网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > VPN > 文章  
SSL VPN和IPSec VPN之间的区别和联系
文章来源: 赛迪网 文章作者: skid 发布时间: 2006-07-24   字体: [ ]
 

  【编者按】

  选购理想的虚拟专用网对企业用户来说相当困难,当前盛行的说法是:风头渐劲的SSL VPN将迅速赶超并有可能替代传统的IPSec VPN,这更加大了选购决策的难度。当然,有人坚持认为:SSL VPN这个灰姑娘很快会大放光彩,IPSec VPN将随之黯然失色。这更是为近期业界的喧闹加了一把火。

  合理选择VPN

  SSL VPN的强劲发展势头似乎表明,它将取代IPSec VPN,不过仔细分析你会发现,二者并不矛盾。

  选购理想的虚拟专用网对企业用户来说相当困难,当前盛行的说法是:风头渐劲的SSL VPN将迅速赶超并有可能替代传统的IPSec VPN,这更加大了选购决策的难度。当然,有人坚持认为:SSL VPN这个灰姑娘很快会大放光彩,IPSec VPN将随之黯然失色。这更是为近期业界的喧闹加了一把火。

  业内人士认为,IPSec被淘汰的传闻说得过早了,但在远程访问领域,无疑出现了非常明显的一股潮流——远离IPSec,这股潮流源于一些非常实际的原因。

  稳步发展

  Infonetics Research是一家国际市场调研和咨询公司,也是VPN领域的主要专业公司。它称,SSL VPN取得了长足发展,以至2003年许多IPSec VPN厂商将继续宣布推出基于SSL的产品。这一幕现在已经呈现在世人面前,诺基亚、思科及其它大玩家纷纷推出了围绕SSL产品的解决方案。

  尽管如此,SSL仍旧不会取代IPSec,Infonetics如此认为。因为站点到站点连接缺少理想的SSL解决方案,而说到远程访问,许多公司考虑之后,可能为了不同的远程访问而同时部署SSL和IPSec,但在近期,这种情况不太可能成为主导性潮流。

  据Infonetics最近发表的报告表明,IPSec对VPN而言仍是主导性的隧道和加密技术。不过同时,SSL将不断获得吸引力。到2005年,74%的移动员工将依赖VPN(比2003年增加15%),预计增长率主要来自SSL,这种IPSec以外的替代方案避开了部署及管理必要客户软件的复杂性和人力需求。

  现在的问题在于,在这个市场的早期阶段,许多厂商在如何给基于SSL的产品定位上似乎没有明确态度。到底把SSL VPN(又叫做应用层VPN网关产品)视为与IPSec竞争还是互补?这还是个营销难题。

  Infonetics认为,SSL产品最终的定位最好与IPSec互补。大多数IPSec厂商将开发或购进应用层VPN技术,添加到自己的产品线当中。这种互补性定位对市场能否成功至关重要。如果在今后12个月,在该领域领先市场的厂商决定在SSL和IPSec之间挑起竞争,那么整个市场将会遭殃。

  区别何在

  在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。就这点而言,IPSec仍是站点到站点连接的不二选择,但用于其它远程访问活动的SSL VPN也引起了人们的兴趣。

  不过,首次登台亮相时,IPSec VPN被认为与其它远程访问解决方案相比有一大优势。IPSec VPN的诱人之处包括,它采用了集中式安全和策略管理部件,从而大大缓解了维护需求。

  然而,近期传统的IPSec VPN出现了两个主要问题:首先,客户软件带来了人力开销,而许多公司希望能够避免;其次,某些安全问题也已暴露出来,这些问题主要与建立开放式网络层连接有关。

  首选方案

  许多专家认为,就通常的企业高级用户(Power User)和LAN-to-LAN连接所需要的直接访问企业网络功能而言,IPSec无可比拟。然而,典型的SSL VPN被认为最适合于普通远程员工访问基于Web的应用。因而,如果需要更全面的、面向基于浏览器应用的访问,以及面向远程员工、把所有办公室连接起来,IPSec无疑是首选。

  另一方面,SSL VPN不需要在最终用户的PC和便携式电脑上装入另外的客户软件。有些公司之所以选择SSL而不是IPSec,这项不需要客户软件的功能正是一个重要因素。

  除此之外,SSL VPN还有其它经常被提到的特性,包括降低部署成本、减小对日常性支持和管理的需求。此外,因为所有内外部流量通常都经过单一的硬件设备,这样就可以控制对资源和URL的访问。

  厂商推出这类不需要客户软件的VPN产品后,用户就能通过与因特网连接的任务设备实现连接,并借助于SSL隧道获得安全访问。这需要在企业防火墙后面增添硬件,但企业只要管理一种设备,不必维护、升级及配置客户软件。

  因为最终用户避免了携带便携式电脑,通过与因特网连接的任何设备就能获得访问,SSL更容易满足大多数员工对移动连接的需求。不过这种方案的问题在于,SSL VPN的加密级别通常不如IPSec VPN高。所以,尽管部署和支持成本比较低,并且使组织可以为使用台式电脑、便携式电脑或其它方式的员工提供使用电子邮件的功能,甚至迅速、便捷地为合作伙伴提供访问外联网的功能,但SSL VPN仍有其缺点。

  业内人士认为,这些缺点通常涉及客户端安全和性能等问题。对E-mail和Intranet而言,SSL VPN是很好;但对需要较高安全级别、较为复杂的应用而言,就需要IPSec VPN。

 
推荐文章
 

 
共2页: 上一页 1 [2] 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·基于MPLS的VPN技术原理
·远程接入VPN用户解决方
·企业虚拟专用网络VPN及
·VPN技术概述
·VPN安全协议概览
·多线路智能最优选路VPN
·SSL VPN:卧榻之侧岂容I
相关分类
相关文章
·远程接入VPN用户解决方
·企业虚拟专用网络VPN及
·VPN技术概述
·SSL VPN:卧榻之侧岂容I
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $