IPsec VPN和SSL VPN的区别，如何选择正确的VPN

　　您是如何看待网络推销员在星巴克利用互联网切入你的网络?您对办公室内部网络的安全性感到满意吗?

　　在工厂的物理墙内控制安全性很容易，但为外部连接的用户提供对内部资源的安全远程访问具有挑战性。IPsec(IP安全)和PPTP(点对点隧道协议) VPN，有时是SSH隧道，已经足够，但这些设置经常遇到NAT(网络地址转换)遍历，防火墙和客户端管理问题。一个SSL(安全套接字层)VPN应解决这些问题，同时仍提供强大而安全的远程访问。但是，SSL设置有其自身的困难，例如浏览器支持问题，客户端计算机上除了纯HTTP应用程序之外的任何其他任务所需的特权增加以及浏览器上缓存数据的固有安全问题。

　　IPsec VPN和SSL VPN的区别

　　IPsec是第3层VPN：对于分支网络到各网络和远程访问部署，在对等体之间建立加密的第3层隧道。相比之下，SSL VPN通常是一种远程访问技术，它为第7层应用程序提供第6层加密服务，并通过客户端上的本地重定向隧道传输其他TCP协议。从纯粹的技术角度来看，您可以同时运行IPsec和SSL VPN，除非IPsec和SSL VPN产品都使用用户计算机上安装的客户端软件，这种情况下，您可能会遇到堆栈冲突。

　　组织通常根据成本，配置和可用性来选择VPN。如果您正在寻找网络到网络VPN，唯一真正的选择是IPsec。Check Point软件技术公司，光联集团公司，思科系统公司，瞻博网络公司，北电网络公司，Sonicwall公司和WatchGuard公司都提供带有集成防火墙的IPsec VPN。如果您选择此路线，请查看供应商的客户支持跟踪记录，确定其产品是否内置了安全性，并了解更多可用的功能。

　　两者更容易管理的路径是什么?

　　IPsec VPN解决方案通常更容易管理，客户端到网关隧道形成类似于拨号网络的网络连接，本机支持短暂的TCP / UDP端口。如果您的旅行用户使用SIP(会话启动协议)或基于H.232的应用程序，则IPsec与SSL VPN相比具有明显的优势，因为它在客户端是免提的，软件运行后，用户可以无缝地与其软件和远程服务进行交互。

　　IPsec VPN是从桌面客户端到目标网络的开放式网络，但这并不意味着桌面只是一个IP路由器，由于可能存在拆分隧道问题，同时访问受信任和不受信任的网络，您可以通过IPsec网关上设置的策略来限制访问。正如SQL Slammer演示的那样，通过IPsec连接到内部网络的受蠕虫感染的主机可以感染内部网络，使用嵌入式IPsec网关防火墙或在网关和网络其余部分之间放置防火墙以获得额外保护。

　　Cisco和Nortel领先的IPsec VPN网关易于管理，提供分层组管理，与外部认证服务器的紧密集成以及网关上非常有用和详细的事件记录，在解决远程用户连接问题时，后者至关重要。

　　但是，从长远来看，IPsec VPN可能会花费更多方面成本。IPsec VPN的成本通常在10美元到25美元之间，而SSL VPN500个用户许可证的每个座位从50美元到120美元不等。乍一看，IPsec VPN看起来很有吸引力。但是，一旦考虑到部署和管理IPsec客户端的成本，在修补OS客户端之前需要进行额外的测试(记住Windows XP Service Pack 2打破了许多客户端应用程序，包括IPsec)以及不能用户的生产力损失通过IPsec连接到网关，它可能看起来并不是很明显。此外，许多IT经理发现IPsec VPN对其员工来说是非常耗时的，因为最终用户在下载软件或维护他们的连接时经常需要帮助。

　　SSL的吸引力在哪里?

