IPsec vpn與SSL vpn比較與分析

趙菁

摘要：IPsec vpn與SSL vpn是應用較多的vpn技術，它們在底層協(xié)議、連接方式、安全等方面存在著一定的差異，通過比較這些差異，分析了它們各自的特點，給出了企業(yè)在選擇 vpn產(chǎn)品時的建議。

關鍵詞：IPsec vpn；SSL vpn；比較與分析

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2017）10-0183-02

1 引言

虛擬專用網(wǎng)（Virtual Private Network）是一種通過共享的公共網(wǎng)絡建立私有的數(shù)據(jù)通道，將各個需要接入這張?zhí)摂M網(wǎng)的網(wǎng)絡或終端通過通道連接起來，構(gòu)成一個專用的、具有一定安全性和服務質(zhì)量保證的網(wǎng)絡。按照VPN技術實現(xiàn)的網(wǎng)絡層次可以分為基于數(shù)據(jù)鏈路層的VPN、基于網(wǎng)絡層的VPN和基于應用層的VPN。本文討論的IPSec VPN是基于網(wǎng)絡層的VPN，而SSL VPN是基于應用層的VPN。基于IPSec協(xié)議的VPN技術在VPN中得到廣泛應用，但是由于其存在的一些缺點，基于SSL協(xié)議的VPN出現(xiàn)了，本文重點比較這兩種技術的特點以及適用場合。

2 IPsec vpn定義

IPSec（IP Security）協(xié)議族是IETF制定的一系列安全協(xié)議，它為端到端IP報文交互提供了基于密碼學的、可互操作的、高質(zhì)量的安全保護機制。IPSec VPN是利用IPSec隧道建立的網(wǎng)絡層VPN。

IPSec不是一個單獨的協(xié)議，而是一組協(xié)議。IPSec協(xié)議由認證頭（AH，Authentication Header）、封裝安全載荷（ESP，Encapsulating Security Payload）因特網(wǎng)密鑰交換協(xié)議（Internet Key Exchange，IKE）等一系列子協(xié)議構(gòu)成。IPSec安全協(xié)議（AH/ ESP）定義了如何通過在IP數(shù)據(jù)包中增加擴展頭和字段來保證IP包的機密性、完整性和可認證性。IPSec密鑰交換協(xié)議IKE定義了通信實體間進行身份認證、創(chuàng)建安全關聯(lián)、協(xié)商加密算法以及生成共享會話密鑰的方法。

3 SSL VPN定義

安全套接層（Secure socket Layer，SSL）協(xié)議是由Netscape公司開發(fā)的一套Internet數(shù)據(jù)安全協(xié)議，目前已廣泛應用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸。SSL協(xié)議要求建立在傳輸層協(xié)議之上。SSL的優(yōu)勢在于它是與應用層協(xié)議獨立無關的。SSL協(xié)議在應用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務器認證工作。在此之后應用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的私密性。

4 IPSEC VPN與SSL VPN的比較

4.1 安全防護

SSL與IPSec安全協(xié)議一樣，提供加密和身份驗證。但是，SSL協(xié)議只對通信雙方傳輸?shù)膽脭?shù)據(jù)進行加密，而不是對從一個主機到另一主機的所有數(shù)據(jù)進行加密，它們防護的差異如圖1所示。

4.2 加密算法

4.2.1 IPSec vpn中的加密算法

ESP能夠?qū)P報文內(nèi)容進行加密保護，防止報文內(nèi)容在傳輸過程中被窺探。加密算法實現(xiàn)主要通過對稱密鑰系統(tǒng)，它使用相同的密鑰對數(shù)據(jù)進行加密和解密。

一般來說IPSec使用加密算法有以下幾種：DES（Data Encryption Standard），使用56bit的密鑰對一個64bit的明文塊進行加密；3DES（Triple Data Encryption Standard），使用三個56bit的DES密鑰（共168bit密鑰）對明文進行加密；AES（Advanced Encryption Standard），使用AES密鑰對明文進行加密。密鑰的長度分為128bit、192bit、256bit。

4.2.2 SSL vpn中的加密算法

SSLV2協(xié)議和SSLV3協(xié)議支持的加密算法包括RC4、RC2、IDEA和DES，而加密算法所用的密鑰由消息散列函數(shù)MD5產(chǎn)生。

4.3 身份驗證

SSL VPN提供單/雙向/數(shù)字證書。在建立SSL連接之前，客戶端和服務器之間需要進行身份認證，認證采用數(shù)字證書，可以是客戶端對服務器的認證，也可以是雙方進行雙向認證。而IPSec VPN只提供雙向數(shù)字證書身份認證。

