客观的讲,目前SSL VPN不论是在应用实现还是在部署成本商均较IPsec要弱。我们公司当初在采购的时候也曾经考虑过SSL VPN,但是最后还是上了Ipsec。个人认为还需等一段时间。事实上,利用SSL VPN利用浏览器本身只能做到B/S应用和访问FTP 服务,这在目前大大降低了灵活性。假如你要实现桌面级的应用,比如C/S结构的系统,怎么办?不管采用哪一家的SSL VPN,你仍然需要安装专门的客户端,就似乎IPsec。 随着日后B/S结构应用的崛起,我们相信SSL VPN会有它大放异彩的一天,但还不是今天。
目前由于用户在对SSL VPN的选择上越来越感爱好,所以针对基于IPSEC的VPN和基于SSL的VPN我整理了一些材料进行了技术对比及分析供大家参考。
SSL VPN厂家经常强调其技术产品优势,主要包括以下几点:
1. IPSec VPN部署、治理成本比SSL VPN高;
2. SSL VPN比IPSEC VPN更安全;
3. SSL VPN与IPSec VPN相比,具有更好的克扩展性;
4. SSL VPN在访问控制方面比IPSec VPN做的更细粒度;
5. 使用SSL VPN相比IPSEC VPN也具有更好的经济性。
一、IPSec VPN部署、治理成本比SSL VPN高;
首先我们先熟悉一下IPSEC存在的不足之处:
在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但治理成本很高。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。
IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的治理难度将呈几何级数增长。SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。
其次我们再看看SSL的所谓优势特点:
SSL VPN避开了部署及治理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁,目前对SSL VPN公认的三大好处是:
第一来自于它的简单性,它不需要配置,可以立即安装、立即生效;
第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。
最后我们对两者进行综合分析得知:
1、SSL强调的优势其实主要集中在VPN客户端的部署和治理上,我们知道前面SSL一再强调无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立;但假如客户的应用系统采用的是C/S结构的话,仍然需要安装Client软件;
2、目前进行VPN部署的用户大部分都是要求对现有业务需要支持的用户,而据统计这样的用户95%以上都有主要基于C/S架构的重要应用系统,也就是说其“Client软件无需安装”的优势是有很大局限性的,非凡是对中国目前很多用户来说这种方式实用性不强;
3、基于B/S的安全性显而易见远远不如基于C/S结构;
4、但同时基于IPSEC的VPN虽然在业务应用基于B/S上没有基于SSL的方便,但在业务应用基于C/S方面确下足了功夫,比如说天融信公司提供一套VPN客户端自动部署系统-ADS,它能帮助用户轻松实现客户端、证书等的统一部署,而SSL VPN在基于C/S的部署时,则无此功能和实际的成功案例。
二、SSL VPN比IPSEC VPN更安全
首先我们还是先熟悉一下IPSEC存在的不足之处:
1、在通路本身安全性上,传统的IPsec VPN还是非常安全的,比如在公网中建立的通道,很难被人篡改。说其不安全,是从另一方面考虑的,就是在安全的通路两端,存在很多不安全的因素。比如总公司和子公司之间用IPsec VPN连接上了,总公司的安全措施很严密,但子公司可能存在很多安全隐患,这种隐患会通过IPsec VPN传递给总公司,这时,公司间的安全性就由安全性低的分公司来决定了。
2、比如黑客想要攻击应用系统,假如远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,黑客都是可以侦测得到,这就提供了黑客攻击的机会。
3、比如应对病毒入侵,一般企业在Internet联机入口,都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。
4、不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯端口是采用25端口,若是从远程电脑来联机Email服务器,就必须在防火墙上开放25端口,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。
其次我们再看看SSL的所谓优势特点:
1、SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
2、若是采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络设置,同时黑客攻击的也只是VPN服务器,无法攻击到后台的应用服务器,攻击机会相对就减少。
3、而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。