　　由于具有吸引力的价格和降低的安全风险，大多数用户在构建外联网时会跳转到SSL VPN。SSL可以限制远程访问仅用户需要的资源。

　　据Meta Group称，事实上，今年每三家大公司中就有一家使用SSL VPN。研究人员表示，到2006年，80%的公司将使用SSL VPN作为一种连接手段，毫无疑问，SSL VPN在像gelato一样销售，也许最大的驱动因素是443端口的普遍性并降低了管理开销。

　　随身携带笔记本电脑，家庭，客户网站，咖啡店以及通过TCP 443(默认HTTPS端口)的Internet访问应该可用，除非您在具有严格出口策略的网络上。借助SSL VPN无处不在的访问，任何具有浏览器和Internet访问权限的计算机都可以成为客户端。我们不相信大多数组织希望在公共信息亭向用户开放他们的关键业务应用程序，但能够让远程用户或旅行用户访问他们的Web邮件和其他应用程序是令人信服的。

　　几乎所有SSL VPN产品都支持并鼓励严格的访问控制策略。实际上，通常很难允许开放访问，添加资源时，必须定义其特定的访问权限，对于非HTTP应用程序，通常涉及快速地址/端口定义。但是，根据产品的不同，HTTP应用程序访问可以控制到URI(统一资源标识符)和用于访问资源的方法。例如，如果用户可以访问Web服务器而不是admin目录，则SSL VPN网关将不授予访问权限，从而为Web服务器权限添加了另一层保护，类似的访问控制可以应用于ftp和Windows文件共享。

　　通常，可以根据客户端的位置授予或拒绝对资源的访问，无论是在操作系统补丁上是最新的还是可以加载SSL VPN网关移动代码以进行缓存清理，高级保护功能(如URI访问控制和动态ACL(访问控制列表))因供应商而异。

　　对于需要安全访问非HTTP应用程序的用户，SSL VPN产品提供两种方法。使用所谓的“无客户端”方法，用户在其浏览器中下载Java或ActiveX组件，在本地主机地址(例如，127.0.0.1)上设置代理，并临时修改本地主机文件将主机名解析为本地主机地址。客户端在1023以下的端口上启动本地代理所需的用户访问级别和更改本地主机文件因每个产品而异，大多数都需要本地管理员访问权限。此外，SSL VPN产品很少支持UDP协议，因此请确保您牢牢掌握应用程序要求并确保SSL VPN网关支持它们，不要忽视内部开发的应用程序。

　　如果您想使用经过验证的路由，请在客户端上使用已安装的客户端，并通过SSL VPN转发敏感数据包。Aventail和Juniper支持这种方法。但是，没有任何内容可供下载或安装，您无需使用用户的权限跳过任何环节。

　　您可以同时使用IPsec和SSL VPN。如果您的主要应用程序是基于Web的，并且您只支持少数非HTTP应用程序，则SSL VPN是一个不错的选择：易用性更高，远程用户的细粒度访问控制优于IPsec产品。但是，如果您的组织必须支持更复杂的应用程序和站点到站点VPN，那么您真的无法阻止IPsec。

　　误区1： IPsec VPN打开一条不受限制的管道进入网络，这取决于VPN网关，IPsec在第3层上工作，以传输绑定到受保护网络的IP数据包。所以在某种意义上说，它是一个开放的管道，但是，大多数IPsec VPN网关都具有内部的状态包过滤防火墙，因此可以将流量限制在特定目的地，要获得相同的结果，您可以将VPN置于具有严格访问规则的DMZ中。

　　误区2： IPsec VPN与NAT不兼容。多年来，供应商一直在将IPsec流量封装到网络之前将其封装到UDP中，因此NAT问题并不像以前那样普遍。标准化NAT遍历是IKE(Internet密钥交换)2的可选组件，许多供应商采用了专有的遍历方法。

　　误区3： SSL VPN是一种无客户端VPN。这仅适用于直接HTML流量，使用移动代码组件(例如Java applet或Flash)的Web应用程序(用于连接回服务器)或非HTTP应用程序通常需要客户端浏览器组件来通过SSL VPN隧道传输流量。在许多情况下，远程用户必须以本地管理员身份登录才能动态运行组件，或者必须由管理员安装。

　　误区4： SSL VPN提供来自任何计算机的安全访问,同样,这只适用于HTML流量。许多信息亭不允许用户以管理员身份运行或将组件安装到浏览器中。此外，您真的希望您的用户将机密公司数据下载到非托管计算机吗?