NetScreen亚太区资深市场行销总监 Paul Serrano

IPSec VPN

　　IPSec提供站点间（例如：分支办公室到总部）及远程访问的安全联机。这是一种成熟的标准，全球各地许多厂家提供这种解决方案。IPSec/IKE事实上指的是IETF标准（从RFCs 2401 到 241X）的集合，包括密钥管理协议（IKE）和加密封包格式协议（IPSec）。IPSec/IKE可支持各种加密算法（DES、3DES、AES与 RC4）及信息完整性检验机制（MD5、SHA-1）。

　　IPSec是网络层的VPN技术，表示它独立于应用程序。IPSec以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息。一旦IPSec建立加密隧道后，就可以实现各种类型的一对多的连接，如Web、电子邮件、文件传输、VoIP等连接，并且，每个传输必然对应到VPN网关之后的相关服务器上。

IPSec VPN有如下的优缺点:

优点

● IPSec是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议;

● IPSec技术中，客户端至站点（client-to-site）、站点对站点（site-to-site）、客户端至客户端（client-to-client）连接所使用的技术是完全相同的;

● IPSec VPN网关一般整合了网络防火墙的功能;

● IPSec客户端程序可与个人防火墙等其他安全功能一起销售，因此，可保证配置、预防病毒，并能进行入侵检测。

不足
● IPSec VPN需要安装客户端软件，但并非所有客户端操作系统均支持IPSec VPN的客户端程序;

● IPSec VPN的连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响;

● IPSec VPN需要先完成客户端配置才能建立通信信道，并且配置复杂。

SSL VPN

　　SSL VPN指的是以HTTPS为基础的VPN，但也包括可支持SSL的应用程序，例如，电子邮件客户端程序，如Microsoft Outlook或Eudora。SSL VPN经常被称之“无客户端”，因为目前大多数计算机在出货时，都已经安装了支持HTTP和HTTPS（以SSL为基础的HTTP）的Web浏览器。

　　目前，SSL已由TLS传输层安全协议（RFC 2246）整合取代，它工作在TCP之上。如同IPSec/IKE一样，它必须首先进行配置，包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器，还可选择性地通过签名或其他方法让服务器验证客户端的合法性，接着可安全地产生会话密钥进行信息加密并提供完整性检查。 SSL可利用各种公钥（RSA、DSA）算法、对称密钥算法（DES、3DES、RC4）和完整性（MD5、SHA-1）算法。

SSL VPN有如下优缺点：

优点
● 它的HTTPS客户端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中，因此不需要再次安装；

● 像Microsoft Outlook与Eudora这类流行的邮件客户端／服务器程序所支持的SSL HTTPS功能，同样也与市场上主要的Web服务器捆绑销售，或者通过专门的软硬件供货商（例如Web存取设备）获得；

● SSL VPN可在NAT代理装置上以透明模式工作；

● SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。

不足
● SSL VPN不适用做点对点的VPN，后者通常是使用IPSec/IKE技术;

● SSL VPN需要开放网络防火墙中的HTTPS连接端口，以使SSL VPN网关流量通过;

● SSL VPN通常需要其他安全配置，例如用第三方技术验证“非信任”设备的安全性 (“非信任”设备是指其他信息站或家用计算机)。

远程访问——IPSec 或SSL VPN？

　　以现有技术来说，所谓最佳选择其实必须根据远程访问的需求与目标而定。当企业需要安全的点对点连接，或用单一装置进行远程访问，并且让企业拥有管理所有远程访问使用者的能力时，IPSec/IKE可能是最适合的解决方案。而SSL VPN则最适合下述情况：企业需要通过互联网（笔记本型计算机、家用个人计算机、Internet信息站点接入）达到广泛而全面性的信息存取; 使用者的设备与目标服务器之间有防火墙，此防火墙设定允许HTTPS联机，但不允许IKE（UDP 500端口）或 IPSec（IP协议 51）运行; 企业无法控制远程访问使用者计算机的配置，不可能在使用者计算机上安装软件以提供远程访问。

　　用户可选择的远程访问解决方案很多，因此必须依据远程访问不同的特定需求与目标进行选购。今天，大多数信息管理人员都发现，以IPSec VPN作为点对点连结方案，再搭配以SSL VPN作为远程访问方案，则能满足员工、商业伙伴与客户的安全连接需求，是最合适也最具成本效益的组合。