NetScreen亞太區(qū)資深市場行銷總監(jiān) Paul Serrano

IPSec VPN

　　IPSec提供站點間（例如：分支辦公室到總部）及遠程訪問的安全聯(lián)機。這是一種成熟的標準，全球各地許多廠家提供這種解決方案。IPSec/IKE事實上指的是IETF標準（從RFCs 2401 到 241X）的集合，包括密鑰管理協(xié)議（IKE）和加密封包格式協(xié)議（IPSec）。IPSec/IKE可支持各種加密算法（DES、3DES、AES與 RC4）及信息完整性檢驗機制（MD5、SHA-1）。

　　IPSec是網(wǎng)絡(luò)層的VPN技術(shù)，表示它獨立于應用程序。IPSec以自己的封包封裝原始IP信息，因此可隱藏所有應用協(xié)議的信息。一旦IPSec建立加密隧道后，就可以實現(xiàn)各種類型的一對多的連接，如Web、電子郵件、文件傳輸、VoIP等連接，并且，每個傳輸必然對應到VPN網(wǎng)關(guān)之后的相關(guān)服務器上。

IPSec VPN有如下的優(yōu)缺點:

優(yōu)點

● IPSec是與應用無關(guān)的技術(shù)，因此IPSec VPN的客戶端支持所有IP層協(xié)議;

● IPSec技術(shù)中，客戶端至站點（client-to-site）、站點對站點（site-to-site）、客戶端至客戶端（client-to-client）連接所使用的技術(shù)是完全相同的;

● IPSec VPN網(wǎng)關(guān)一般整合了網(wǎng)絡(luò)防火墻的功能;

● IPSec客戶端程序可與個人防火墻等其他安全功能一起銷售，因此，可保證配置、預防病毒，并能進行入侵檢測。

不足
● IPSec VPN需要安裝客戶端軟件，但并非所有客戶端操作系統(tǒng)均支持IPSec VPN的客戶端程序;

● IPSec VPN的連接性會受到網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的影響，或受網(wǎng)關(guān)代理設(shè)備（proxy）的影響;

● IPSec VPN需要先完成客戶端配置才能建立通信信道，并且配置復雜。

SSL VPN

　　SSL VPN指的是以HTTPS為基礎(chǔ)的VPN，但也包括可支持SSL的應用程序，例如，電子郵件客戶端程序，如Microsoft Outlook或Eudora。SSL VPN經(jīng)常被稱之“無客戶端”，因為目前大多數(shù)計算機在出貨時，都已經(jīng)安裝了支持HTTP和HTTPS（以SSL為基礎(chǔ)的HTTP）的Web瀏覽器。

　　目前，SSL已由TLS傳輸層安全協(xié)議（RFC 2246）整合取代，它工作在TCP之上。如同IPSec/IKE一樣，它必須首先進行配置，包括使用公鑰與對稱密鑰加密以交換信息。此種交換通過數(shù)字簽名讓客戶端使用已驗證的服務器，還可選擇性地通過簽名或其他方法讓服務器驗證客戶端的合法性，接著可安全地產(chǎn)生會話密鑰進行信息加密并提供完整性檢查。 SSL可利用各種公鑰（RSA、DSA）算法、對稱密鑰算法（DES、3DES、RC4）和完整性（MD5、SHA-1）算法。

SSL VPN有如下優(yōu)缺點：

優(yōu)點
● 它的HTTPS客戶端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經(jīng)預裝在了終端設(shè)備中，因此不需要再次安裝；

● 像Microsoft Outlook與Eudora這類流行的郵件客戶端／服務器程序所支持的SSL HTTPS功能，同樣也與市場上主要的Web服務器捆綁銷售，或者通過專門的軟硬件供貨商（例如Web存取設(shè)備）獲得；

● SSL VPN可在NAT代理裝置上以透明模式工作；

● SSL VPN不會受到安裝在客戶端與服務器之間的防火墻的影響。

不足
● SSL VPN不適用做點對點的VPN，后者通常是使用IPSec/IKE技術(shù);

● SSL VPN需要開放網(wǎng)絡(luò)防火墻中的HTTPS連接端口，以使SSL VPN網(wǎng)關(guān)流量通過;

● SSL VPN通常需要其他安全配置，例如用第三方技術(shù)驗證“非信任”設(shè)備的安全性 (“非信任”設(shè)備是指其他信息站或家用計算機)。

遠程訪問——IPSec 或SSL VPN？

　　以現(xiàn)有技術(shù)來說，所謂最佳選擇其實必須根據(jù)遠程訪問的需求與目標而定。當企業(yè)需要安全的點對點連接，或用單一裝置進行遠程訪問，并且讓企業(yè)擁有管理所有遠程訪問使用者的能力時，IPSec/IKE可能是最適合的解決方案。而SSL VPN則最適合下述情況：企業(yè)需要通過互聯(lián)網(wǎng)（筆記本型計算機、家用個人計算機、Internet信息站點接入）達到廣泛而全面性的信息存取; 使用者的設(shè)備與目標服務器之間有防火墻，此防火墻設(shè)定允許HTTPS聯(lián)機，但不允許IKE（UDP 500端口）或 IPSec（IP協(xié)議 51）運行; 企業(yè)無法控制遠程訪問使用者計算機的配置，不可能在使用者計算機上安裝軟件以提供遠程訪問。

　　用戶可選擇的遠程訪問解決方案很多，因此必須依據(jù)遠程訪問不同的特定需求與目標進行選購。今天，大多數(shù)信息管理人員都發(fā)現(xiàn)，以IPSec VPN作為點對點連結(jié)方案，再搭配以SSL VPN作為遠程訪問方案，則能滿足員工、商業(yè)伙伴與客戶的安全連接需求，是最合適也最具成本效益的組合。