資源描述:
《sslvpn與ipsecvpn之安全區(qū)別》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1、SSLVPN與IPSecVPN之安全區(qū)別~教育資源庫(kù) 隨著SSLVPN應(yīng)用的逐漸加溫,越來(lái)越多的企業(yè)開(kāi)始采納SSLVPN的網(wǎng)絡(luò)架構(gòu),來(lái)解決企業(yè)的遠(yuǎn)程訪問(wèn)需求。但是自然有許多的觀望者,質(zhì)疑SSLVPN的安全性和網(wǎng)絡(luò)的兼容性。對(duì)于網(wǎng)絡(luò)的兼容性,由于IPSec和SSL采取Inter網(wǎng)絡(luò)中的不同網(wǎng)絡(luò)層來(lái)進(jìn)行安全加密處理,以建立網(wǎng)絡(luò)安全通道,因此在網(wǎng)絡(luò)的安全管理等級(jí)上,各有所長(zhǎng)。以下,我們分別從不同的角度來(lái)探討這兩種VPN應(yīng)用的安全區(qū)別?! ?.安全通道(SecureTunnel)-IPSec和SSL這兩種安全協(xié)議,都有采用對(duì)稱式(Symmetric)
2、和非對(duì)稱式(Asymmetric)的加密算法來(lái)執(zhí)行加密作業(yè)。在安全的通道比較上,并沒(méi)有誰(shuí)好誰(shuí)壞之差,僅在于應(yīng)用上的不同。以下批注來(lái)自美國(guó)紐約州水牛城CatholicHealth系統(tǒng)公司的網(wǎng)絡(luò)和技術(shù)服務(wù)總監(jiān),這不是誰(shuí)對(duì)誰(shuí)錯(cuò)的問(wèn)題,而是何者可以滿足不同的需求。CatholicHealth系統(tǒng)公司提供四所醫(yī)院相關(guān)醫(yī)療單位的網(wǎng)絡(luò)系統(tǒng)和技術(shù)服務(wù)。最近他們采用了SSLVPN系統(tǒng)給500位醫(yī)生和診所,可以從遠(yuǎn)程來(lái)執(zhí)行醫(yī)療操作系統(tǒng),查詢和更新病人的所有數(shù)據(jù),但是他們?nèi)匀徊捎肐PSecVPN來(lái)連結(jié)醫(yī)院之間點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)。 2.認(rèn)證和權(quán)限控管-IPSec采取Int
3、erKeyExchange(IKE)方式,使用數(shù)字憑證(DigitalCertificate)或是一組SecretKey來(lái)做認(rèn)證,而SSL僅能使用數(shù)字憑證,如果都是采取數(shù)字憑證來(lái)認(rèn)證,兩者在認(rèn)證的安全等級(jí)上就沒(méi)有太大的差別。SSL的認(rèn)證,大多數(shù)的廠商都會(huì)建置硬件的token,來(lái)提升認(rèn)證的安全性。對(duì)于使用權(quán)限的控管,IPSec可以支持「Selectors」,讓網(wǎng)絡(luò)封包過(guò)濾喊阻隔某些特定的主機(jī)貨應(yīng)用系統(tǒng)。但是實(shí)際作業(yè)上,大多數(shù)人都是開(kāi)發(fā)整個(gè)網(wǎng)段(Subset),以避免太多的設(shè)定所造成的麻煩。SSL可以設(shè)定不同的使用者,執(zhí)行不同的應(yīng)用系統(tǒng),它在管理和
