資源描述:
《流行的兩種vpn技術(shù)IPSecVPN與SSLVPN》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1、IPSecVPN字體人?。盒≈写驣PSec提供站點(diǎn)間(例如:分支辦公室到總部)及遠(yuǎn)程訪問的安全聯(lián)機(jī)。這是一種成熟的標(biāo)準(zhǔn),全球各地許多廠家提供這種解決方案。IPSec/IKE事實(shí)上指的是IETF標(biāo)準(zhǔn)(從RFCs2401到241X)的集合,包括密鑰管理協(xié)議(IKE)和加密封包格式協(xié)議(IPSec)。IPSec/IKE可支持各種加密算法(DES、3DES、AES與RC4)及信息完整性檢驗(yàn)機(jī)制(MD5、SHA-1)。IPSec是網(wǎng)絡(luò)層的VPN技術(shù),表示它獨(dú)立于應(yīng)用程序。IPSec以自己的封包封裝原始IP信息,因此可隱藏所
2、有應(yīng)用協(xié)議的信息。一旦IPSec建立加密隧道后,就可以實(shí)現(xiàn)各種類型的一對多的連接,如Web、電子郵件、文件傳輸、VoIP等連接,并且,每個(gè)傳輸必然對應(yīng)到VPN網(wǎng)關(guān)之后的相關(guān)服務(wù)器上。IPSecVPN有如下的優(yōu)缺點(diǎn):優(yōu)點(diǎn)?IPSec是與應(yīng)用無關(guān)的技術(shù),因此IPSecVPN的客戶端支持所有IP層協(xié)議;?IPSec技術(shù)中,客戶端至站點(diǎn)(client-to-site)、站點(diǎn)對站點(diǎn)(site-to-site)、客戶端至客戶端(client-to-client)連接所使用的技術(shù)是完全相同的;?IPSec客戶端程序可與個(gè)人防火
3、墻等其他安全功能一起銷售,因此,可保證配置、預(yù)防病毒,并能進(jìn)行入侵檢測。不足?IPSecVPN需要安裝客戶端軟件,但并非所有客戶端操作系統(tǒng)均支持IPSecVPN的客戶端程序;?IPSecVPN的連接性會(huì)受到網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的影響,或受網(wǎng)關(guān)代理設(shè)備(proxy)的影響;?IPSecVPN需要先完成客戶端配置才能建立通信信道,并且配置復(fù)雜。SSLVPNSSLVPN指的是以HTTPS為基礎(chǔ)的VPN,但也包插可支持SSL的應(yīng)用程序,例如,電子郵件客戶端程序,如MicrosoftOutlook或Eudora。SSLV
4、PN經(jīng)常被稱之''無客戶端〃,因?yàn)槟壳按蠖鄶?shù)計(jì)算機(jī)在出貨吋,都已經(jīng)安裝了支持HTTP和HTTPS(以SSL為基礎(chǔ)的HTTP)的Web瀏覽器。目前,SSL已由TLS傳輸層安全協(xié)議(RFC2246)整合取代,它工作在TCP之上。如同IPSec/IKE-樣,它必須首先進(jìn)行配置,包括使用公鑰與對稱密鑰加密以交換信息。此種交換通過數(shù)字簽名讓客戶端使用己驗(yàn)證的服務(wù)器,還可選擇性地通過簽名或其他方法讓服務(wù)器驗(yàn)證客戶端的合法性,接著可安全地產(chǎn)生會(huì)話密鑰進(jìn)行信息加密并提供完整性檢查。SSL可利用各種公鑰(RSA、DSA)算法、對稱
5、密鑰算法(DES、3DES、RC4)和完整性(MD5、SHA-1)算法。SSLVPN有如下優(yōu)缺點(diǎn):優(yōu)點(diǎn)?它的HTTPS客戶端程序,如MicrosoftInternetExplorer、NetscapeCommunicatorMozilla等已經(jīng)預(yù)裝在了終端設(shè)備中,因此不需要再次安裝;?像MicrosoftOutlook與Eudora這類流行的郵件客戶端/服務(wù)器程序所支持的SSLHTTPS功能,同樣也與市場上主要的Web服務(wù)器捆綁銷售,或者通過專門的軟硬件供貨商(例如Web存取設(shè)備)獲得;?SSLVPN可在NAT代
6、理裝置上以透明模式工作;?SSLVPN不會(huì)受到安裝在客戶端與服務(wù)器之間的防火墻的影響。不足?SSLVPN不適用做點(diǎn)對點(diǎn)的VPN,后者通常是使用IPSec/IKE技術(shù);?SSLVPN需要開放網(wǎng)絡(luò)防火墻中的HTTPS連接端口,以使SSLVPN網(wǎng)關(guān)流量通過;?SSLVPN通常需要其他安全配置,例如用第三方技術(shù)驗(yàn)證''非信任〃設(shè)備的安全性(''非信任"設(shè)備是指其他信息站或家用計(jì)算機(jī))。遠(yuǎn)程訪問一一IPSec或SSLVPN?以現(xiàn)有技術(shù)來說,所謂最佳選擇其實(shí)必須根據(jù)遠(yuǎn)程訪問的需求與目標(biāo)而定。當(dāng)企業(yè)需要安全的點(diǎn)對點(diǎn)連接,或用單
7、一裝置進(jìn)行遠(yuǎn)程訪問,并且讓企業(yè)擁有管理所有遠(yuǎn)程訪問使用者的能力時(shí),IPSec/IKEnJ能是最適合的解決方案。而SSLVPN則最適合下述情況:企業(yè)需要通過互聯(lián)網(wǎng)(筆記本型計(jì)算機(jī)、家用個(gè)人計(jì)算機(jī)、Internet信息站點(diǎn)接入)達(dá)到廣泛而全面性的信息存??;使用者的設(shè)備與目標(biāo)服務(wù)器之問有防火墻,此防火墻設(shè)定允許HTTPS聯(lián)機(jī),但不允許IKE(UDP500端口)或IPSec(IP協(xié)議51)運(yùn)行;企業(yè)無法控制遠(yuǎn)程訪問使用者計(jì)算機(jī)的配置,不可能在使用者計(jì)算機(jī)上安裝軟件以提供遠(yuǎn)程訪問。用戶可選擇的遠(yuǎn)程訪問解決方案很多,因此必須
8、依據(jù)遠(yuǎn)程訪問不同的特定需求與目標(biāo)進(jìn)行選購。今天,大多數(shù)信息管理人員都發(fā)現(xiàn),以IPSecVPN作為點(diǎn)對點(diǎn)連結(jié)方案,再搭配以SSLVPN作為遠(yuǎn)程訪問方案,則能滿足員工、商業(yè)伙伴與客戶的安全連接需求,是最合適也最具成本效益的組合。