資源描述:
《流行的兩種vpn技術(shù)IPSecVPN與SSLVPN》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1、IPSecVPN字體人小:小中大IPSec提供站點間(例如:分支辦公室到總部)及遠程訪問的安全聯(lián)機。這是一種成熟的標(biāo)準(zhǔn),全球各地許多廠家提供這種解決方案。IPSec/IKE事實上指的是IETF標(biāo)準(zhǔn)(從RFCs2401到241X)的集合,包括密鑰管理協(xié)議(IKE)和加密封包格式協(xié)議(IPSec)。IPSec/IKE可支持各種加密算法(DES、3DES、AES與RC4)及信息完整性檢驗機制(MD5、SHA-1)。IPSec是網(wǎng)絡(luò)層的VPN技術(shù),表示它獨立于應(yīng)用程序。IPSec以自己的封包封裝原始IP信息,因此可隱藏所
2、有應(yīng)用協(xié)議的信息。一旦IPSec建立加密隧道后,就可以實現(xiàn)各種類型的一對多的連接,如Web、電子郵件、文件傳輸、VoIP等連接,并且,每個傳輸必然對應(yīng)到VPN網(wǎng)關(guān)之后的相關(guān)服務(wù)器上。IPSecVPN有如下的優(yōu)缺點:優(yōu)點?IPSec是與應(yīng)用無關(guān)的技術(shù),因此IPSecVPN的客戶端支持所有IP層協(xié)議;?IPSec技術(shù)中,客戶端至站點(client-to-site)、站點對站點(site-to-site)、客戶端至客戶端(client-to-client)連接所使用的技術(shù)是完全相同的;?IPSec客戶端程序可與個人防火
3、墻等其他安全功能一起銷售,因此,可保證配置、預(yù)防病毒,并能進行入侵檢測。不足?IPSecVPN需要安裝客戶端軟件,但并非所有客戶端操作系統(tǒng)均支持IPSecVPN的客戶端程序;?IPSecVPN的連接性會受到網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的影響,或受網(wǎng)關(guān)代理設(shè)備(proxy)的影響;?IPSecVPN需要先完成客戶端配置才能建立通信信道,并且配置復(fù)雜。SSLVPNSSLVPN指的是以HTTPS為基礎(chǔ)的VPN,但也包插可支持SSL的應(yīng)用程序,例如,電子郵件客戶端程序,如MicrosoftOutlook或Eudora。SSLV
4、PN經(jīng)常被稱之''無客戶端〃,因為目前大多數(shù)計算機在出貨吋,都已經(jīng)安裝了支持HTTP和HTTPS(以SSL為基礎(chǔ)的HTTP)的Web瀏覽器。目前,SSL已由TLS傳輸層安全協(xié)議(RFC2246)整合取代,它工作在TCP之上。如同IPSec/IKE-樣,它必須首先進行配置,包括使用公鑰與對稱密鑰加密以交換信息。此種交換通過數(shù)字簽名讓客戶端使用己驗證的服務(wù)器,還可選擇性地通過簽名或其他方法讓服務(wù)器驗證客戶端的合法性,接著可安全地產(chǎn)生會話密鑰進行信息加密并提供完整性檢查。SSL可利用各種公鑰(RSA、DSA)算法、對稱
5、密鑰算法(DES、3DES、RC4)和完整性(MD5、SHA-1)算法。SSLVPN有如下優(yōu)缺點:優(yōu)點?它的HTTPS客戶端程序,如MicrosoftInternetExplorer、NetscapeCommunicatorMozilla等已經(jīng)預(yù)裝在了終端設(shè)備中,因此不需要再次安裝;?像MicrosoftOutlook與Eudora這類流行的郵件客戶端/服務(wù)器程序所支持的SSLHTTPS功能,同樣也與市場上主要的Web服務(wù)器捆綁銷售,或者通過專門的軟硬件供貨商(例如Web存取設(shè)備)獲得;?SSLVPN可在NAT代
6、理裝置上以透明模式工作;?SSLVPN不會受到安裝在客戶端與服務(wù)器之間的防火墻的影響。不足?SSLVPN不適用做點對點的VPN,后者通常是使用IPSec/IKE技術(shù);?SSLVPN需要開放網(wǎng)絡(luò)防火墻中的HTTPS連接端口,以使SSLVPN網(wǎng)關(guān)流量通過;?SSLVPN通常需要其他安全配置,例如用第三方技術(shù)驗證''非信任〃設(shè)備的安全性(''非信任"設(shè)備是指其他信息站或家用計算機)。遠程訪問一一IPSec或SSLVPN?以現(xiàn)有技術(shù)來說,所謂最佳選擇其實必須根據(jù)遠程訪問的需求與目標(biāo)而定。當(dāng)企業(yè)需要安全的點對點連接,或用單
7、一裝置進行遠程訪問,并且讓企業(yè)擁有管理所有遠程訪問使用者的能力時,IPSec/IKEnJ能是最適合的解決方案。而SSLVPN則最適合下述情況:企業(yè)需要通過互聯(lián)網(wǎng)(筆記本型計算機、家用個人計算機、Internet信息站點接入)達到廣泛而全面性的信息存取;使用者的設(shè)備與目標(biāo)服務(wù)器之問有防火墻,此防火墻設(shè)定允許HTTPS聯(lián)機,但不允許IKE(UDP500端口)或IPSec(IP協(xié)議51)運行;企業(yè)無法控制遠程訪問使用者計算機的配置,不可能在使用者計算機上安裝軟件以提供遠程訪問。用戶可選擇的遠程訪問解決方案很多,因此必須
8、依據(jù)遠程訪問不同的特定需求與目標(biāo)進行選購。今天,大多數(shù)信息管理人員都發(fā)現(xiàn),以IPSecVPN作為點對點連結(jié)方案,再搭配以SSLVPN作為遠程訪問方案,則能滿足員工、商業(yè)伙伴與客戶的安全連接需求,是最合適也最具成本效益的組合。