识别IPSec和SSL

什么是IPSec

IPSec（InternetProtocolSecurity）是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows 2000、Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。

IPSec VPN在远程访问者和企业局域网之间创建加密“隧道”，从而允许使用者就像他们在公司局域网内部一样工作，即使他们处在很遥远的地方。为了创建这个加密隧道，需要安装VPN的集中器和每一个使用者的笔记本上安装专用软件。

什么是SSL

SSL (Secure Socket Layer) 为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准，美国则已推出128 bit之更高安全标准，但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。
SSL VPN工作在TCP层，这个技术特性决定了它是一种基于应用的VPN，可以更好的作应用层的安全访问控制机制，并能够做到底层无关性，可以做到部署方式更灵活。由于它的客户端只需要标准的浏览器，可以看作是无客户端的VPN方案，被认为是SSL VPN的主要特点。

IPSec VPN 和 SSL VPN比较
1. 适用VPN组网结构

IPSec VPN适用 Site to Site 组网：这是由于IPSec VPN采用隧道技术，部署时一般采用两端部署VPN网关方式。例如当VPN的总部和分支机构有很多IT设备时，采用IPSec组网方式比较灵活，支持应用广泛。
SSL VPN适用 Client to Site组网：当客户端为PC终端设备时，采用此方式。当分支机构为少量终端，或者VPN用户为分布在广泛地域的移动用户时更显优势。
IPSec 和 SSL VPN可以互为补充，满足企业不同的VPN上网群体，达到更加安全的访问组合。

2. 适用应用

IPSec VPN适用应用广泛：由于IPSec VPN采用隧道技术，部署时一般采用两端部署VPN网关方式。当VPN隧道建立后，各种IP应用都可以通过VPN隧道进行访问，但这也会带来一定的安全问题。
SSL VPN同样适用各种应用：由于SSL VPN采用的是 SSL Proxy机制，作各种应用时要进行相对复杂的配置，对于WEB 应用最为适用，当支持C/S应用时，需要采用如JAVA，ActivcX等技术。复杂的控制也带来了更高的安全性。

3. VPN部署

IPSec VPN部署管理复杂：由于IPSec VPN需要在隧道两端部署一对VPN网关，或是在客户端安装专用客户端软件，部署复杂，尤其是对于大量的远端用户，除此以外，除非已经在每一台客户使用的计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务，VPN的安装甚至是一场恶梦。
SSL VPN部署简单灵活：由于SSL VPN 是一种无客户端的方式，只需要在数据中心部署VPN网关，属于集中管理和集中维护模式，虽然在应用适配时复杂一些，但大量用户的部署就要方便很多。尤其是随着用户量的增加，VPN的部署和管理就简单易行多了。

4. VPN 的投资

IPSec VPN费用昂贵：部署IPSec需要对基础设施进行重大改造，每一个分支机构都需要部署VPN网关，或是每个客户端都需要专用软件。尤其是对于分支机构很多，而每个分支机构终端数量又比较少的情况下，部署VPN网关的费用将急剧上升。

SSL VPN价格低廉：SSL VPN部署是属于集中部署，只需要在数据中心部署SSL VPN网关，省去了客户端的费用和部署管理费用，从长期来看，投资将有极大的降低。

5 VPN 的安全性

IPSec VPN安全缺陷：IPSec 属于隧道机制，使远程接入的安全风险增加；由于IPSec VPN在连接的两端创建隧道，提供直接（而非代理）访问，并对全部网络可视，因此IPSec VPN会增加安全风险。一旦隧道建立，就像用户的PC机在公司局域网内部一样，用户能够直接访问公司全部的应用，由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁，这些客户端的安全行严重威胁企业数据中心的安全。

SSL VPN控制完善：SSL VPN是基于应用的VPN，可以针对应用和用户或组等客户信息进行细粒度的访问控制，达到更加安全的保护效果，充分保障企业数据中心的安全。

6. 接入范围

IPSec VPN接入范围狭窄：IPSec VPN只能在部署了IPsecVPN 网关的地方适用，或者客户端安装专用软件后才能使用，这对于合作伙伴或商业客户来讲很难说服他们安装自己的软件。对于在网吧或出差等用户来讲就更不可能。

SSL VPN接入范围广泛：SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问企业网络资源，同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准。

7. 适用组网结构

IPSec VPN组网不灵活：IPSec VPN的连接性会受到防火墙、网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响；因为客户端的上网方式多种多样，很多公司是通过Proxy或NAT上网的，IPsec对于这些方式上网的用户支持很差。

SSL VPN组网方式灵活：SSL VPN是在TCP之上，无论对于防火墙、还是用户通过NAT设备、Proxy等上网方式都能够很好的适应。

8. 访问控制

IPSec VPN控制不灵活：IPSec VPN采用隧道机制，一旦隧道建立，客户端即可访问各种应用，很难建立基于应用的访问控制机制。
SSL VPN访问控制灵活：SSL VPN是在TCP之上， SSL VPN 更容易提供细粒度远程访问（即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制，这是IPSec VPN难以做到的）。

9、客户端安全控制IPSec VPN控制缺失：IPSec VPN采用隧道机制，没有对客户端的安全检测和控制机制，建立IPSec VPN，单单有客户端软件是很不够的。如果没有防火墙和其他的安全软件，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果雇员从家里的计算机通过公司VPN访问企业资源，在他创建隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏，那么，病毒就很有可能经过VPN在企业局域网内传播。

SSL VPN具备客户端安全模块：SSL VPN产品一般具备客户端安全模块，ArrayNetworks 的client Security模块即可完成客户端的安全检测功能，甚至可以对客户端的cache进行清除，还能生成一个安全的客户端(security desktop)，把客户端的安全风险对数据中心的影响减至最低。SSl VPN还可以进行session级的保护，在客户长时间的离开自己的机器时，SSL VPN将自动关闭，时间可以根据情况具体配置。

相关搜索

ipsec和ssl的区别

sslvpn和ipsecvpn

ipsec vpn和ssl vpn

sslvpn和ipsec

ipsec ssl vpn 区别

ipsec ssl

ssl ipsec 区别

sslvpn ipsecvpn

ipsec与ssl