資源描述:
《ipsecvpn與sslvpn》由會員上傳分享,免費在線閱讀,更多相關內容在行業(yè)資料-天天文庫。
1、虛擬專用網(wǎng)絡SSLVPN與IPSecVPN簡介虛擬專用網(wǎng)絡(VPN:VirtualPrivateNetwork):通過公用網(wǎng)絡(如Internet)建立一個臨時的、安全的連接,是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN有多種,每種都能滿足特定的需求。下面是三種主要的VPN:
2、1、接入VPN:接入VPN讓移動辦公者和小型辦公室/家庭辦公室SOHO能通過基礎的共享設施遠程接入總部的內部網(wǎng)和外聯(lián)網(wǎng)。l“外聯(lián)網(wǎng)(Extranet)”是不同單位間為了頻繁交換業(yè)務信息,而基于互聯(lián)網(wǎng)或其他公網(wǎng)設施構建的單位間專用網(wǎng)絡通道。因為外聯(lián)網(wǎng)涉及到不同單位的局域網(wǎng),所以不僅要確保信息在傳輸過程中的安全性,更要確保對方單位不能超越權限,通過外聯(lián)網(wǎng)連入本單位的內網(wǎng)。2、內部網(wǎng)VPN:內部網(wǎng)VPN使用專用連接通過共享基礎設施將地區(qū)性辦事處和遠程辦公室與總部的內部網(wǎng)絡連接起來。內部網(wǎng)VPN與外聯(lián)網(wǎng)VPN區(qū)別在于,前者只允許企業(yè)的雇員訪問。3、外聯(lián)網(wǎng)VPN:處聯(lián)網(wǎng)VPN使用專用連接通過共享基礎設施
3、將商業(yè)伙伴與總部網(wǎng)絡連接起來。外聯(lián)網(wǎng)VPN與內部網(wǎng)VPN的區(qū)別在于,前者允許企業(yè)以外的用戶訪問虛擬專用網(wǎng),可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉移到低成本的網(wǎng)絡上,一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡連接上的費用。同時這也將簡化網(wǎng)絡的設計和管理SSLVPN與IPSecVPNSSLVPN提供安全、可代理連接,只有經(jīng)認證的用戶才能對資源進行訪問。SSLVPN能對加密隧道進行細分,從而使得終端用戶能夠同時接入Internet和訪問內部企業(yè)網(wǎng)資源,也就是說它具備可控功能。另外,SSLVPN還
4、能細化接入控制功能,易于將不同訪問權限賦予不同用戶,實現(xiàn)伸縮性訪問;這種精確的接入控制功能對遠程接入IPSecVPN來說幾乎是不可能實現(xiàn)的。IPSecVPN通過在兩站點間創(chuàng)建隧道提供直接(非代理方式)接入,實現(xiàn)對整個網(wǎng)絡的透明訪問;一旦隧道創(chuàng)建,用戶PC就如同物理地處于企業(yè)LAN中。就通常的企業(yè)高級用戶(PowerUser)和LAN-to-LAN連接所需要的直接訪問企業(yè)網(wǎng)絡功能而言,IPSec無可比擬。然而,典型的SSLVPN被認為最適合于普通遠程員工訪問基于Web的應用。SSLVPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec,這項不需要客
5、戶軟件的功能正是一個重要因素。因為最終用戶避免了攜帶便攜式電腦,通過與因特網(wǎng)連接的任何設備就能獲得訪問,SSL更容易滿足大多數(shù)員工對移動連接的需求。但SSLVPN也有其缺點。業(yè)內人士認為,這些缺點通常涉及客戶端安全和性能等問題。對E-mail和Intranet而言,SSLVPN是很好;但對需要較高安全級別(SSLVPN的加密級別通常不如IPSecVPN高)、較為復雜的應用而言,就需要IPSecVPN。IPSec是提供站點到站點連接的首要工具,通過這種連接,你可以在廣域網(wǎng)(WAN)上實現(xiàn)基礎設施到基礎設施的通信。而SSLVPN不需要客戶軟件的特性有助于降低成本、減緩遠程桌面維護方面的擔憂。但是,
6、SSL的局限性在于,只能訪問通過網(wǎng)絡瀏覽器連接的資源。所以,這要求某些應用要有小應用程序,這樣才能夠有效地訪問。如果企業(yè)資產或應用沒有小應用程序,要想連接到它們就比較困難。因而,你無法在沒有客戶軟件的環(huán)境下運行,因為這需要某種客戶軟件豐富(Client-Rich)的交互系統(tǒng)。SSL這種方案可以解決OS客戶軟件問題、客戶軟件維護問題,但肯定不能完全替代IPSecVPN,因為他們各自所要解決的是幾乎沒多少重疊的兩種不同問題:1、SSL優(yōu)勢其實主要集中在VPN客戶端的部署和管理上,我們知道SSL無需安裝客戶端,主要是由于瀏覽器內嵌了SSL協(xié)議,也就是說是基于B/S結構的業(yè)務時,可以直接使用瀏覽器完成
7、SSL的VPN建立;但如果客戶的應用系統(tǒng)采用的是C/S結構的話,仍然需要安裝Client軟件;2、目前進行VPN部署的用戶大部分都是要求對現(xiàn)有業(yè)務需要支持的用戶,而據(jù)統(tǒng)計這樣的用戶95%以上都有基于C/S架構的重要應用系統(tǒng),也就是說其“Client軟件無需安裝”的優(yōu)勢是有很大局限性的;3、基于B/S結構的安全性劣于基于C/S結構;4、基于IPSec的VPN雖然在業(yè)務應用基于B/S上沒有基于SSL的