4、SSL VPN就没有这方面的困扰。因为在远程主机与SSLVPN Gateway之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT治理者的困扰。假如所有后台系统都通过SSL VPN的保护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强内部网络受外部黑客攻击的可能性。
最后我们对两者进行综合分析得知:
1、目前基于SSL的VPN网关都还是一种‘点到端’的模式,因而在‘端’处两种VPN都面临着‘端’内部的不安全性,如:内网数据的非法监听等等;
2、由于基于IPSEC的VPN本身也有严格的SPD(安全策略库),因此也只有响应的应用类型数据可以达到内部对应服务器,所以两者对防病毒的意义是相同的;
3、由于用户的应用系统存在着大量的基于C/S架构的业务系统,同时基于SSL的VPN产品技术可能还需支持DNS、SMTP、LDAP等其他治理和安全功能,所以它同样面临着多端口的安全威胁;而目前基于IPSEC的VPN已经做了很多技术的改进,所以所开放的协议和端口很少,同时加上防火墙/VPN一体机的这种结构,使得VPN和防火墙的访问控制技术很好结合起来,大大提供VPN自身的安全性。
三、SSL VPN与IPSec VPN相比,具有更好的可扩展性;
首先我们还是先熟悉一下IPSEC存在的不足之处:
IPSec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,假如增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。
其次我们再看看SSL的所谓优势特点:
而SSL VPN就有所不同,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。
最后我们对两者进行综合分析得知:
1.由于目前国内知名的VPN厂商(如天融信等),就提供透明模式下的VPN网关,所以对用户原有的网络不做任何改变,包括主机路由、接入方式等方面;
2.同时由于VPN网关本身就是安全设备,所以它自身的安全性也非常重要,因此SSL VPN网关虽然提供简单的包过滤功能,但是远远不如防火墙/VPN一体机安全,因此SSLVPN网关需要通过防火墙进行非凡的安全保护部署;同时由于它位于防火墙后面,也使得SSL的数据无法被防火墙进行安全过滤,但在同等条件下防火墙/VPN一体机则很好解决了加密和防火墙的访问控制的矛盾。
四、SSL VPN在访问控制方面比IPSec VPN做的更细粒度;
为什么最终用户要部署VPN,究其根本原因,还是要保护网络中重要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门的项目信息,生产部门的产品配方等等。
首先我们还是先熟悉一下IPSEC存在的不足之处:
由于IPSec VPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSec VPN网关,他可以在内部为所欲为。因此,IPSec VPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。
其次我们再看看SSL的所谓优势特点:
在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。
而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
最后我们对两者进行综合分析得知:
1.目前基于SSL的VPN和基于IPSEC远程接入的VPN都采用的是点到端的模式,所以在进入内网后(VPN网关后)都面临着内部数据安全的问题,虽然两者都可以分别通过各自VPN的策略和认证的安全方式对用户进行相应的安全过滤;
2.只有基于点到点的SSL VPN才能真正做到每个应用、每笔业务的细粒度控制,但这需要服务器端提供直接的SSL接口,服务器系统本身提供强认证等安全功能,所以目前这种基于SSL的VPN网关方式还不能到达这种细粒度的要求。
五、使用SSL VPN相比IPSEC VPN也具有更好的经济性
首先我们还是先熟悉一下IPSEC存在的不足之处:
对于IPSec VPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备。所以,尤其是对于一个成长型的公司来说,随着IT建设的扩大,要不断购买新的设备来满足需要。
其次我们再看看SSL的所谓优势特点:
使用SSL VPN只需要在总部放置一台硬件设备就可以,就可以实现所有用户的远程安全访问接入。
最后我们对两者进行综合分析得知:
1、但是我们知道基于IPSEC的VPN也支持点到端的方式(也就是指远程的‘点’用户连接总部VPN网关的‘端’用户),也就是说也可以支持总部放置一台硬件设备就可以了,其他都使用VPN客户端就可以了,况且国内外很多VPN客户端实质上都是免费的;
2、同时对于很多企业自己专用的业务应用系统(基于C/S架构的业务应用系统)来说,假如系统本身没有进行安全地设计SSL接口或者更本就没有提供的话,这种SSL的远程接入方式根本就没有办法满足用户需求。
综观上述,SSL VPN虽然有很多新奇的特点,但是无论从用户的实际出发还是我们作为基于IPSEC技术厂家的角度来说,大家都必须要冷静看待新技术的发展,其必然有个过程和局限性,非凡是想取代目前成熟的安全技术时都有很大盲目性,对于我们而言就更是如此,希望此文章对于我们的销售还是技术都能有所帮助,谢谢大家的阅读!!!