IPSec VPN與SSL VPN優(yōu)劣比較

　　SSL VPN與IPSec VPN是目前流行的兩類Internet遠程安全接入技術(shù)，它們具有類似功能特性，但也存在很大不同。

　　

　　SSL的“零客戶端”解決方案被認為是實現(xiàn)遠程接入的最大優(yōu)勢，這對缺乏維護大型IPSec配置資源的用戶來說的確如此。但SSL方案也有不足， 它僅支持以代理方式訪問基于Web或特定的客戶端/服務(wù)器的應(yīng)用。由服務(wù)器直接操縱的應(yīng)用，如Net Meeting以及一些客戶書寫的應(yīng)用程序，將無法進行訪問。

　　

　　IPSec方案安全級別高

　　

　　基于Internet實現(xiàn)多專用網(wǎng)安全連接，IPSec VPN是比較理想的方案。IPSec工作于網(wǎng)絡(luò)層，對終端站點間所有傳輸數(shù)據(jù)進行保護，而不管是哪類網(wǎng)絡(luò)應(yīng)用。它在事實上將遠程客戶端“置于”企業(yè)內(nèi)部網(wǎng)，使遠程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。

　　

　　IPSec VPN要求在遠程接入客戶端適當安裝和配置IPSec客戶端軟件和接入設(shè)備，這大大提高了安全級別，因為訪問受到特定的接入設(shè)備、軟件客戶端、用戶認證機制和預(yù)定義安全規(guī)則的限制。

　　

　　IPSec VPN還能減輕網(wǎng)管負擔。如今一些IPSec客戶端軟件能實現(xiàn)自動安裝，不需要用戶參與。VPN服務(wù)器能夠為終端用戶接入設(shè)備自動安裝和配置客戶端軟件包，因而無論對網(wǎng)管還是終端用戶，安裝過程都大為簡化。

　　

　　IPSec VPN應(yīng)用優(yōu)勢

　　

　　SSL用戶僅限于運用Web瀏覽器接入，這對新型基于Web的商務(wù)應(yīng)用軟件比較合適，但它限制了非Web應(yīng)用訪問，使得一些文件操作功能難于實現(xiàn)，如文件共享、預(yù)定文件備份和自動文件傳輸。用戶可以通過升級、增加補丁、安裝SSL網(wǎng)關(guān)或其它辦法來支持非Web應(yīng)用，但實現(xiàn)成本高且復(fù)雜，難以實現(xiàn)。IPSec VPN能順利實現(xiàn)企業(yè)網(wǎng)資源訪問，用戶不一定要采用Web接入（可以是非Web方式），這對同時需要以兩種方式進行自動通信的應(yīng)用程序來說是最好的方案。

　　

　　IPSec方案能實現(xiàn)網(wǎng)絡(luò)層連接，任何LAN應(yīng)用都能通過IPSec隧道進行訪問，因而在用戶僅需要網(wǎng)絡(luò)層接入時，IPSec是理想方案。如今有的機構(gòu)同時采用IPSec和SSL遠程接入方案，IT主管利用IPSec VPN實現(xiàn)網(wǎng)絡(luò)層接入，進行網(wǎng)絡(luò)管理，其他人員要訪問的資源有限，一般也就是電子郵件、傳真，以及接入公司內(nèi)部網(wǎng)（Web瀏覽），因而采用SSL方案。這正是充分利用了IPSec的網(wǎng)絡(luò)層接入功能。

　　

　　IPSec VPN與SSL VPN優(yōu)劣比較

　　

　　IPSec VPN和SSL VPN各有優(yōu)缺點。IPSec VPN提供完整的網(wǎng)絡(luò)層連接功能，因而是實現(xiàn)多專用網(wǎng)安全連接的最佳選項；而SSL VPN的“零客戶端”架構(gòu)特別適合于遠程用戶連接，用戶可通過任何Web瀏覽器訪問企業(yè)網(wǎng)Web應(yīng)用。SSL VPN存在一定安全風險，因為用戶可運用公眾Internet站點接入；IPSec VPN需要軟件客戶端支撐，不支持公共Internet站點接入，但能實現(xiàn)Web或非Web類企業(yè)應(yīng)用訪問。

　　

　　Meta Group認為，不能簡單地給IPSec與SSL方案的優(yōu)劣下定論�？蛻粼陉P(guān)注應(yīng)用方案本身的同時，還應(yīng)考慮遠程機器外圍設(shè)備的安全性，如是否配置有個人防火墻和反病毒防護系統(tǒng)。IT主管需要綜合評估商務(wù)應(yīng)用需求，以決定采納哪類VPN策略。



　　
----《中國計算機報》