兩種VPN隧道網(wǎng)絡協(xié)議詳解與比較

摘要:隨著現(xiàn)代企業(yè)對電子商務要求的提高，企業(yè)需要更加經(jīng)濟安全、易于操作的方式通過公用網(wǎng)訪問公司內網(wǎng)，提高效率。該文主要介紹了兩種技術虛擬專用網(wǎng)技術，即IPSec VPN和SSL VPN，并對兩種技術進行詳細比較。

關鍵詞:隧道協(xié)議;IPSec;SSL;安全

中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2009)36-10592-02

The Introduction and Comparison of Two kinds of VPN Technology

ZHOU Ying

(Sichuan Electric Power Designing and Consulting Co. Ltd， Chengdu 610016， China)

Abstract: As enterprise e-business requirements increase， companies need to be more economic and security way through a public network to access the company network and improve efficiency. This paper describes two techniques virtual private network technology， namely， IPSec VPN and SSL VPN， and a comparison of the two technologies.

Key words: tunneling protocol; IPSec; SSL; security

虛擬專用網(wǎng)VPN(Virtual Private Network)是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務”。 它依靠ISP(Internet服務提供商)和其它NSP(網(wǎng)絡服務提供商)，在公用網(wǎng)絡中建立一個臨時的、安全的連接，是一條穿過公用網(wǎng)絡的安全、穩(wěn)定的隧道。VPN極大地降低了用戶的費用，而且提供了比傳統(tǒng)方法更強的安全性和可靠性。

數(shù)據(jù)安全是VPN的核心問題， VPN主要采用四項技術來保證安全，這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。隧道技術是應用最為廣泛的VPN技術，通過匹配四層網(wǎng)絡模型中的不同層協(xié)議，可以生成不同的VPN技術及產(chǎn)品，目前VPN隧道協(xié)議中的IPSec VPN和SSL VPN是當前主流VPN技術。

1 IPSec VPN 端對端的安全

IPSec工作于網(wǎng)絡層，是一個開放的結構，定義在IP數(shù)據(jù)包格式中，不同的加密算法都可以利用IPSec定義的體系結構在網(wǎng)絡數(shù)據(jù)傳輸過程中實施。IPSec協(xié)議可以設置成在隧道模式和傳輸(transport)模式下運行， IPSec幾乎可以為所有的應用提供訪問，包括客戶端/服務器模式和某些傳統(tǒng)的應用，但是由于基于網(wǎng)絡層，不能穿越通常的NAT、防火墻。

IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障。IPSec是一種由IETF設計的端到端的確保基于IP通訊的數(shù)據(jù)安全性的機制。IPSec隧道模式具有以下特點:只能支持IP數(shù)據(jù)流;工作在IP棧的底層，應用程序和高層協(xié)議可以繼承IPSEC的行為;由一個安全策略進行控制。安全策略按照優(yōu)先級的先后順序創(chuàng)建可供使用的加密和隧道機制以及驗證方式。當需要建立通訊時，雙方機器執(zhí)行相互驗證，然后協(xié)商使用何種加密方式。此后的所有數(shù)據(jù)流都將使用雙方協(xié)商的加密機制進行加密，然后封裝在隧道包頭內。

1.1 IPSec VPN技術的優(yōu)點

1) IPSec是與應用無關的技術，因此IPSec VPN的客戶端支持所有IP層協(xié)議;

2) IPSec技術中，客戶端至站點(client-to-site)、站點對站點(site-to-site)、客戶端至客戶端(client-to-client)連接所使用的技術是完全相同的;

3) IPSec VPN網(wǎng)關一般整合了網(wǎng)絡防火墻的功能;

4) IPSec客戶端程序可與個人防火墻等其他安全功能一起銷售，因此，可保證配置、預防病毒，并能進行入侵檢測。

1.2 IPSec VPN技術的不足

1) IPSec VPN需要安裝客戶端軟件，但并非所有客戶端操作系統(tǒng)均支持IPSec VPN的客戶端程序;

2) IPSec VPN的連接性會受到網(wǎng)絡地址轉換(NAT)的影響，或受網(wǎng)關代理設備(proxy)的影響;

3) IPSec VPN需要先完成客戶端配置才能建立通信信道，并且配置復雜。

IPSec為Internet業(yè)務提供最強的安全功能，與其他隧道和安全技術相比，其優(yōu)越性在于它的安全性和互操作性，但是管理復雜，適合于組建遠程網(wǎng)絡互聯(lián)VPN。

2 SSL VPNWeb應用表現(xiàn)出眾

SSL是一個端到端的協(xié)議，因而是在處于通信線路端點的機器上實現(xiàn)，而不需要在通信通路的中間節(jié)點(如路由器或防火墻)上實現(xiàn)，并且由于不需要安裝客戶端軟件，僅僅通過瀏覽器就可以實現(xiàn)VPN的連接。

除了具備與IPSec VPN相當?shù)陌踩酝猓€增加了訪問控制機制，客戶端只需要擁有支持SSL的瀏覽器即可，適合遠程用戶訪問企業(yè)內部網(wǎng)，SSL VPN相對成本比較低，不受網(wǎng)絡環(huán)境的限制。SSL VPN優(yōu)勢還表現(xiàn)在:對應用的支持更廣泛，由最早期的僅僅支持WEB應用，到支持絕大部分基于TCP的應用;對網(wǎng)絡的支持更加廣泛，現(xiàn)在多數(shù)優(yōu)秀的SSL VPN都能通過用戶可選的客戶端插件形式為終端用戶分配虛擬IP，并通過SSL 隧道建立層三(Level 3)隧道，實現(xiàn)與傳統(tǒng)IPSEC VPN客戶端幾乎一樣強大的終端網(wǎng)絡功能;對終端的安全性要求更嚴格，SSL VPN加入了客戶端安全檢查的功能:通過插件對終端操作系統(tǒng)版本，終端安全軟件的部署情況進行檢查，來判斷其接入的權限，從而減輕間諜軟件和釣魚軟件的威脅。

