IT产品热门报价
 手机 更多>>
 笔记本 更多>>
 数码产品 更多>>
 电脑硬件 更多>>
HOT: 柯达 泡泡堂 优化大师 FIFA 魔兽世界 热血传奇 劲乐团 准系统
·北京 ·上海 ·广州
·杭州 ·深圳 ·苏州
·天津 ·西安 ·合肥
·南京 ·重庆 ·宁波

游戏
  • 仙境传说RO
  • FIFA
  • 魔兽世界
  • 热血传奇
  • 梦幻西游
  • 反恐精英 CS
  • 变速齿轮
  • 泡泡堂
  • 封神榜
  • 航海世纪
    		•
  • 奇迹
  • 劲乐团
  • 英雄王座
  • A3
  • 极品飞车
  • 魔力宝贝
  • 星际争霸
  • 天堂2
  • 魔兽争霸
  • 大话西游II
    		•
    软件
  • 网际快车
  • PP点点通
  • Photoshop
  • Firefox
  • 五笔
  • e话通
  • Ghost
  • BT
  • QQ
  • 优化大师
    		•
  • 超级解霸
  • 百宝
  • ACDSee
  • 影音传送带
  • Winrar
  • 金山快译
  • 金山毒霸
  • 天网防火墙
  • 优化大师
  • 金山词霸
    		•
    ·手机 ·笔记本
    ·电脑硬件 ·MP3
    ·数码相机 ·DV
    ·品牌机 ·办公产品
    ·网络产品 ·服务器
    ·投影机
    ·准系统     		·人体摄影
    首页 >> 网络产品 >> 企业组网指导
    SSL VPN与IPsec VPN安全比较 [企业组网指导]
    厂商供稿
    2005-4-15 9:11:00 文/
      随着SSL VPN应用的逐渐加温,越来越多的企业开始采纳SSL VPN的网络架构,来解决企业的远程访问需求。但是自然有许多的观望者,质疑SSL VPN的安全性和网络的兼容性。对于网络的兼容性,由于IPSec和SSL采取Internet网络中的不同网络层来进行安全加密处理,以建立网络安全通道,因此在网络的安全管理等级上,各有所长。以下,我们分别从不同的角度来探讨这两种VPN应用的安全区别。

       1. 安全通道(Secure Tunnel)-IPSec和SSL这两种安全协议,都有采用对称式(Symmetric)和非对称式(Asymmetric)的加密算法来执行加密作业。在安全的通道比较上,并没有谁好谁坏之差,仅在于应用上的不同。以下批注来自美国纽约州水牛城Catholic Health系统公司的网络和技术服务总监,"这不是谁对谁错的问题,而是何者可以满足不同的需求"。Catholic Health系统公司提供四所医院相关医疗单位的网络系统和技术服务。最近他们采用了SSL VPN系统给500位医生和诊所,可以从远程来执行医疗操作系统,查询和更新病人的所有数据,但是他们仍然采用IPSec VPN来连结医院之间点对点的网络。

      2. 认证和权限控管-IPSec采取Internet Key Exchange(IKE)方式,使用数字凭证(Digital Certificate) 或是一组Secret Key来做认证,而SSL仅能使用数字凭证,如果都是采取数字凭证来认证,两者在认证的安全等级上就没有太大的差别。SSL的认证,大多数的厂商都会建置硬件的token,来提升认证的安全性。对于使用权限的控管,IPSec可以支持「Selectors」,让网络封包过滤喊阻隔某些特定的主机货应用系统。但是实际作业上,大多数人都是开发整个网段(Subset),以避免太多的设定所造成的麻烦。SSL可以设定不同的使用者,执行不同的应用系统,它在管理和设定上比IPSec简单方便许多。

      3. 安全测试-IPSec VPN已经有多年的发展,有许多的学术和非营利实验室,提供各种的测试准则和服务,其中以ICSA Labs是最常见的认证实验室,大多数的防火墙,VPN厂商,都会以通过它的测试及认证为重要的基准。但SSL VPN在这方面,则尚未有一个公正的测试准则,但是ICSA Labs实验室也开始着手SSL/TLC的认证计划,预计在今年底可以完成第一阶段的Crypto运算建置及基础功能测试程序。