4.4 安裝

使用IPSec VPN，遠程用戶必須安裝IPSec VPN客戶端軟件，并且在首次使用IPSec VPN之前，在客戶端和服務器端都要手動配置一些比較復雜的網(wǎng)絡參數(shù)和策略。而SSL VPN無需安裝任何客戶端軟件，也無需進行任何手動配置，因為它是基于web瀏覽器加密的。如常見的IE、火狐、谷歌等瀏覽器都可以。用戶只要給出用戶名、密碼和SSL網(wǎng)關的URL，即可實現(xiàn)與遠程服務器的無逢連接。

4.5 數(shù)據(jù)安全

IPSEC VPN使用消息鑒別機制實現(xiàn)數(shù)據(jù)源認證服務.它的安全協(xié)議的特點是只需要在客戶和網(wǎng)絡資源邊緣處建立通道。SSL的安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全.無論在內(nèi)部網(wǎng)絡還是在因特網(wǎng)上數(shù)據(jù)都不是透明的，即IPSEC VPN提供端到邊緣的安全性，而SSL VPN提供端到端、用戶到資源的安全性。另外，SSL VPN 更容易提供細粒度訪問控制，可以對用戶的權(quán)限、資源、服務、文件進行更加細致的控制，與第三方認證系統(tǒng)（如：radius、AD等）結(jié)合更加便捷。而IPSec VPN主要基于IP組對用戶進行訪問控制。

4.6 可訪問性

IPSEC VPN只有已經(jīng)定義好受控用戶才能訪問企業(yè)資源，適合于企業(yè)內(nèi)部使用；而SSL VPN的用戶可以實現(xiàn)在任何時間、任何地點訪問企業(yè)資源，因此這種方式適用于企業(yè)的客戶、合作伙伴、供應商訪問企業(yè)資源。endprint

4.7 費用

與IPSEC VPN客戶端管理費用高的缺點對比，SSL VPN 通信基于標準TCP/UDP，不受NAT 限制，能夠穿越防火墻，使用戶在任何地方都能夠通過SSL VPN 虛擬網(wǎng)關代理訪問內(nèi)網(wǎng)資源，使得遠程安全接入更加靈活簡單，大大降低了企業(yè)部署維護VPN 的費用。

4.8 易用性

IPSEC VPN需要培訓，SSL VPN簡單友好。

4.9 應用支持

IPSEC VPN支持所有基于IP協(xié)議的服務，SSL VPN提供對HTTP/TELNET/NMTP/FTP協(xié)議的支持。

4.10 可伸縮性

IPSec VPN比較困難，SSL VPN容易配置和擴展。

4.11 應用場景

IPSEC VPN的主要應用場景包括3個方面：第一，網(wǎng)關（如防火墻）之間。此種應用場景也叫點到點或點到多點IPSec VPN，主要用于公司總部與分支機構(gòu)之間建立IPSec隧道，從而實現(xiàn)局域網(wǎng)之間互通。第二，主機與網(wǎng)關之間。主要用于出差員工通過互聯(lián)網(wǎng)需要訪問總部資源時。第三，主機與主機之間。主機之間通過互聯(lián)網(wǎng)進行數(shù)據(jù)傳輸，需要加密時，加解密操作在主機側(cè)完成。這種類型在實際應用中幾乎不用。

SSL VPN網(wǎng)關多部署于企業(yè)的網(wǎng)絡出入口，應用服務器之前，介于遠程用戶和服務器之間，控制兩者的通信。

5 結(jié)語

本文從十一個方面對IPSEC VPN與SSL VPN進行了比較分析，它們的保護范圍不同，IPSEC VPN支持在IP層及以上協(xié)議層進行數(shù)據(jù)安全保護，而SSL VPN支持對傳輸層以上協(xié)議層進行數(shù)據(jù)安全保護。IPSec協(xié)議基于策略對數(shù)據(jù)包進行安全保護，如對某業(yè)務數(shù)據(jù)流采用某類保護措施，而對另一類業(yè)務數(shù)據(jù)流采用其它類保護措施，或不進行任何保護措施。而SSL VPN解決了IPSEC VPN中存在的如客戶端管理費用高、NAT問題、安全風險、無基于應用的用戶認證授權(quán)審計等問題。具有無客戶端的便捷部署、應用層接入的安全保護、提升了企業(yè)延展的效率等技術優(yōu)勢。不過這種方案的問題在于，SSL VPN的加密級別通常不如IPSec VPN高。所以，盡管部署和支持成本比較低，但SSL VPN仍有其缺點。同時，SSL VPN還具有一定的局限性，只能訪問通過網(wǎng)絡瀏覽器連接的資源。兩種技術在應用上具有很大的互補性。企業(yè)在選購VPN產(chǎn)品的時候，可以針對這些優(yōu)缺點，結(jié)合企業(yè)自身的應用合理的選擇合適的VPN產(chǎn)品。

參考文獻

[1]徐家臻.基于IPSec與基于SSL的VPN的比較與分析[J].計算機工程與設計，2004，25（4）：586-588.

[2]尹淑玲.SSLVPN技術及應用研究[J]計算機技術與發(fā)展，2013，23（6）：129-131.endprint