，从而使其尽可能地同时具有IPsec VPN的技术特点。
　　
　　早期的SSL VPN还无法支持服务器和客户端间的双向访问以及UDP应用；更不支持给移动接入用户分配虚拟IP，从而实现按IP区分的安全审计功能。但现在优秀的SSL VPN都能通过用户可选的客户端插件形式为终端用户分配虚拟IP，并通过SSL 隧道建立层三（Level 3）隧道，实现与传统IPSEC VPN客户端几乎一样强大的终端网络功能。
　　
     此外，最早期的SSL VPN仅仅支持WEB应用，但目前几乎所有的SSL VPN都支持使用插件的形式、将TCP应用的数据重定向到SSL 隧道中，从而支持绝大部分基于TCP的应用，部分技术较为进步的SSL VPN产品甚至能够支持基于UDP乃至ICMP协议的应用。SSL VPN可以通过判断来自不同平台请求，从而自动安装不同的插件。

总结：不同的应用需求，选择不同的产品

　　以现有技术来说，所谓非常好的选择其实必须根据远程访问的需求与目标而定。当企业需要安全的点对点连接，或用单一装置进行远程访问，并且让企业拥有管理所有远程访问使用者的能力时，IPSec可能是最适合的解决方案，即IPSec更加适合用来解决网到网的互联问题。
　　
　　SSL VPN则最适合下述情况：企业需要通过互联网（笔记本型计算机、家用个人计算机、Internet信息站点接入）达到广泛而全面性的信息存取，即SSL VPN更加适合用来解决点到网的互联问题。
　　
　　如果一个企业会同时存在网间互联和点到网的互联需求，所以我们需要的是一台设备同时支持这两种VPN技术，在需要网到网互联的时候使用IPSec、在需要点到网互联的时候使用SSL，用最合适的技术来满足用户的需求。