資源描述:
《sslvpn與ipsecvpn之安全區(qū)別》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在學術(shù)論文-天天文庫。
1、SSLVPN與IPSecVPN之安全區(qū)別~教育資源庫 隨著SSLVPN應(yīng)用的逐漸加溫,越來越多的企業(yè)開始采納SSLVPN的網(wǎng)絡(luò)架構(gòu),來解決企業(yè)的遠程訪問需求。但是自然有許多的觀望者,質(zhì)疑SSLVPN的安全性和網(wǎng)絡(luò)的兼容性。對于網(wǎng)絡(luò)的兼容性,由于IPSec和SSL采取Inter網(wǎng)絡(luò)中的不同網(wǎng)絡(luò)層來進行安全加密處理,以建立網(wǎng)絡(luò)安全通道,因此在網(wǎng)絡(luò)的安全管理等級上,各有所長。以下,我們分別從不同的角度來探討這兩種VPN應(yīng)用的安全區(qū)別。 1.安全通道(SecureTunnel)-IPSec和SSL這兩種安全協(xié)議,
2、都有采用對稱式(Symmetric)和非對稱式(Asymmetric)的加密算法來執(zhí)行加密作業(yè)。在安全的通道比較上,并沒有誰好誰壞之差,僅在于應(yīng)用上的不同。以下批注來自美國紐約州水牛城CatholicHealth系統(tǒng)公司的網(wǎng)絡(luò)和技術(shù)服務(wù)總監(jiān),這不是誰對誰錯的問題,而是何者可以滿足不同的需求。CatholicHealth系統(tǒng)公司提供四所醫(yī)院相關(guān)醫(yī)療單位的網(wǎng)絡(luò)系統(tǒng)和技術(shù)服務(wù)。最近他們采用了SSLVPN系統(tǒng)給500位醫(yī)生和診所,可以從遠程來執(zhí)行醫(yī)療操作系統(tǒng),查詢和更新病人的所有數(shù)據(jù),但是他們?nèi)匀徊捎肐PSecVPN
3、來連結(jié)醫(yī)院之間點對點的網(wǎng)絡(luò)?! ?.認證和權(quán)限控管-IPSec采取InterKeyExchange(IKE)方式,使用數(shù)字憑證(DigitalCertificate)或是一組SecretKey來做認證,而SSL僅能使用數(shù)字憑證,如果都是采取數(shù)字憑證來認證,兩者在認證的安全等級上就沒有太大的差別。SSL的認證,大多數(shù)的廠商都會建置硬件的token,來提升認證的安全性。對于使用權(quán)限的控管,IPSec可以支持「Selectors」,讓網(wǎng)絡(luò)封包過濾喊阻隔某些特定的主機貨應(yīng)用系統(tǒng)。但是實際作業(yè)上,大多數(shù)人都是開發(fā)整個網(wǎng)
4、段(Subset),以避免太多的設(shè)定所造成的麻煩。SSL可以設(shè)定不同的使用者,執(zhí)行不同的應(yīng)用系統(tǒng),它在管理和設(shè)定上比IPSec簡單方便許多。 3.安全測試-IPSecVPN已經(jīng)有多年的發(fā)展,有許多的學術(shù)和非營利實驗室,提供各種的測試準則和服務(wù),其中以ICSALabs是最常見的認證實驗室,大多數(shù)的防火墻,VPN廠商,都會以通過它的測試及認證為重要的基準。但SSLVPN在這方面,則尚未有一個公正的測試準則,但是ICSALabs實驗室也開始著手SSL/TLC的認證計劃,預(yù)計在今年底可以完成第一階段的Crypto運
5、算建置及基礎(chǔ)功能測試程序。 4.應(yīng)用系統(tǒng)的攻擊-遠程用戶以IPSecVPN的方式與公司內(nèi)部網(wǎng)絡(luò)建立聯(lián)機之后,內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng),都是可以偵測得到,這就提供了黑客攻擊的機會。若是采取SSL-VPN來聯(lián)機,因為是直接開啟應(yīng)用系統(tǒng),并沒在網(wǎng)絡(luò)層上連接,黑客不易偵測出應(yīng)用系統(tǒng)內(nèi)部網(wǎng)絡(luò)物制,所受到的威脅也僅是所聯(lián)機的這個應(yīng)用系統(tǒng),攻擊機會相對就減少?! ?.病毒入侵-一般企業(yè)在Inter聯(lián)機入口,都是采取適當?shù)姆蓝緜蓽y措施。不論是IPSecVPN或SSLVPN聯(lián)機,對于入口的病毒偵測效果是相同的,但是比較從遠程
6、客戶端入侵的可能性,就會有所差別。采用IPSec聯(lián)機,若是客戶端電腦遭到病毒感染,這個病毒就有機會感染到內(nèi)部網(wǎng)絡(luò)所連接的每臺電腦。相對于SSLVPN的聯(lián)機,所感染的可能性,會局限于這臺主機,而且這個病毒必須是針對應(yīng)用系統(tǒng)的類型,不同類型的病毒是不會感染到這臺主機的?! ?.防火墻上的通訊埠(port)-在TCP/IP的網(wǎng)絡(luò)架構(gòu)上,各式各樣的應(yīng)用系統(tǒng)會采取不同的通訊協(xié)議,并且通過不同的通訊埠來作為服務(wù)器和客戶端之間的數(shù)據(jù)傳輸通道。以InterEmail系統(tǒng)來說,發(fā)信和收信一般都是采取SMTP和POP3通訊協(xié)議,
7、而且兩種通訊埠是采用port25,若是從遠程電腦來聯(lián)機Email服務(wù)器,就必須在防火墻上開放port25,否則遠程電腦是無法與SMTP和POP3主機溝通的。IPSecVPN聯(lián)機就會有這個困擾和安全顧慮。在防火墻上,每開啟一個通訊埠,就多一個黑客攻擊機會。反觀之,SSLVPN就沒有這方面的困擾。因為在遠程主機與SSLVPNGateway之間,采用SSL通訊埠(port443)來作為傳輸通道,這個通訊埠,一般是作為WebServer對外的數(shù)據(jù)傳輸通道,因此,不需在防火墻上做任何修改,也不會因為不同應(yīng)用系統(tǒng)的需求,
8、而來修改防火墻上的設(shè)定,減少IT管理者的困擾?! PSecVPN和SSLVPN這兩種VPN架構(gòu),從整體的安全等級來看,兩種都能夠提供安全的遠程登入存取聯(lián)機。但綜觀上述,SSLVPN在其易于使用性及安全層級,都比IPSecVPN高。我們都知道,由于Inter的迅速擴展,針對遠程安全登入的需求也日益提升。對于使用者而言,方便安全的解決方案,才能真正符合需求。友情提醒:,特別!