IPsec vpn与SSL vpn比较与分析
2017-12-21赵菁
赵菁
摘要:IPsec vpn与SSL vpn是应用较多的vpn技术,它们在底层协议、连接方式、安全等方面存在着一定的差异,通过比较这些差异,分析了它们各自的特点,给出了企业在选择 vpn产品时的建议。
关键词:IPsec vpn;SSL vpn;比较与分析
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2017)10-0183-02
1 引言
虚拟专用网(Virtual Private Network)是一种通过共享的公共网络建立私有的数据通道,将各个需要接入这张虚拟网的网络或终端通过通道连接起来,构成一个专用的、具有一定安全性和服务质量保证的网络。按照VPN技术实现的网络层次可以分为基于数据链路层的VPN、基于网络层的VPN和基于应用层的VPN。本文讨论的IPSec VPN是基于网络层的VPN,而SSL VPN是基于应用层的VPN。基于IPSec协议的VPN技术在VPN中得到广泛应用,但是由于其存在的一些缺点,基于SSL协议的VPN出现了,本文重点比较这两种技术的特点以及适用场合。
2 IPsec vpn定义
IPSec(IP Security)协议族是IETF制定的一系列安全协议,它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSec VPN是利用IPSec隧道建立的网络层VPN。
IPSec不是一个单独的协议,而是一组协议。IPSec协议由认证头(AH,Authentication Header)、封装安全载荷(ESP,Encapsulating Security Payload)因特网密钥交换协议(Internet Key Exchange,IKE)等一系列子协议构成。IPSec安全协议(AH/ ESP)定义了如何通过在IP数据包中增加扩展头和字段来保证IP包的机密性、完整性和可认证性。IPSec密钥交换协议IKE定义了通信实体间进行身份认证、创建安全关联、协商加密算法以及生成共享会话密钥的方法。
3 SSL VPN定义
安全套接层(Secure socket Layer,SSL)协议是由Netscape公司开发的一套Internet數据安全协议,目前已广泛应用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议要求建立在传输层协议之上。SSL的优势在于它是与应用层协议独立无关的。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
4 IPSEC VPN与SSL VPN的比较
4.1 安全防护
SSL与IPSec安全协议一样,提供加密和身份验证。但是,SSL协议只对通信双方传输的应用数据进行加密,而不是对从一个主机到另一主机的所有数据进行加密,它们防护的差异如图1所示。
4.2 加密算法
4.2.1 IPSec vpn中的加密算法
ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。
一般来说IPSec使用加密算法有以下几种:DES(Data Encryption Standard),使用56bit的密钥对一个64bit的明文块进行加密;3DES(Triple Data Encryption Standard),使用三个56bit的DES密钥(共168bit密钥)对明文进行加密;AES(Advanced Encryption Standard),使用AES密钥对明文进行加密。密钥的长度分为128bit、192bit、256bit。
4.2.2 SSL vpn中的加密算法
SSLV2协议和SSLV3协议支持的加密算法包括RC4、RC2、IDEA和DES,而加密算法所用的密钥由消息散列函数MD5产生。
4.3 身份验证
SSL VPN提供单/双向/数字证书。在建立SSL连接之前,客户端和服务器之间需要进行身份认证,认证采用数字证书,可以是客户端对服务器的认证,也可以是双方进行双向认证。而IPSec VPN只提供双向数字证书身份认证。
4.4 安装
使用IPSec VPN,远程用户必须安装IPSec VPN客户端软件,并且在首次使用IPSec VPN之前,在客户端和服务器端都要手动配置一些比较复杂的网络参数和策略。而SSL VPN无需安装任何客户端软件,也无需进行任何手动配置,因为它是基于web浏览器加密的。如常见的IE、火狐、谷歌等浏览器都可以。用户只要给出用户名、密码和SSL网关的URL,即可实现与远程服务器的无逢连接。
4.5 数据安全
IPSEC VPN使用消息鉴别机制实现数据源认证服务.它的安全协议的特点是只需要在客户和网络资源边缘处建立通道。SSL的安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全.无论在内部网络还是在因特网上数据都不是透明的,即IPSEC VPN提供端到边缘的安全性,而SSL VPN提供端到端、用户到资源的安全性。另外,SSL VPN 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec VPN主要基于IP组对用户进行访问控制。
4.6 可访问性
IPSEC VPN只有已经定义好受控用户才能访问企业资源,适合于企业内部使用;而SSL VPN的用户可以实现在任何时间、任何地点访问企业资源,因此这种方式适用于企业的客户、合作伙伴、供应商访问企业资源。endprint
4.7 费用
与IPSEC VPN客户端管理费用高的缺点对比,SSL VPN 通信基于标准TCP/UDP,不受NAT 限制,能够穿越防火墙,使用户在任何地方都能够通过SSL VPN 虚拟网关代理访问内网资源,使得远程安全接入更加灵活简单,大大降低了企业部署维护VPN 的费用。
4.8 易用性
IPSEC VPN需要培训,SSL VPN简单友好。
4.9 应用支持
IPSEC VPN支持所有基于IP协议的服务,SSL VPN提供对HTTP/TELNET/NMTP/FTP协议的支持。
4.10 可伸缩性
IPSec VPN比较困难,SSL VPN容易配置和扩展。
4.11 应用场景
IPSEC VPN的主要应用场景包括3个方面:第一,网关(如防火墙)之间。此种应用场景也叫点到点或点到多点IPSec VPN,主要用于公司总部与分支机构之间建立IPSec隧道,从而实现局域网之间互通。第二,主机与网关之间。主要用于出差员工通过互联网需要访问总部资源时。第三,主机与主机之间。主机之间通过互联网进行数据传输,需要加密时,加解密操作在主机侧完成。这种类型在实际应用中几乎不用。
SSL VPN网关多部署于企业的网络出入口,应用服务器之前,介于远程用户和服务器之间,控制两者的通信。
5 结语
本文从十一个方面对IPSEC VPN与SSL VPN进行了比较分析,它们的保護范围不同,IPSEC VPN支持在IP层及以上协议层进行数据安全保护,而SSL VPN支持对传输层以上协议层进行数据安全保护。IPSec协议基于策略对数据包进行安全保护,如对某业务数据流采用某类保护措施,而对另一类业务数据流采用其它类保护措施,或不进行任何保护措施。而SSL VPN解决了IPSEC VPN中存在的如客户端管理费用高、NAT问题、安全风险、无基于应用的用户认证授权审计等问题。具有无客户端的便捷部署、应用层接入的安全保护、提升了企业延展的效率等技术优势。不过这种方案的问题在于,SSL VPN的加密级别通常不如IPSec VPN高。所以,尽管部署和支持成本比较低,但SSL VPN仍有其缺点。同时,SSL VPN还具有一定的局限性,只能访问通过网络浏览器连接的资源。两种技术在应用上具有很大的互补性。企业在选购VPN产品的时候,可以针对这些优缺点,结合企业自身的应用合理的选择合适的VPN产品。
参考文献
[1]徐家臻.基于IPSec与基于SSL的VPN的比较与分析[J].计算机工程与设计,2004,25(4):586-588.
[2]尹淑玲.SSLVPN技术及应用研究[J]计算机技术与发展,2013,23(6):129-131.endprint