网络管理-VPN_原创精品文档.pdfVIP

IPSecVPN与SSLVPN优劣比较

SSLVPN与IPSecVPN是目前流行的两类Internet远程安全接入技术，它们具有类似功能特性，但

也存在很大不同。

SSL的“零客户端”解决方案被认为是实现远程接入的最大优势，这对缺乏维护大型IPSec配置资源

的用户来说的确如此。但SSL方案也有不足，它仅支持以代理方式访问基于Web或特定的客户端/服务器

的应用。由服务器直接操纵的应用，如NetMeeting以及一些客户书写的应用程序，将无法进行访问。

IPSec方案安全级别高

基于Internet实现多专用网安全连接，IPSecVPN是比较理想的方案。IPSec工作于网络层，对终端

站点间所有传输数据进行保护，而不管是哪类网络应用。它在事实上将远程客户端“置于”企业内部网，

使远程客户端拥有内部网用户一样的权限和操作功能。

IPSecVPN要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备，这大大提高了安全

级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。

IPSecVPN还能减轻网管负担。如今一些IPSec客户端软件能实现自动安装，不需要用户参与。VPN

服务器能够为终端用户接入设备自动安装和配置客户端软件包，因而无论对网管还是终端用户，安装过程

都大为简化。

IPSecVPN应用优势

SSL用户仅限于运用Web浏览器接入，这对新型基于Web的商务应用软件比较合适，但它限制了非Web

应用访问，使得一些文件操作功能难于实现，如文件共享、预定文件备份和自动文件传输。用户可以通过

升级、增加补丁、安装SSL网关或其它办法来支持非Web应用，但实现成本高且复杂，难以实现。IPSecVPN

能顺利实现企业网资源访问，用户不一定要采用Web接入（可以是非Web方式），这对同时需要以两种方

式进行自动通信的应用程序来说是最好的方案。

IPSec方案能实现网络层连接，任何LAN应用都能通过IPSec隧道进行访问，因而在用户仅需要网络

层接入时，IPSec是理想方案。如今有的机构同时采用IPSec和SSL远程接入方案，IT主管利用IPSecVPN

实现网络层接入，进行网络管理，其他人员要访问的资源有限，一般也就是电子邮件、传真，以及接入公

司内部网（Web浏览），因而采用SSL方案。这正是充分利用了IPSec的网络层接入功能。

IPSecVPN与SSLVPN优劣比较

IPSecVPN和SSLVPN各有优缺点。IPSecVPN提供完整的网络层连接功能，因而是实现多专用网安

全连接的最佳选项；而SSLVPN的“零客户端”架构特别适合于远程用户连接，用户可通过任何Web浏览

器访问企业网Web应用。SSLVPN存在一定安全风险，因为用户可运用公众Internet站点接入；IPSecVPN

需要软件客户端支撑，不支持公共Internet站点接入，但能实现Web或非Web类企业应用访问。

MetaGroup认为，不能简单地给IPSec与SSL方案的优劣下定论。客户在关注应用方案本身的同时，

还应考虑远程机器外围设备的安全性，如是否配置有个人防火墙和反病毒防护系统。IT主管需要综合评估

商务应用需求，以决定采纳哪类VPN策略。

SSLVPN与IPSecVPN之安全区别

随着SSLVPN应用的逐渐加温，越来越多的企业开始采纳SSLVPN的网络架构，来解决企业的远程访问需

求。但是自然有许多的观望者，质疑SSLVPN的安全性和网络的兼容性。对于网络的兼容性，由于IPSec

和SSL采取Internet网络中的不同网络层来进行安全加密处理，以建立网络安全通道，因此在网络的安全

管理等级上，各有所长。以下，我们分别从不同的角度来探讨这两种VPN应用的安全区别。

1.安全通道(SecureTunnel)－IPSec和SSL这两种安全协议，都有采用对称式(Symmetric)和非对

称式(Asymmetric)的加密算法来执行加密作业。在安全的通道比较上，并没有谁好谁坏之差，仅在于应用

上的不同。以下批注来自美国纽约州水牛城CatholicHealth系统公司的网络和技术服务总监，“这不是

谁对谁错的问题，而是何者可以满足不同的需求”。Catholic