NetScreen亞太區(qū)資深市場(chǎng)行銷(xiāo)總監(jiān) Paul Serrano

IPSec VPN

　　IPSec提供站點(diǎn)間（例如：分支辦公室到總部）及遠(yuǎn)程訪問(wèn)的安全聯(lián)機(jī)。這是一種成熟的標(biāo)準(zhǔn)，全球各地許多廠家提供這種解決方案。IPSec/IKE事實(shí)上指的是IETF標(biāo)準(zhǔn)（從RFCs 2401 到 241X）的集合，包括密鑰管理協(xié)議（IKE）和加密封包格式協(xié)議（IPSec）。IPSec/IKE可支持各種加密算法（DES、3DES、AES與 RC4）及信息完整性檢驗(yàn)機(jī)制（MD5、SHA-1）。

　　IPSec是網(wǎng)絡(luò)層的VPN技術(shù)，表示它獨(dú)立于應(yīng)用程序。IPSec以自己的封包封裝原始IP信息，因此可隱藏所有應(yīng)用協(xié)議的信息。一旦IPSec建立加密隧道后，就可以實(shí)現(xiàn)各種類(lèi)型的一對(duì)多的連接，如Web、電子郵件、文件傳輸、VoIP等連接，并且，每個(gè)傳輸必然對(duì)應(yīng)到VPN網(wǎng)關(guān)之后的相關(guān)服務(wù)器上。

IPSec VPN有如下的優(yōu)缺點(diǎn):

優(yōu)點(diǎn)

● IPSec是與應(yīng)用無(wú)關(guān)的技術(shù)，因此IPSec VPN的客戶(hù)端支持所有IP層協(xié)議;

● IPSec技術(shù)中，客戶(hù)端至站點(diǎn)（client-to-site）、站點(diǎn)對(duì)站點(diǎn)（site-to-site）、客戶(hù)端至客戶(hù)端（client-to-client）連接所使用的技術(shù)是完全相同的;

● IPSec VPN網(wǎng)關(guān)一般整合了網(wǎng)絡(luò)防火墻的功能;

● IPSec客戶(hù)端程序可與個(gè)人防火墻等其他安全功能一起銷(xiāo)售，因此，可保證配置、預(yù)防病毒，并能進(jìn)行入侵檢測(cè)。

不足
● IPSec VPN需要安裝客戶(hù)端軟件，但并非所有客戶(hù)端操作系統(tǒng)均支持IPSec VPN的客戶(hù)端程序;

● IPSec VPN的連接性會(huì)受到網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的影響，或受網(wǎng)關(guān)代理設(shè)備（proxy）的影響;

● IPSec VPN需要先完成客戶(hù)端配置才能建立通信信道，并且配置復(fù)雜。

SSL VPN

　　SSL VPN指的是以HTTPS為基礎(chǔ)的VPN，但也包括可支持SSL的應(yīng)用程序，例如，電子郵件客戶(hù)端程序，如Microsoft Outlook或Eudora。SSL VPN經(jīng)常被稱(chēng)之“無(wú)客戶(hù)端”，因?yàn)槟壳按蠖鄶?shù)計(jì)算機(jī)在出貨時(shí)，都已經(jīng)安裝了支持HTTP和HTTPS（以SSL為基礎(chǔ)的HTTP）的Web瀏覽器。

　　目前，SSL已由TLS傳輸層安全協(xié)議（RFC 2246）整合取代，它工作在TCP之上。如同IPSec/IKE一樣，它必須首先進(jìn)行配置，包括使用公鑰與對(duì)稱(chēng)密鑰加密以交換信息。此種交換通過(guò)數(shù)字簽名讓客戶(hù)端使用已驗(yàn)證的服務(wù)器，還可選擇性地通過(guò)簽名或其他方法讓服務(wù)器驗(yàn)證客戶(hù)端的合法性，接著可安全地產(chǎn)生會(huì)話(huà)密鑰進(jìn)行信息加密并提供完整性檢查。 SSL可利用各種公鑰（RSA、DSA）算法、對(duì)稱(chēng)密鑰算法（DES、3DES、RC4）和完整性（MD5、SHA-1）算法。

SSL VPN有如下優(yōu)缺點(diǎn)：

優(yōu)點(diǎn)
● 它的HTTPS客戶(hù)端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經(jīng)預(yù)裝在了終端設(shè)備中，因此不需要再次安裝；

● 像Microsoft Outlook與Eudora這類(lèi)流行的郵件客戶(hù)端／服務(wù)器程序所支持的SSL HTTPS功能，同樣也與市場(chǎng)上主要的Web服務(wù)器捆綁銷(xiāo)售，或者通過(guò)專(zhuān)門(mén)的軟硬件供貨商（例如Web存取設(shè)備）獲得；

● SSL VPN可在NAT代理裝置上以透明模式工作；

● SSL VPN不會(huì)受到安裝在客戶(hù)端與服務(wù)器之間的防火墻的影響。

不足
● SSL VPN不適用做點(diǎn)對(duì)點(diǎn)的VPN，后者通常是使用IPSec/IKE技術(shù);

● SSL VPN需要開(kāi)放網(wǎng)絡(luò)防火墻中的HTTPS連接端口，以使SSL VPN網(wǎng)關(guān)流量通過(guò);

● SSL VPN通常需要其他安全配置，例如用第三方技術(shù)驗(yàn)證“非信任”設(shè)備的安全性 (“非信任”設(shè)備是指其他信息站或家用計(jì)算機(jī))。

遠(yuǎn)程訪問(wèn)——IPSec 或SSL VPN？

　　以現(xiàn)有技術(shù)來(lái)說(shuō)，所謂最佳選擇其實(shí)必須根據(jù)遠(yuǎn)程訪問(wèn)的需求與目標(biāo)而定。當(dāng)企業(yè)需要安全的點(diǎn)對(duì)點(diǎn)連接，或用單一裝置進(jìn)行遠(yuǎn)程訪問(wèn)，并且讓企業(yè)擁有管理所有遠(yuǎn)程訪問(wèn)使用者的能力時(shí)，IPSec/IKE可能是最適合的解決方案。而SSL VPN則最適合下述情況：企業(yè)需要通過(guò)互聯(lián)網(wǎng)（筆記本型計(jì)算機(jī)、家用個(gè)人計(jì)算機(jī)、Internet信息站點(diǎn)接入）達(dá)到廣泛而全面性的信息存取; 使用者的設(shè)備與目標(biāo)服務(wù)器之間有防火墻，此防火墻設(shè)定允許HTTPS聯(lián)機(jī)，但不允許IKE（UDP 500端口）或 IPSec（IP協(xié)議 51）運(yùn)行; 企業(yè)無(wú)法控制遠(yuǎn)程訪問(wèn)使用者計(jì)算機(jī)的配置，不可能在使用者計(jì)算機(jī)上安裝軟件以提供遠(yuǎn)程訪問(wèn)。

　　用戶(hù)可選擇的遠(yuǎn)程訪問(wèn)解決方案很多，因此必須依據(jù)遠(yuǎn)程訪問(wèn)不同的特定需求與目標(biāo)進(jìn)行選購(gòu)。今天，大多數(shù)信息管理人員都發(fā)現(xiàn)，以IPSec VPN作為點(diǎn)對(duì)點(diǎn)連結(jié)方案，再搭配以SSL VPN作為遠(yuǎn)程訪問(wèn)方案，則能滿(mǎn)足員工、商業(yè)伙伴與客戶(hù)的安全連接需求，是最合適也最具成本效益的組合。