資源描述:
《ipsecvpn與sslvpn》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1、虛擬專用網(wǎng)絡(luò)SSLVPN與IPSecVPN簡(jiǎn)介虛擬專用網(wǎng)絡(luò)(VPN:VirtualPrivateNetwork):通過公用網(wǎng)絡(luò)(如Internet)建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN有多種,每種都能滿足特定的需求。下面是三種主要的VPN:
2、1、接入VPN:接入VPN讓移動(dòng)辦公者和小型辦公室/家庭辦公室SOHO能通過基礎(chǔ)的共享設(shè)施遠(yuǎn)程接入總部的內(nèi)部網(wǎng)和外聯(lián)網(wǎng)。l“外聯(lián)網(wǎng)(Extranet)”是不同單位間為了頻繁交換業(yè)務(wù)信息,而基于互聯(lián)網(wǎng)或其他公網(wǎng)設(shè)施構(gòu)建的單位間專用網(wǎng)絡(luò)通道。因?yàn)橥饴?lián)網(wǎng)涉及到不同單位的局域網(wǎng),所以不僅要確保信息在傳輸過程中的安全性,更要確保對(duì)方單位不能超越權(quán)限,通過外聯(lián)網(wǎng)連入本單位的內(nèi)網(wǎng)。2、內(nèi)部網(wǎng)VPN:內(nèi)部網(wǎng)VPN使用專用連接通過共享基礎(chǔ)設(shè)施將地區(qū)性辦事處和遠(yuǎn)程辦公室與總部的內(nèi)部網(wǎng)絡(luò)連接起來。內(nèi)部網(wǎng)VPN與外聯(lián)網(wǎng)VPN區(qū)別在于,前者只允許企業(yè)的雇員訪問。3、外聯(lián)網(wǎng)VPN:處聯(lián)網(wǎng)VPN使用專用連接通過共享基礎(chǔ)設(shè)施
3、將商業(yè)伙伴與總部網(wǎng)絡(luò)連接起來。外聯(lián)網(wǎng)VPN與內(nèi)部網(wǎng)VPN的區(qū)別在于,前者允許企業(yè)以外的用戶訪問虛擬專用網(wǎng),可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上,一個(gè)企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)這也將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理SSLVPN與IPSecVPNSSLVPN提供安全、可代理連接,只有經(jīng)認(rèn)證的用戶才能對(duì)資源進(jìn)行訪問。SSLVPN能對(duì)加密隧道進(jìn)行細(xì)分,從而使得終端用戶能夠同時(shí)接入Internet和訪問內(nèi)部企業(yè)網(wǎng)資源,也就是說它具備可控功能。另外,SSLVPN還
4、能細(xì)化接入控制功能,易于將不同訪問權(quán)限賦予不同用戶,實(shí)現(xiàn)伸縮性訪問;這種精確的接入控制功能對(duì)遠(yuǎn)程接入IPSecVPN來說幾乎是不可能實(shí)現(xiàn)的。IPSecVPN通過在兩站點(diǎn)間創(chuàng)建隧道提供直接(非代理方式)接入,實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的透明訪問;一旦隧道創(chuàng)建,用戶PC就如同物理地處于企業(yè)LAN中。就通常的企業(yè)高級(jí)用戶(PowerUser)和LAN-to-LAN連接所需要的直接訪問企業(yè)網(wǎng)絡(luò)功能而言,IPSec無可比擬。然而,典型的SSLVPN被認(rèn)為最適合于普通遠(yuǎn)程員工訪問基于Web的應(yīng)用。SSLVPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec,這項(xiàng)不需要客
5、戶軟件的功能正是一個(gè)重要因素。因?yàn)樽罱K用戶避免了攜帶便攜式電腦,通過與因特網(wǎng)連接的任何設(shè)備就能獲得訪問,SSL更容易滿足大多數(shù)員工對(duì)移動(dòng)連接的需求。但SSLVPN也有其缺點(diǎn)。業(yè)內(nèi)人士認(rèn)為,這些缺點(diǎn)通常涉及客戶端安全和性能等問題。對(duì)E-mail和Intranet而言,SSLVPN是很好;但對(duì)需要較高安全級(jí)別(SSLVPN的加密級(jí)別通常不如IPSecVPN高)、較為復(fù)雜的應(yīng)用而言,就需要IPSecVPN。IPSec是提供站點(diǎn)到站點(diǎn)連接的首要工具,通過這種連接,你可以在廣域網(wǎng)(WAN)上實(shí)現(xiàn)基礎(chǔ)設(shè)施到基礎(chǔ)設(shè)施的通信。而SSLVPN不需要客戶軟件的特性有助于降低成本、減緩遠(yuǎn)程桌面維護(hù)方面的擔(dān)憂。但是,
6、SSL的局限性在于,只能訪問通過網(wǎng)絡(luò)瀏覽器連接的資源。所以,這要求某些應(yīng)用要有小應(yīng)用程序,這樣才能夠有效地訪問。如果企業(yè)資產(chǎn)或應(yīng)用沒有小應(yīng)用程序,要想連接到它們就比較困難。因而,你無法在沒有客戶軟件的環(huán)境下運(yùn)行,因?yàn)檫@需要某種客戶軟件豐富(Client-Rich)的交互系統(tǒng)。SSL這種方案可以解決OS客戶軟件問題、客戶軟件維護(hù)問題,但肯定不能完全替代IPSecVPN,因?yàn)樗麄兏髯运鉀Q的是幾乎沒多少重疊的兩種不同問題:1、SSL優(yōu)勢(shì)其實(shí)主要集中在VPN客戶端的部署和管理上,我們知道SSL無需安裝客戶端,主要是由于瀏覽器內(nèi)嵌了SSL協(xié)議,也就是說是基于B/S結(jié)構(gòu)的業(yè)務(wù)時(shí),可以直接使用瀏覽器完成
7、SSL的VPN建立;但如果客戶的應(yīng)用系統(tǒng)采用的是C/S結(jié)構(gòu)的話,仍然需要安裝Client軟件;2、目前進(jìn)行VPN部署的用戶大部分都是要求對(duì)現(xiàn)有業(yè)務(wù)需要支持的用戶,而據(jù)統(tǒng)計(jì)這樣的用戶95%以上都有基于C/S架構(gòu)的重要應(yīng)用系統(tǒng),也就是說其“Client軟件無需安裝”的優(yōu)勢(shì)是有很大局限性的;3、基于B/S結(jié)構(gòu)的安全性劣于基于C/S結(jié)構(gòu);4、基于IPSec的VPN雖然在業(yè)務(wù)應(yīng)用基于B/S上沒有基于SSL的