IPSEC VPN 與 SSL VPN 兩種VPN 風險比較
虛擬專用網路(VPN)已經成為了公司合作伙伴或員工遠端安全訪問公司資源的事實標準。在本文中,我們將試圖解釋兩種特定的VPN型別,即IPSec VPN和SSL VPN,以及這兩種型別應該如何選擇。
然而,在深入研究這兩個不同型別之前,需要首先對VPN技術進行一個簡要的概述。VPN是指有利於遠端訪問公司資源的一系列技術。這種技術的主要使用者,是試圖在家或者其他公共場所訪問公司資源的公司僱員,以及在公司的基礎架構內支援各種系統的合作伙伴或第三方。VPN一般通過在遠端站點和公司網路之間建立一個加密通道的方式,利用公共長途IP網路來進行資料傳輸,這些遠端站點包括僱員的膝上型電腦或者第三方系統。
關鍵技術
當前,最為普及的兩種VPN技術分別是基於傳統網路安全協議(IPsec)的VPN技術和安全套接字層(SSL)VPN技術,前者主要作用於網路層,而後者主要作用於應用層。它們的不同之處在於:使用的底層技術不同,所服務的功能不同,以及潛在的VPN安全風險不同。
IPsec最初的設計是提供點到點的,在遠端站點和中央辦公室資源之間進行不間斷的連線。在這種情況下,客戶端可以是分公司或者供應商。這個協議被設計為工作在網路堆疊的更底層(第3層,網路層),並可以用來傳輸任何基於IP的協議報文,而不用理會應用程式所產生的流量。隨著移動辦公時代的到來,IPsec已經得到擴充套件,使用者通過使用一個安裝在移動裝置上的專用VPN應用程式(客戶端)就可以進行遠端訪問。
另一方面,SSL VPN在設計時就考慮到了移動辦公。它的預期目標是提供一個無縫連線的、無客戶端的遠端訪問方式。這樣,SSL VPN可以被看做一個應用程式代理,遠端使用者使用瀏覽器就可以以某種粒度訪問公司的特定資源,而不再需要安裝客戶端。
優勢與劣勢
IPsec的關鍵優勢在於它在站點之間提供一個永久連線的能力。工作在網路層(網路堆疊的第3層)也使其與應用程式無關:任何基於IP的協議都能夠通過它進行傳輸。這使得IPsec相對於那些昂貴的租用線路或者專用線路,是一個相當有吸引力的替代品。它也可以作為一個備份鏈路,即在連線遠端站點和中央辦公室的主租用線路或專用線路崩潰時起作用。
然而,IPsec中與應用程式無關的設計也是它的弱點。雖然它提供了認證、授權和加密,同時還基本上把公司網路擴充到任何遠端使用者,但是它沒有能在一定粒度級別上限制對資源的訪問。一旦隧道建立,遠端使用者通常可以訪問公司的任何資源,就像他們是直接連線到公司網路一樣。因為移動辦公需要允許諸如智慧手機和家用電腦等非託管的IT裝置訪問公司資源,所以這些安全問題顯得更加嚴重。IT部門對這些裝置沒有任何可視性和控制權,而且不能保證這些裝置符合通常在託管裝置上實施的安全水平。
另外,IPsec也需要更多的維護。除了需要建立終止通道的裝置,還需要額外的配置和維護來支援遠端使用者群。在公司使用網路地址解析(NAT)的情況下,還需要特殊的配置確保IPsec與NAT設定充分協調。
相比之下,SSL VPNs從設計的一開始就支援遠端訪問。它們不需要安裝任何特別的軟體。遠端訪問是通過一個基於瀏覽器的使用安全套接層(SSL)的會話實現的。SSL VPNs還為企業提供粒度級訪問控制的能力。特定的身份驗證和訪問應用程式的授權方案可以被限定在一個特定的使用者群。內建的日誌記錄和稽核能力能處理各種合規要求。SSL VPNs還具備在連線到企業的遠端裝置上執行主機合規性檢查的能力,以驗證它們配置了合適的安全軟體,並安裝了最新的補丁。
但這並非意味著SSL VPNs就是所有IPsec缺點的靈丹妙藥。當一個遠端站點需要與主辦公室建立不間斷連線時,SSL VPN不是合適的解決方案。與應用程式無關的IPsec能以最小的代價支援大量傳統的協議和傳統客戶/服務應用程式。這與圍繞基於Web應用構建的SSL VPNs是不同的。許多SSL VPNs通過在遠端裝置上安裝一個Java或者基於ActiveX的代理控制元件來解決這個缺點。通常情況下,在遠端裝置成功通過SSL VPN裝置的驗證後,相關的安裝會準確無誤的實現,但是值得注意的是,ActiveX和Java都有其自身的安全缺陷,這也是攻擊者通常試圖利用的一點。
IPsec VPN還是SSL VPN?
