Juniper VPN解决方案 下载本文

ArrayNetworks

1.3 IPsec VPN和SSL VPN的比较

目前,由于VPN(虚拟专网)比租用专线更加便宜、灵活,所以有越来越多的公司采用VPN,连接在家工作和出差在外的员工,以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上,通过“隧道”协议,在发端加密数据、在收端解密数据,以保证数据的私密性。

如在企业分部与企业总部之间,及企业员工与企业核心数据之间,都可建立起端到端的逻辑隧道(Tunnel),所谓“隧道”是指其中所传递的数据都经过特殊包装和加密处理,从而能与同一物理链路中其它数据区别开来,避免被不法用户所窃取,只有在隧道的始末两端才可能添加和去除这些特殊包装以得到真实的数据。在通过公共网络(如Internet)传递业务数据时,这项技术尤为必要。

如下图:

Company Confidential Page 5 of 28

ArrayNetworks

现在大多数远程安全访问解决方案是采用IPSec VPN方式,应用最广泛的组网结构是在站点到站点的vpn组网方式。IPSec是网络层的VPN技术,表示它独立于应用程序。IPSec以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSec建立加密隧道后,就可以实现各种类型的一对多的连接,如Web、电子邮件、文件传输、VoIP等连接,并且,每个传输必然对应到VPN网关之后的相关服务器上。在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。IPSec VPN的诱人之处包括,它采用了集中式安全和策略管理部件,从而大大缓解了维护需求。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问,管理成本很高。IPSec VPN在解决远程安全访问时具有几个比较大的缺点,如:

? 需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的

客户端程序, 由于在每一台客户使用的计算机上安装了管理软件,软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务。 ? IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关代理

设备(proxy)的影响;

? IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂; ? 采用隧道方式,使远程接入的安全风险增加;由于IPSec VPN在连接的

两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此IPSec VPN会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用。用户也许不能访问每一台服务器,但是他或她能够看到,由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁, ? 不适合用作移动用户,如家庭、网吧,宾馆等上网用户; ? 应用层接入控制不灵活。 ? 管理IPSec的客户端费用较高。

Company Confidential

Page 6 of 28

ArrayNetworks

? IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的

VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。客户软件带来了人力开销,而许多公司希望能够避免;某些安全问题也已暴露出来,这些问题主要与建立开放式网络层连接有关。

要真正建立IPSec VPN,单单有客户端软件是很不够的。如果没有防火墙和其他的安全软件,客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用,他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍,而且后果也越来越严重。例如,如果雇员从家里的计算机通过公司VPN访问企业资源,在他创建隧道前后,他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏,那么,病毒就很有可能经过VPN在企业局域网内传播。另外,如果黑客侵入了这台没有保护的PC,他就获得了经过IPSec VPN隧道访问公司局域网的能力。因此,在建设IPSec VPN时,必须购买适当的安全软件,这个软件的成本必须考虑进去也是很高的。

现在,Web成为标准平台已势不可挡,越来越多的企业开始将ERP、CRM、SCM移植到Web上。SSL VPN将是Web应用热潮的直接受益者,它被认为是实现远程安全访问Web应用的最佳手段。采用SSL VPN的第一项好处就是降低成本。虽然购买软件或硬件的费用不一定便宜,但部署SSL VPN很便宜。安装了这类软件或硬件,使用者基本上就不需要IT部门的支持了,只要从其PC机上的浏览器向公司网注册即可。SSL连接也更稳定。因为IPSec VPN是网络层连接,故容易中断。据Infonetics最近发表的报告表明, SSL将不断获得吸引力。到2005年,74%的移动员工将依赖VPN(比2003年增加15%),预计增长率主要来自SSL,这种IPSec以外的替代方案避开了部署及管理必要客户软件的复杂性和人力需求。最终用户避免了携带电脑,通过与因特网连接的任何设备就能获得访问,SSL更容易满足大多数员工对移动连接的需求。用户通过与因特网连接的任务设备实现连接,并借助于SSL隧道获得安全访问。虽然这需要在企业防火墙后面增添硬件,但企业只要管理一种设备,不必维护、升级及配置客户软件。

Company Confidential Page 7 of 28

ArrayNetworks

SSL VPN指的是以HTTPS为基础的VPN,但也包括可支持SSL的应用程序,例如,电子邮件客户端程序,如Microsoft Outlook或Eudora。SSL VPN经常被称之“无客户端”,因为目前大多数计算机在出货时,都已经安装了支持HTTP和HTTPS(以SSL为基础的HTTP)的Web浏览器,所以SSL VPN可以通过Web浏览器实现无客户端的远程访问。目前,SSL已由TLS传输层安全协议(RFC 2246)整合取代,它工作在TCP之上。如同IPSec/IKE一样,它必须首先进行配置,包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器,还可选择性地通过签名或其他方法让服务器验证客户端的合法性,接着可安全地产生会话密钥进行信息VPN建在互联网的公共网络架构上,通过“隧道”协议,在发端加密数据、在收端解密数据,以保证数据的私密性。加密并提供完整性检查。SSL可利用各种公钥(RSA、DSA)算法、对称密钥算法(DES、3DES、RC4)和完整性(MD5、SHA-1)算法。据Meta公司预测,到2006年,80%的公司都会使用SSL VPN作为远程接入的手段之一。

Company Confidential Page 8 of 28