SSL VPN与IPSec VPN之间的比较
2007-10-23   网络

要了解SSL VPN与IPSec VPN到底有哪些联系与区别，首先还是先来回顾一下传统的IPSec VPN方案。
IPSec的英文全名为“Internet Protocol Security”，中文名为“因特网安全协议”,这个安全协议是VPN的基本加密协议，它为数据在通过公用网络（如因特网）在网络层进行传输时提供安全保障。通信双方要建立IPSec通道，首先要采用一定的方式建立通信连接。因为IPSec协议支持几种操作模式，所以通信双方先要确定所要采用的安全策略和使用模式，这包括如加密运算法则和身份验证方法类型等。在IPSec协议中，一旦IPSec通道建立，所有在网络层之上的协议在通信双方都经过加密，如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等，而不管这些通道构建时所采用的安全和加密方法如何。
1. IPSec的主要不足
（1）安全性能高，但通信性能较低
因为IPSec安全协议是工作在网络层的，不仅所有网络通道都是加密的，而且在用户访问所有公司资源时，就像采用专线方式与公司网络直接物理连接一样。你可以或者不想让你的合作伙伴或者远程员工成为您的网络一部分，IPSec不仅使你正在通信的那一很小的部分通道加密，而是对所有通道进行加密。所以在在安全性方面比SSL VPN好，但整体通信性能却因安全性受到了影响，不过安全性方面始终高于性能的，这也是目前IPSec VPN仍为主流的原因之一。
（2）需要客户端软件
在IPSec VPN中需要在每一客户端安装特殊用途的客户端软件，用这些软件来替换或者增加客户系统的TCP/IP堆栈。在许多系统中，这就可能带来了与其他系统软件之间兼容性问题的风险，例如木马程序所带来的安全性风险，特别是在这些客户端软件是从网站上下载，而且不是经过专门的IT人员安装的情况下。解决IPSec协议的这一兼容性问题目前还缺乏一致的标准，几乎所有的IPSec客户端软件都是专有的，不能与其它兼容。
在一些情形中，IPSec安全协议是在运行在网络硬件应用中，在这种解决方案中大多数要求通信双方所采用的硬件是相同的，IPSec协议在硬件应用中同样存在着兼容性方面的问题。
并且，IPSec客户端软件在膝上电脑或者桌面系统中的应用受到限制。这种限制限制了用户使用的灵活性，在没有装载IPSec客户端系统的远程用户中用户不能与网络进行VPN连接。
（3）安装和维护困难
IPSec安全协议方案需要大量的IT技术支持，包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSecI安全协议进行的VPN远程访问提供服务。
（4）实际全面支持的系统比较少
虽然已有许多开发的操作系统提出对IPSec协议的支持，但是在实际应用是，IPSec安全协议客户的计算机通常只运行基于Windows系统，很少有运行其它PC系统平台的，如Mac、Linux、Solaris 等。

2. 为什么要用SSL，而不用IPSec VPN？
虽然目前并不是所有，也不大多数用户采用SSL代理方式进行VPN通信，但是使用SSL VPN的用户数却在不断增加，有些是原来一直采用IPSec VPN的，原因主要有以下几个方面：
（1）不需要客户端软件和硬件需求
在SSL代理中的一个关键优势就是不需要在客户端安装另外的软件，而只需要在服务器端安装相应的软件和硬件，然后通过服务器向客户端发布。SSL代理可以使用于支持SSL技术的标准Web浏览器和email客户中。
（2）容易使用，容易支持Web界面
在今天的工厂中，有许多Web浏览器和支持SSL的email客户端，包括Windows、Macintosh、Linux/UNIX、PDAs，甚至到蜂窝电话都可以通过SSL协议进行通信。因为这些都是人们已非常熟悉的，这样就可以大大节省培训费用。
（3）端到端 vs. 端到边缘安全
IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全，不管怎样，所有运行在内部网络的数据是透明的，包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间建立的，确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。

这两种VPN方式的通道安全示意图如图1所示。

498)this.style.width=498;">
图1

（4）90%以上的通信是基于Web和Email的
近呼90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信，另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用，属非因特网应用。