      4. 应用系统的攻击-远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,都是可以侦测得到,这就提供了黑客攻击的机会。若是采取SSL-VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络物制,所受到的威胁也仅是所联机的这个应用系统,攻击机会相对就减少。  

       5. 病毒入侵-一般企业在Internet联机入口,都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。相对于SSL VPN的联机,所感染的可能性,会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。

      6. 防火墙上的通讯埠(port)-在TCP/IP的网络架构上,各式各样的应用系统会采取不同的通讯协议,并且通过不同的通讯埠来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯埠是采用port 25,若是从远程电脑来联机Email服务器,就必须在防火墙上开放port 25,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个黑客攻击机会。反观之,SSL VPN就没有这方面的困扰。因为在远程主机与SSL VPN Gateway之间,采用SSL通讯埠(port 443)来作为传输通道,这个通讯埠,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。
      
      IPSec VPN 和SSL VPN这两种VPN架构,从整体的安全等级来看,两种都能够提供安全的远程登入存取联机。但综观上述,SSL VPN在其易于使用性及安全层级,都比IPSec VPN高。我们都知道,由于Internet的迅速扩展,针对远程安全登入的需求也日益提升。对于使用者而言,方便安全的解决方案,才能真正符合需求。
    ·IT产品报价大全
    更多相关: 手机
    在百度中更多内容: 服务器
    加入博采中心 打印此页 投稿与建议 返回顶部

    相关文章
    IT产品报价快速通道
    手机 诺基亚 摩托罗拉 索尼爱立信 三星 西门子 飞利浦 LG 松下 NEC 阿尔卡特 三菱 联想 波导 迪比特 明基 夏新 多普达 南方高科 科健 中桥 大唐 东信 首信
    笔记本 IBM 惠普 戴尔 东芝 索尼 华硕 富士通 宏碁 联想 NEC 三星 LG 苹果 明基 松下 夏普 方正 清华紫光 清华同方 长城 TCL 清华同仁 优派 神舟 七喜 夏新 思登 联宝 微星 京东方 腾龙 海尔 NETBOOK 顶星 八亿时空
    数码相机 佳能 索尼 尼康 柯尼卡美能达 柯达 富士 奥林巴斯 卡西欧 松下 宾得 三星 理光 明基 爱国者 联想 拍得丽
    数码摄像机 索尼 松下 佳能 夏普 三星 JVC 掌上电脑 惠普 奔迈 神达 索尼 联想 华硕 快译通 铂杰 宏碁 ·准系统
    MP3 艾利和 三星 苹果 MPIO 创新 JNC 索尼 爱华 爱欧迪 WeWa!! 爱国者 天诺思 朝华 魅族 大恒 丹丁 昂达 联想 明基 友拓 松日 奥美嘉 优百特 台电 爱琴 HUU ANN 现代 纽曼 金美达 中恒 万城 德劲 Netac 方正 科旗 太阳花 爱基 锐拓 YEP DiGiME 北奥 Beto 领域 道勤 可欧 Ninon 德易城 比萨 歌美
    品牌机 联想 惠普 戴尔 IBM 苹果 宏碁 方正 清华同方 七喜 实达 长城 神舟 TCL 海尔
    服务器 IBM Sun 惠普 英特尔 浪潮 曙光 联想 方正 清华同方 日电 华硕 微星 长城 戴尔 AblestNet 宏碁 致荣 五舟 金品 大恒 越海扬波 宝德 睿智 八亿时空 智翔
    游戏 仙境传说RO FIFA 魔兽世界 热血传奇 梦幻西游 反恐精英 CS 变速齿轮 泡泡堂 封神榜 星际争霸 天堂2 魔兽争霸 大话西游II 奇迹 劲乐团 英雄王座 A3 极品飞车 魔力宝贝
    软件 网际快车 PP点点通 Photoshop Firefox 五笔 e话通 Ghost BT QQ 金山词霸 超级解霸 百宝 ACDSee 影音传送带 Winrar 金山快译 金山毒霸 天网防火墙 优化大师