在企業中,每種VPN方案都有其用處。理想情況下,因為SSL和IPsec VPNs服務於不同的目的且具有優勢互補的特點,所以它們都應該被採用。IPsec應該在需要與遠端辦公地點或者合作伙伴/供應商建立不間斷連線時使用。這種情況下,粒度訪問控制限制和缺失的主機檢查能力應該通過一個網路訪問控制系統來增加,這就可以確保只有通過驗證的遠端主機才能連線到企業。在粒度訪問控制能力,稽核和日誌記錄,以及安全策略控制等因素至關重要的移動辦公情況下,企業應該主要使用SSL VPNs作為遠端訪問方案。但是請記住,不管你的VPN選擇或特定需要如何,一個VPN必須更新,測試並進行效能檢測,而且它是作為利用綜合性策略和各種網路安全技術的深度防護戰略的一部分。
相關文章
- 解析天翼雲IPsec VPN和SSL VPN的區別
- IPSec VPN安全應用系統
- 記IPSec VPN對接故障的排查
- New way to deploy SSL VPN in LinuxLinux
- CentOS快速搭建IPsec/L2TP VPNCentOS
- IPsec_VPN實現技術【轉載】
- IPsec在企業網中的應用!(vpn)
- VPN隧道協議-GRE、L2TP、IPSEC協議
- 7、DSVPN
- MPLS VPN技術概述-VeCloudMPLS VPN技術概述-VeCloudCloud
- 基於Linux和IPSec的VPN閘道器Linux
- H3C MSR 20-20 IPsec VPN 配置
- IPSec ×××與SSL ×××優劣比較
- 【網路安全】VPN是什麼?VPN與堡壘機有啥區別?
- VPN中隧道模式與傳輸模式的簡要比較模式
- openVPN 安裝
- OpenVpn的搭建
- CentOS 搭建openVPNCentOS
- centos下安裝openvpn———客戶端client.ovpnCentOS客戶端client
- rancher安裝Openvpn
- CentOS連線OpenVPNCentOS
- vpn登陸指令碼指令碼
- VPN技術型別型別
- OpenVPN安裝配置
- 【openvpn】轉載:爛泥:ubuntu 14.04搭建OpenVPN伺服器Ubuntu伺服器
- MPLS-VPN的幾種備份方式——VecloudCloud
- openvpn安裝使用文件
- Cisco路由器VPN配置路由器
- Tungsten Fabric入門寶典丨說說L3VPN及EVPN整合
- VPN閘道器連線多地域線下辦公網路(VPN-HUB)
- H3C和CISCO裝置之間的ipsec vpn 配置例項
- mpls l2vpn 原理--VeCloudCloud
- OpenVPN簡單部署筆記筆記
- VPN憑證嗅探工具fiked
- IPSECVPN技術淺談
- Proxy、SSH 和 VPN 的區別
- 郵件系統VPN搭建方案
- linux 命令列連線 VPNLinux命令列