IPSec VPN与SSL VPN技术对比
本文就IPSec VPN与SSL VPN技术进行详细的比较,以便各界用户能够更好的了解VPN的技术,选择合适的VPN产品。
有别于传统VPN的另外一种VPN实现技术是采用基于SSL的VPN。这种基于SSL的VPN提供了与IPSec VPN近似的安全性。由于讨论IPSec VPN的文章比较多,所以笔者在此就不再赘述,只是阐述SSL VPN的工作原理和两种技术的对比。
SSL VPN如何工作
SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。
SSL VPN的劣势
由于是一种相对来说还没有大量应用的技术,目前能够提供相应产品和服务的厂商也不多,那么SSL VPN这种技术与IPSec VPN相比,究竟有什么劣势呢?笔者在这里做一个简要的分析。
SSL VPN应用的局限性很大,只适用于数据库-应用服务器-Web服务器-浏览器这一种模式。在部署方式、保护范围、认证方式上限制很多,这也是SSL VPN市场有限的原因之一
另外,具体到我们国家,国家商用密码管理部门有明确的规定(比如国务院273号令),表明我国在政策上就不允许使用那些采用DES的SSL VPN技术。
SSL VPN的问题
1、SSL VPN的认证方式比较单一,只能采用证书,而且一般是单向认证。支持其它认证方式往往要进行长时间的二次开发。IPSec VPN认证方式更为灵活(口令、RADIUS、令牌等)。
2、SSL VPN只能进行认证和加密,不能实施访问控制,建立隧道后,管理员对用户不能进行任何的限制。而集成防火墙的VPN则可以根据用户的身份和角色,在其访问内部资源(主机、数据库)进行访问控制和安全审计,这也是用户最为关心的一点。
3、要实现网络-网络的安全互联,只能考虑采用IPSecVPN。
4、应用层局限性
SSL VPN的另一个主要局限在于用户只能访问基于Web服务器的应用,而IPSec VPN却几乎可以为所有的应用提供访问,包括客户端/服务器模式和某些传统的应用。
一个企业往往有很多种应用(OA、财务、销售管理、ERP,很多并不基于Web),单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果(比如网上邻居,而SSL VPN只能保护应用层协议,如WEB、FTP等),保护更多的应用这点,SSL VPN根本做不到。
5、SSL VPN需要CA的支持,企业必须外购或自己部署一个小型的VPN系统。对于一个企业来说(哪怕是IT企业)证书的管理也是一件相当复杂的工作。
6、性能
SSL VPN是应用层加密,性能比较差。目前,VPN可以达到千兆甚至接近10G,而SSL VPN由于是应用层加密,即使使用加速卡,通常只能达到300M左右的性能。
基于以上分析,SSL VPN所具有的先天局限性导致了在大范围部署的VPN方案中,SSL VPN远远不能解决用户的需求,所以希望用户在选择产品的时候能够认真的考虑并仔细选择。 文章录入:csh 责任编辑:csh
相关推荐
-
IPSec VPN与SSL VPN技术对比
本文就IPSec VPN与SSL VPN技术进行详细的比较,以便各界用户能够更好的了解VPN的技术,选择合适的VPN产品. 有别于传统VPN的另外一种VPN实现技术是采用基于SSL的VPN.这种基于SSL的VPN提供了与IPSec VPN近似的安全性.由于讨论IPSec VPN的文章比较多,所以笔者在此就不再赘述,只是阐述SSL VPN的工作原理和两种技术的对比. SSL VPN如何工作 SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器.如果用户希望安全地连接到公司网络上
-
VPN技术谁领风骚?IPSec还是SSL?
SSL VPN网关作为一种新兴的VPN技术,与传统的IPSec VPN技术各具特色,各有千秋.SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势.这两种产品将在VPN市场上长期共存,优势互补.在产品的表现形式上,两者有以下几大差异: 1. IPsec VPN多用于"网-网"连接,SSL VPN用于"移动 客户-网"连接.SSL VPN的移动用户使用标准的浏览器,无需安
-
VPN技术部分问题解答
1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议? CISCO都提供这两种方案.CISCO没有着重强调那一个.第二层隧道协议主要用在访问VPN方案,而第三层隧道协议则对Intranet和Extranet提供VPN方案支持.第三层隧道协议同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet大规模的访问解决方案. 2.什么是第三层隧道? 第三层隧道不是一个新的技术.RFC1701中定义的GRE已经存在很长时间了.CISCO在自从ios版本9.21就支持该技术.