2.1 SSL VPN技術的優(yōu)點

1) 它的HTTPS客戶端程序，如Microsoft Internet Explorer已經(jīng)預裝在了終端設備中，因此不需要再次安裝;

2) 像Microsoft Outlook這類程序所支持的SSL HTTPS功能，與市場上主要的Web服務器捆綁銷售，或者通過專門的軟硬件供貨商(例如Web存取設備)獲得;

3) SSL VPN可在NAT代理裝置上以透明模式工作;

4) SSL VPN不會受到安裝在客戶端與服務器之間的防火墻的影響。

2.2 SSL VPN技術的不足

1) SSL VPN不適用做點對點的VPN，后者通常是使用IPSec/IKE技術;

2) SSL VPN需要開放網(wǎng)絡防火墻中的HTTPS連接端口，以使SSL VPN網(wǎng)關流量通過;

3) SSL VPN通常需要其他安全配置，例如用第三方技術驗證“非信任”設備的安全性(“非信任”設備是指其他信息站或家用計算機)。

3 IPSec與SSL技術比較

3.1 IPSec的主要不足

1) 安全性能高，但通信性能較低

因為IPSec安全協(xié)議是工作在網(wǎng)絡層的，IPSec不僅使你正在通信的那一很小的部分通道加密，而是對所有通道進行加密。所以在在安全性方面比SSL VPN好，但整體通信性能卻因安全性受到了影響。

2) 需要客戶端軟件

在IPSec VPN中需要在每一客戶端安裝特殊用途的客戶端軟件，用這些軟件來替換或者增加客戶系統(tǒng)的TCP/IP堆棧。這就可能帶來了與其他系統(tǒng)軟件之間兼容性問題的風險，且IPSec協(xié)議在硬件應用中同樣存在著兼容性方面的問題。

3) 安裝和維護困難

IPSec安全協(xié)議方案需要大量的IT技術支持，包括在運行和長期維護兩個方面。在大的企業(yè)通常有幾個專門的員工為通過IPSecI安全協(xié)議進行的VPN遠程訪問提供服務。

4) 實際全面支持的系統(tǒng)比較少

雖然已有許多開發(fā)的操作系統(tǒng)提出對IPSec協(xié)議的支持，但是在實際應用是，IPSec安全協(xié)議客戶的計算機通常只運行基于Windows系統(tǒng)，很少有運行其它PC系統(tǒng)平臺的。

3.2 SSL的優(yōu)勢

1) 不需要客戶端軟件和硬件需求

在SSL代理中的一個關鍵優(yōu)勢就是不需要在客戶端安裝另外的軟件，而只需要在服務器端安裝相應的軟件和硬件，然后通過服務器向客戶端發(fā)布。SSL代理可以使用于支持SSL技術的標準Web瀏覽器和email客戶中。

2) 容易使用，容易支持Web界面

有許多Web瀏覽器和支持SSL的email客戶端，包括Windows、Macintosh、Linux/UNIX，移動電話都可以通過SSL協(xié)議進行通信。

3) 端到端 vs. 端到邊緣安全

IPSec安全協(xié)議的一個主要優(yōu)勢就是只需要在客戶和網(wǎng)絡資源邊緣處建立通道。僅保護從客戶到公司網(wǎng)絡邊緣連接的安全，所有運行在內部網(wǎng)絡的數(shù)據(jù)是透明的，包括任何密碼和在傳輸中的敏感數(shù)據(jù)。SLL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內部網(wǎng)絡還是在因特網(wǎng)上數(shù)據(jù)都不是透明的。客戶對資源的每一次操作都需要經(jīng)過安全的身份驗證和加密。

4) 90%以上的通信是基于Web和Email的

近乎90%的企業(yè)利用VPN進行的內部網(wǎng)和外部網(wǎng)的聯(lián)接都只是用來進行因特網(wǎng)訪問和電子郵件通信，另外10%的用戶是利用諸如x11、聊天協(xié)議和其它私有客戶端應用，屬非因特網(wǎng)應用。

表1是SSL VPN與IPSec VPN主要性能比較，從表中可以看出各自的主要優(yōu)勢與不足。

4 結束語

VPN技術借助公共網(wǎng)絡平臺很好的實現(xiàn)了專用網(wǎng)絡的功能，企業(yè)以低廉的價格享受著安全優(yōu)質的服務。用戶可依據(jù)遠程訪問不同的特定需求與目標進行解決方案選擇，以IPSec VPN作為點對點連結方案，再搭配以SSL VPN作為遠程訪問方案，能滿足員工、商業(yè)伙伴與客戶的安全連接需求，是最合適也最具成本效益的組合。相對傳統(tǒng)的單一VPN技術，融合了IPSec和SSL兩種VPN精髓，同時配合完善的安全管理平臺的混合VPN技術將會在越來越多的行業(yè)中得以使用。

參考文獻:

[1] 宋西軍.計算機網(wǎng)絡安全技術[M].北京:北京大學出版社，2009.

[2] 弗拉海.SSL與遠程接入VPN[M].北京:人民郵電出版社，2009.

[3] 周賢偉.IPSec解析[M].北京:國防工業(yè)出版社，2006.