問題:
ipsec和ssl的區(qū)別?SSL VPN 與 IPSec VPN怎么選擇?
回答:
SSL VPN比較適合用于移動(dòng)用戶的遠(yuǎn)程接入(Client-Site),而IPSec VPN則在網(wǎng)對(duì)網(wǎng)(Site-Site)的VPN連接中具備先天優(yōu)勢(shì)。這兩種產(chǎn)品將在VPN市場(chǎng)上長(zhǎng)期共存,優(yōu)勢(shì)互補(bǔ)。在產(chǎn)品的表現(xiàn)形式上,兩者有以下幾大差異:
1、IPsec VPN多用于“網(wǎng)—網(wǎng)”連接,SSL VPN用于“移動(dòng)客戶—網(wǎng)”連接。SSL VPN的移動(dòng)用戶使用標(biāo)準(zhǔn)的瀏覽器,無需安裝客戶端程序,即可通過SSL VPN隧道接入內(nèi)部網(wǎng)絡(luò);而IPSec VPN的移動(dòng)用戶需要安裝專門的IPSec客戶端軟件。
2、SSL VPN是基于應(yīng)用層的VPN,而IPsec VPN是基于網(wǎng)絡(luò)層的VPN。IPsec VPN對(duì)所有的IP應(yīng)用均透明;而SSL VPN保護(hù)基于Web的應(yīng)用更有優(yōu)勢(shì),當(dāng)然好的產(chǎn)品也支持TCP/UDP的C/S應(yīng)用,例如文件共享、網(wǎng)絡(luò)鄰居、Ftp、Telnet、Oracle等。
3、SSL VPN用戶不受上網(wǎng)方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客戶端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打開UDP500端口。
4、SSL VPN只需要維護(hù)中心節(jié)點(diǎn)的網(wǎng)關(guān)設(shè)備,客戶端免維護(hù),降低了部署和支持費(fèi)用。而IPSec VPN需要管理通訊的每個(gè)節(jié)點(diǎn),網(wǎng)管專業(yè)性較強(qiáng)。
5、SSL VPN 更容易提供細(xì)粒度訪問控制,可以對(duì)用戶的權(quán)限、資源、服務(wù)、文件進(jìn)行更加細(xì)致的控制,與第三方認(rèn)證系統(tǒng)(如:radius、AD等)結(jié)合更加便捷。而IPSec VPN主要基于IP組對(duì)用戶進(jìn)行訪問控制。
SSL VPN 與 IPSec VPN怎么選擇?
SSL VPN提供安全、可代理連接,只有經(jīng)認(rèn)證的用戶才能對(duì)資源進(jìn)行訪問。SSL VPN能對(duì)加密隧道進(jìn)行細(xì)分,從而使得終端用戶能夠同時(shí)接入Internet和訪問內(nèi)部企業(yè)網(wǎng)資源,也就是說它具備可控功能。另外,SSL VPN還能細(xì)化接入控制功能,易于將不同訪問權(quán)限賦予不同用戶,實(shí)現(xiàn)伸縮性訪問;這種精確的接入控制功能對(duì)遠(yuǎn)程接入IPSec VPN來說幾乎是不可能實(shí)現(xiàn)的。
IPSec VPN通過在兩站點(diǎn)間創(chuàng)建隧道提供直接(非代理方式)接入,實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的透明訪問;一旦隧道創(chuàng)建,用戶PC就如同物理地處于企業(yè)LAN中。就通常的企業(yè)高級(jí)用戶(Power User)和LAN-to-LAN連接所需要的直接訪問企業(yè)網(wǎng)絡(luò)功能而言,IPSec無可比擬。然而,典型的SSL VPN被認(rèn)為最適合于普通遠(yuǎn)程員工訪問基于Web的應(yīng)用。SSL VPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec,這項(xiàng)不需要客戶軟件的功能正是一個(gè)重要因素。因?yàn)樽罱K用戶避免了攜帶便攜式電腦,通過與因特網(wǎng)連接的任何設(shè)備就能獲得訪問,SSL更容易滿足大多數(shù)員工對(duì)移動(dòng)連接的需求。但SSL VPN也有其缺點(diǎn)。業(yè)內(nèi)人士認(rèn)為,這些缺點(diǎn)通常涉及客戶端安全和性能等問題。對(duì)E-mail和Intranet而言,SSL VPN是很好;但對(duì)需要較高安全級(jí)別(SSL VPN的加密級(jí)別通常不如IPSec VPN高)、較為復(fù)雜的應(yīng)用而言,就需要IPSec VPN。
免責(zé)聲明:本網(wǎng)站部分文章、圖片等信息來源于網(wǎng)絡(luò),版權(quán)歸原作者平臺(tái)所有,僅用于學(xué)術(shù)分享,如不慎侵犯了你的權(quán)益,請(qǐng)聯(lián)系我們,我們將做刪除處理!