4、設(shè)定上比IPSec簡(jiǎn)單方便許多?! ?.安全測(cè)試-IPSecVPN已經(jīng)有多年的發(fā)展,有許多的學(xué)術(shù)和非營(yíng)利實(shí)驗(yàn)室,提供各種的測(cè)試準(zhǔn)則和服務(wù),其中以ICSALabs是最常見(jiàn)的認(rèn)證實(shí)驗(yàn)室,大多數(shù)的防火墻,VPN廠商,都會(huì)以通過(guò)它的測(cè)試及認(rèn)證為重要的基準(zhǔn)。但SSLVPN在這方面,則尚未有一個(gè)公正的測(cè)試準(zhǔn)則,但是ICSALabs實(shí)驗(yàn)室也開(kāi)始著手SSL/TLC的認(rèn)證計(jì)劃,預(yù)計(jì)在今年底可以完成第一階段的Crypto運(yùn)算建置及基礎(chǔ)功能測(cè)試程序?! ?.應(yīng)用系統(tǒng)的攻擊-遠(yuǎn)程用戶以IPSecVPN的方式與公司內(nèi)部網(wǎng)絡(luò)建立聯(lián)機(jī)之后,內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng),都是可以
5、偵測(cè)得到,這就提供了黑客攻擊的機(jī)會(huì)。若是采取SSL-VPN來(lái)聯(lián)機(jī),因?yàn)槭侵苯娱_(kāi)啟應(yīng)用系統(tǒng),并沒(méi)在網(wǎng)絡(luò)層上連接,黑客不易偵測(cè)出應(yīng)用系統(tǒng)內(nèi)部網(wǎng)絡(luò)物制,所受到的威脅也僅是所聯(lián)機(jī)的這個(gè)應(yīng)用系統(tǒng),攻擊機(jī)會(huì)相對(duì)就減少。 5.病毒入侵-一般企業(yè)在Inter聯(lián)機(jī)入口,都是采取適當(dāng)?shù)姆蓝緜蓽y(cè)措施。不論是IPSecVPN或SSLVPN聯(lián)機(jī),對(duì)于入口的病毒偵測(cè)效果是相同的,但是比較從遠(yuǎn)程客戶端入侵的可能性,就會(huì)有所差別。采用IPSec聯(lián)機(jī),若是客戶端電腦遭到病毒感染,這個(gè)病毒就有機(jī)會(huì)感染到內(nèi)部網(wǎng)絡(luò)所連接的每臺(tái)電腦。相對(duì)于SSLVPN的聯(lián)機(jī),所感染的可能性,會(huì)局限于
6、這臺(tái)主機(jī),而且這個(gè)病毒必須是針對(duì)應(yīng)用系統(tǒng)的類型,不同類型的病毒是不會(huì)感染到這臺(tái)主機(jī)的。 6.防火墻上的通訊埠(port)-在TCP/IP的網(wǎng)絡(luò)架構(gòu)上,各式各樣的應(yīng)用系統(tǒng)會(huì)采取不同的通訊協(xié)議,并且通過(guò)不同的通訊埠來(lái)作為服務(wù)器和客戶端之間的數(shù)據(jù)傳輸通道。以InterEmail系統(tǒng)來(lái)說(shuō),發(fā)信和收信一般都是采取SMTP和POP3通訊協(xié)議,而且兩種通訊埠是采用port25,若是從遠(yuǎn)程電腦來(lái)聯(lián)機(jī)Email服務(wù)器,就必須在防火墻上開(kāi)放port25,否則遠(yuǎn)程電腦是無(wú)法與SMTP和POP3主機(jī)溝通的。IPSecVPN聯(lián)機(jī)就會(huì)有這個(gè)困擾和安全顧慮。在防火墻上,每
7、開(kāi)啟一個(gè)通訊埠,就多一個(gè)黑客攻擊機(jī)會(huì)。反觀之,SSLVPN就沒(méi)有這方面的困擾。因?yàn)樵谶h(yuǎn)程主機(jī)與SSLVPNGateway之間,采用SSL通訊埠(port443)來(lái)作為傳輸通道,這個(gè)通訊埠,一般是作為WebServer對(duì)外的數(shù)據(jù)傳輸通道,因此,不需在防火墻上做任何修改,也不會(huì)因?yàn)椴煌瑧?yīng)用系統(tǒng)的需求,而來(lái)修改防火墻上的設(shè)定,減少I(mǎi)T管理者的困擾?! PSecVPN和SSLVPN這兩種VPN架構(gòu),從整體的安全等級(jí)來(lái)看,兩種都能夠提供安全的遠(yuǎn)程登入存取聯(lián)機(jī)。但綜觀上述,SSLVPN在其易于使用性及安全層級(jí),都比IPSecVPN高。我們都知道,由于In
8、ter的迅速擴(kuò)展,針對(duì)遠(yuǎn)程安全登入的需求也日益提升。對(duì)于使用者而言,方便安全的解決方案,才能真正符合需求。友情提醒:,特別!