SSL ×××與IPSec ×××是目前流行的兩類Internet遠端安全接入技術,它們具有類似功能特性,但也存在很大不同。
SSL的“零客戶端”解決方案被認為是實現遠端接入的最大優勢,這對缺乏維護大型IPSec配置資源的使用者來說的確如此。但SSL方案也有不足, 它僅支援以代理方式訪問基於Web或特定的客戶端/伺服器的應用。由伺服器直接操縱的應用,如Net Meeting以及一些客戶書寫的應用程式,將無法進行訪問。
IPSec方案安全級別高
基於Internet實現多專用網安全連線,IPSec ×××是比較理想的方案。IPSec工作於網路層,對終端站點間所有傳輸資料進行保護,而不管是哪類網路應用。它在事實上將遠端客戶端“置於”企業內部網,使遠端客戶端擁有內部網使用者一樣的許可權和操作功能。
IPSec ×××要求在遠端接入客戶端適當安裝和配置IPSec客戶端軟體和接入裝置,這大大提高了安全級別,因為訪問受到特定的接入裝置、軟體客戶端、使用者認證機制和預定義安全規則的限制。
IPSec ×××還能減輕網管負擔。如今一些IPSec客戶端軟體能實現自動安裝,不需要使用者參與。×××伺服器能夠為終端使用者接入裝置自動安裝和配置客戶端軟體包,因而無論對網管還是終端使用者,安裝過程都大為簡化。
IPSec ×××應用優勢
SSL使用者僅限於運用Web瀏覽器接入,這對新型基於Web的商務應用軟體比較合適,但它限制了非Web應用訪問,使得一些檔案操作功能難於實現,如檔案共享、預定檔案備份和自動檔案傳輸。使用者可以通過升級、增加補丁、安裝SSL閘道器或其它辦法來支援非Web應用,但實現成本高且複雜,難以實現。IPSec ×××能順利實現企業網資源訪問,使用者不一定要採用Web接入(可以是非Web方式),這對同時需要以兩種方式進行自動通訊的應用程式來說是最好的方案。
IPSec方案能實現網路層連線,任何LAN應用都能通過IPSec隧道進行訪問,因而在使用者僅需要網路層接入時,IPSec是理想方案。如今有的機構同時採用IPSec和SSL遠端接入方案,IT主管利用IPSec ×××實現網路層接入,進行網路管理,其他人員要訪問的資源有限,一般也就是電子郵件、傳真,以及接入公司內部網(Web瀏覽),因而採用SSL方案。這正是充分利用了IPSec的網路層接入功能。
IPSec ×××與SSL ×××優劣比較
IPSec ×××和SSL ×××各有優缺點。IPSec ×××提供完整的網路層連線功能,因而是實現多專用網安全連線的最佳選項;而SSL ×××的“零客戶端”架構特別適合於遠端使用者連線,使用者可通過任何Web瀏覽器訪問企業網Web應用。SSL ×××存在一定安全風險,因為使用者可運用公眾Internet站點接入;IPSec ×××需要軟體客戶端支撐,不支援公共Internet站點接入,但能實現Web或非Web類企業應用訪問。
Meta Group認為,不能簡單地給IPSec與SSL方案的優劣下定論。客戶在關注應用方案本身的同時,還應考慮遠端機器外圍裝置的安全性,如是否配置有個人防火牆和反病毒防護系統。IT主管需要綜合評估商務應用需求,以決定採納哪類×××策略。
SSL的“零客戶端”解決方案被認為是實現遠端接入的最大優勢,這對缺乏維護大型IPSec配置資源的使用者來說的確如此。但SSL方案也有不足, 它僅支援以代理方式訪問基於Web或特定的客戶端/伺服器的應用。由伺服器直接操縱的應用,如Net Meeting以及一些客戶書寫的應用程式,將無法進行訪問。
IPSec方案安全級別高
基於Internet實現多專用網安全連線,IPSec ×××是比較理想的方案。IPSec工作於網路層,對終端站點間所有傳輸資料進行保護,而不管是哪類網路應用。它在事實上將遠端客戶端“置於”企業內部網,使遠端客戶端擁有內部網使用者一樣的許可權和操作功能。
IPSec ×××要求在遠端接入客戶端適當安裝和配置IPSec客戶端軟體和接入裝置,這大大提高了安全級別,因為訪問受到特定的接入裝置、軟體客戶端、使用者認證機制和預定義安全規則的限制。
IPSec ×××還能減輕網管負擔。如今一些IPSec客戶端軟體能實現自動安裝,不需要使用者參與。×××伺服器能夠為終端使用者接入裝置自動安裝和配置客戶端軟體包,因而無論對網管還是終端使用者,安裝過程都大為簡化。
IPSec ×××應用優勢
SSL使用者僅限於運用Web瀏覽器接入,這對新型基於Web的商務應用軟體比較合適,但它限制了非Web應用訪問,使得一些檔案操作功能難於實現,如檔案共享、預定檔案備份和自動檔案傳輸。使用者可以通過升級、增加補丁、安裝SSL閘道器或其它辦法來支援非Web應用,但實現成本高且複雜,難以實現。IPSec ×××能順利實現企業網資源訪問,使用者不一定要採用Web接入(可以是非Web方式),這對同時需要以兩種方式進行自動通訊的應用程式來說是最好的方案。
IPSec方案能實現網路層連線,任何LAN應用都能通過IPSec隧道進行訪問,因而在使用者僅需要網路層接入時,IPSec是理想方案。如今有的機構同時採用IPSec和SSL遠端接入方案,IT主管利用IPSec ×××實現網路層接入,進行網路管理,其他人員要訪問的資源有限,一般也就是電子郵件、傳真,以及接入公司內部網(Web瀏覽),因而採用SSL方案。這正是充分利用了IPSec的網路層接入功能。
IPSec ×××與SSL ×××優劣比較
IPSec ×××和SSL ×××各有優缺點。IPSec ×××提供完整的網路層連線功能,因而是實現多專用網安全連線的最佳選項;而SSL ×××的“零客戶端”架構特別適合於遠端使用者連線,使用者可通過任何Web瀏覽器訪問企業網Web應用。SSL ×××存在一定安全風險,因為使用者可運用公眾Internet站點接入;IPSec ×××需要軟體客戶端支撐,不支援公共Internet站點接入,但能實現Web或非Web類企業應用訪問。
Meta Group認為,不能簡單地給IPSec與SSL方案的優劣下定論。客戶在關注應用方案本身的同時,還應考慮遠端機器外圍裝置的安全性,如是否配置有個人防火牆和反病毒防護系統。IT主管需要綜合評估商務應用需求,以決定採納哪類×××策略。