-
BGPMPLS VPN的实现技术
BGP/MPLS VPN的实现技术 摘要 MPLS VPN技术是未来构建VPN的发展方向,越来越受到客户和运营商的青睐.BGP/MPLS VPN是第三层MPLS VPN技术.本文在对VRF.RD.RT几个重要概念进行解释之后,对BGP/MPLS VPN的数据转发过程和路由信息分发过程进行了较为详细的叙述.最后通过分析BGP/MPLS VPN的特点,分析了其市场前景. 关键词 多协议标签交换(MPLS) 虚拟局域网(VPN) 一.VPN技术概述 VPN(Virtual Private Networ
-
用KWF打造与众不同的VPN服务器
大家常用Windows系统的"路由和远程访问"组件架设VPN服务器,但此方法配置较为复杂.如果能将网络防火墙和VPN功能集成在一起,就可以简化架设过程,并且还可以利用防火墙策略增强VPN服务的安全.Kerio Winroute Firewall(以下简称KWF)就是这样一款工具,它内置了VPN服务器,并且还可以利用KWF的内置功能增强安全.方便VPN管理,如何利用KWF架设VPN服务器,下面就一起来看吧! 安装VPN服务器 KWF内置了VPN服务,并且VPN服务的安装过程非常简单,不需
-
巧用KWF 打造与众不同的VPN服务器
大家常用Windows系统的"路由和远程访问"组件架设VPN服务器,但此方法配置较为复杂.如果能将网络防火墙和VPN功能集成在一起,就可以简化架设过程,并且还可以利用防火墙策略增强VPN服务的安全.Kerio Winroute Firewall(以下简称KWF)就是这样一款工具,它内置了VPN服务器,并且还可以利用KWF的内置功能增强安全.方便VPN管理,如何利用KWF架设VPN服务器,下面就一起来看吧! 安装VPN服务器 KWF内置了VPN服务,并且VPN服务的安装过程非常简单,不
-
架设linux下最简单的VPN系统
本文是根据我公司的实际应用情况写的,但是稍加修改即可应用到很多地方,系统运行的两个月来,证明还是安全可靠稳定的,呵... 我公司在北京,但是主要设备都在南京电信的一个主要IDC里,那边有我们的两个PIX525UR(做了故障切换),上面做了严格的访问控制,因此,为了方便公司里的移动,出差及在家的员工办公,才有了做VPN系统的想法.好使具有相应权限的使用者从个人PC通过支持MPPE128的加密隧道连接至公司的VPN Server,再通过VPN Server将数据转发到南京IDC的我公司应用网络,其间
-
VPN实验小结
网络上关于vpn的原理的文章很多,这里就不再罗嗦了. 下面是我最近做vpn实验的小结: (一)vpn access server的配置 实验网络拓扑: pc(vpn client 4.01)---switch---router1720 (vpn access server) pc配置: ip:10.130.23.242/28 1720接口ip: f0:10.130.23.246/28 lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin
-
花生壳与Windows 2003单网卡用花生壳实现VPN的图文教程第1/3页
一.问题的提出 如图1所示,在单位有个私有地址为192.168.0.0的网络,各电脑是通过ADSL共享方式接入Internet,在家中有台电脑也通过ADSL访问Internet,现在想在家中随时安全地访问单位192.168.0.2这台机器,实现方法很多,最为安全的是通过VPN. 二.什么是VPN 以本例来说就是现在单位192.168.0.2这台机器上设置好VPN服务,在家中通过VPN客户端访问单位这台机器,建立连接后,这两台机器通信时就像在局域网中一样,比如:要在192.168.1.10这台电脑
-
win2003 开通VPN教程
需要VPN首先你要确定你服务器某服务要启动.. 1.window自带的防火墙windows firewall/internet connection sharing (ICS) 停止 2.远程注册表服务Remote Registry 开启 3.server服务Server 开启 4.route路由服务Routing and Remote Access开启 5.Workstation 服务 开启 把应该开的服务都开了后,下面开始设置 点击开始菜单 – 管理工具 – 路由和远程访问,在管理工具中打开