SSLVPN 与IPSec VPN 优劣势的比较 首先还是先来回顾一下传统的IPSec VPN 方案。 IPSec 的英文全名为“Internet Protocol Security”,中文名为“因特网安全协议”,这个安全协议是VPN 的基本加密协议,它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方要建立 IPSec 通道,首先要采用一定的方式建立通信连接。因为IPSec 协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式,这包括如加密运算法则和身份验证方法类型等。在 IPSec 协议中,一旦 IPSec 通道建立,所有在网络层之上的协议在通信双方都经过加密,如 TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa 等,而不管这些通道构建时所采用的安全和加密方法如何。 1. IPSec 的主要不足 (1)安全性能高,但通信性能较低 因为IPSec 安全协议是工作在网络层的,不仅所有网络通道都是加密的,而且在用户访问所有公司资源时,就像采用专线方式与公司网络直接物理连接一样。你可以或者不想让你的合作伙伴或者远程员工成为您的网络一部分,IPSec 不仅使你正在通信的那一很小的部分通道加密,而是对所有通道进行加密。所以在在安全性方面比SSL VPN 好 ,但整 体 通信性能却 因安全性受 到 了 影 响 ,不过安全性方面始 终 高于 性能的,这也 是目 前IPSec VPN 仍 为主流 的原 因之一。 (2)需 要客 户端 软 件 在 IPSec VPN 中需 要在每 一客 户端 安装 特殊 用途 的客 户端 软 件 ,用这些软 件 来替换 或者增 加客 户系 统的TCP/IP 堆 栈 。在许 多 系 统中,这就可能带 来了 与其 他 系统软 件 之间 兼 容 性问题 的风 险 ,例 如木 马 程序 所带 来的安全性风 险 ,特别 是在这些客 户端 软 件 是从 网站 上下载 ,而且不是经过专门 的IT 人 员安装 的情 况 下。解决 IPSec 协议的这一兼 容 性问题 目 前 还缺 乏 一致 的标 准 ,几乎 所有的IPSec 客 户端 软 件 都是专有的,不能与其 它兼 容 。 在一些情 形 中,IPSec 安全协议是在运行在网络硬 件 应 用中,在这种解 决 方案中大 多 数要求 通信双方所采用的硬 件 是相 同 的,IPSec 协议在硬 件 应 用中同 样存 在着 兼 容 性方面的问题 。 并 且,IPSec 客 户端 软 件 在膝 上电 脑 或者桌 面系 统中的应 用受...
VIP
