|
VPN(Virtual Private Net,虚拟专用网)可以实现不同网络的组件和资源之间的互连.VPN并非单一产品技术,其技术非常复杂,它涉及到网络技术,通信技术,密码技术和认证技术,是一项交叉科学课题.VPN的发展大体经过了四代,即第一代以链路加密为主的VPN,第二代以PPTP/L2TP为主的VPN,第三代以IPSEC/MPLS为主的VPN和第四代即新一代以SSL技术为主的VPN.目前第一,二代VPN产品并非目前市场上的主流,所以我们重点谈谈基于IPSEC和SSL的VPN产品. <p> IPSEC(Internet Protocol Security,因特网安全协议).在IPSEC VPN里,通信双方首先要采用一定的方式建立连接,确定所要采用的安全策略和使用模式,包括加密运算法则和身份验证方法类型等.一旦IPSEC通道建立,所有其上层协议数据都被进行加密,而不管这些通道构建时所采用的安全和加密方法如何. </p><p> SSL(Secure Sockets Layer,安全套接层协议层).它是Netscape公司提出的基于WEB应用的安全协议.SSL协议指定了一种在应用程序协议(如Http,Telenet,Nmtp,Ftp)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密,服务器认证,消息完整性以及可选的客户机认证. </p><p><strong>IPSEC VPN与SSL VPN两者对比如下: </strong></p><table cellspacing="0" cellpadding="5" border="1"><!--Element not supported - Type: 8 Name: #comment--><tbody><tr><td width="179">选项</td><td width="179">IPSec VPN</td><td width="179">SSL VPN</td></tr><tr><td>身份验证</td><td>双向/数字证书</td><td>单/双向/数字证书</td></tr><tr><td>加密</td><td>依靠执行加密</td><td>基于Web浏览器加密</td></tr><tr><td>全程安全性</td><td>端到边缘</td><td>端到端/客户到资源</td></tr><tr><td>可访问性</td><td>已经定义好受控用户</td><td>任何时间/地点</td></tr><tr><td>费用</td><td>高</td><td>低</td></tr><tr><td>安装</td><td>需要长时间的配置</td><td>即插即用安装</td></tr><tr><td>易使用性</td><td>需要培训</td><td>简单友好</td></tr><tr><td>应用支持</td><td>所有基于IP协议的服务</td><td>Http,Telenet,Nmtp,Ftp</td></tr><tr><td>用户</td><td>更适用于企业内部使用</td><td>客户/合作伙伴/供应商</td></tr><tr><td>可伸缩性</td><td>比较困难</td><td>容易配置和扩展</td></tr></tbody></table><p><strong>部署使用</strong></p><p> IPSEC要求使用专用客户端,从而替换或增加客户系统的TCP/IP堆栈,这不同于SSL的基于WEB浏览器的加密模式,安全性能较高.但其通信性能较低,系统效率受到影响.SSL则相对通用,界面友好,使用者无需特殊培训,可以随时随地接入,免去了大量的维护时间和成本. </p><p><strong>数据安全</strong></p><p> IPSEC使用消息鉴别机制实现数据源认证服务.它的安全协议的特点是只需要在客户和网络资源边缘处建立通道.SSL的安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全.无论在内部网络还是在因特网上数据都不是透明的. </p><p><strong>支持协议</strong></p><p> IPSEC服务提供在IP层,能够支持包括TCP,UDP,ICMP,BGP,HTTP,FTP等所有基于TCP/IP协议的应用.而SSL只能基于WEB的几种协议,应用领域较窄. </p><p> 由些可知,IPSEC VPN与SSL VPN各有所长,同时也各有不足,IPSEC侧重于安全方面,SSL测重于使用方面.明白了这些,相信我们在选购VPN产品的时候就不会盲从.不过,既然两种VPN都各有优劣,那么,能否有一种综合IPSEC与SSL两种技术特长的更强大的VPN呢?</p> |
linlongqing
发表于 2006-7-14 12:07:00
转播
分享
淘帖
分享到新浪微博
