|
您现在的位置是:
IT外包 ->术语解释 ->VPN ->
|
|
|
|
SSL VPN与IPSec VPN之间的比较
|
作者:
王达
| 发布时间:
2006-05-17 12:47
| 信息类别:
VPN
| 访问人次:
次 |
|
|
|
|
|
要了解SSL VPN与IPSec VPN到底有哪些联系与区别,首先还是先来回顾一下传统的IPSec VPN方案。
IPSec的英文全名为“Internet Protocol Security”,中文名为“因特网安全协议”,这个安全协议是VPN的基本加密协议,它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方要建立IPSec通道,首先要采用一定的方式建立通信连接。因为IPSec协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式,这包括如加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而不管这些通道构建时所采用的安全和加密方法如何。
1. IPSec的主要不足
(1)安全性能高,但通信性能较低
因为IPSec安全协议是工作在网络层的,不仅所有网络通道都是加密的,而且在用户访问所有公司资源时,就像采用专线方式与公司网络直接物理连接一样。你可以或者不想让你的合作伙伴或者远程员工成为您的网络一部分,IPSec不仅使你正在通信的那一很小的部分通道加密,而是对所有通道进行加密。所以在在安全性方面比SSL VPN好,但整体通信性能却因安全性受到了影响,不过安全性方面始终高于性能的,这也是目前IPSec VPN仍为主流的原因之一。
(2)需要客户端软件
在IPSec VPN中需要在每一客户端安装特殊用途的客户端软件,用这些软件来替换或者增加客户系统的TCP/IP堆栈。在许多系统中,这就可能带来了与其他系统软件之间兼容性问题的风险,例如木马程序所带来的安全性风险,特别是在这些客户端软件是从网站上下载,而且不是经过专门的IT人员安装的情况下。解决IPSec协议的这一兼容性问题目前还缺乏一致的标准,几乎所有的IPSec客户端软件都是专有的,不能与其它兼容。
在一些情形中,IPSec安全协议是在运行在网络硬件应用中,在这种解决方案中大多数要求通信双方所采用的硬件是相同的,IPSec协议在硬件应用中同样存在着兼容性方面的问题。
并且,IPSec客户端软件在膝上电脑或者桌面系统中的应用受到限制。这种限制限制了用户使用的灵活性,在没有装载IPSec客户端系统的远程用户中用户不能与网络进行VPN连接。
(3)安装和维护困难
IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSecI安全协议进行的VPN远程访问提供服务。
(4)实际全面支持的系统比较少
虽然已有许多开发的操作系统提出对IPSec协议的支持,但是在实际应用是,IPSec安全协议客户的计算机通常只运行基于Windows系统,很少有运行其它PC系统平台的,如Mac、Linux、Solaris 等。
|
上海市商城路341号紫光大厦1305室 
+0086-21-58878998 
+0086-21-58879030
HappyFreeAngel@hotmail.com