IPsec vpn與SSL vpn比較與分析

趙菁

摘要：IPsec vpn與SSL vpn是應用較多的vpn技術，它們在底層協議、連接方式、安全等方面存在著一定的差異，通過比較這些差異，分析了它們各自的特點，給出了企業在選擇 vpn產品時的建議。

關鍵詞：IPsec vpn；SSL vpn；比較與分析

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2017）10-0183-02

1 引言

虛擬專用網（Virtual Private Network）是一種通過共享的公共網絡建立私有的數據通道，將各個需要接入這張虛擬網的網絡或終端通過通道連接起來，構成一個專用的、具有一定安全性和服務質量保證的網絡。按照VPN技術實現的網絡層次可以分為基于數據鏈路層的VPN、基于網絡層的VPN和基于應用層的VPN。本文討論的IPSec VPN是基于網絡層的VPN，而SSL VPN是基于應用層的VPN。基于IPSec協議的VPN技術在VPN中得到廣泛應用，但是由于其存在的一些缺點，基于SSL協議的VPN出現了，本文重點比較這兩種技術的特點以及適用場合。

2 IPsec vpn定義

IPSec（IP Security）協議族是IETF制定的一系列安全協議，它為端到端IP報文交互提供了基于密碼學的、可互操作的、高質量的安全保護機制。IPSec VPN是利用IPSec隧道建立的網絡層VPN。

IPSec不是一個單獨的協議，而是一組協議。IPSec協議由認證頭（AH，Authentication Header）、封裝安全載荷（ESP，Encapsulating Security Payload）因特網密鑰交換協議（Internet Key Exchange，IKE）等一系列子協議構成。IPSec安全協議（AH/ ESP）定義了如何通過在IP數據包中增加擴展頭和字段來保證IP包的機密性、完整性和可認證性。IPSec密鑰交換協議IKE定義了通信實體間進行身份認證、創建安全關聯、協商加密算法以及生成共享會話密鑰的方法。

3 SSL VPN定義

安全套接層（Secure socket Layer，SSL）協議是由Netscape公司開發的一套Internet數據安全協議，目前已廣泛應用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸。SSL協議要求建立在傳輸層協議之上。SSL的優勢在于它是與應用層協議獨立無關的。SSL協議在應用層協議通信之前就已經完成加密算法、通信密鑰的協商以及服務器認證工作。在此之后應用層協議所傳送的數據都會被加密，從而保證通信的私密性。

4 IPSEC VPN與SSL VPN的比較

4.1 安全防護

SSL與IPSec安全協議一樣，提供加密和身份驗證。但是，SSL協議只對通信雙方傳輸的應用數據進行加密，而不是對從一個主機到另一主機的所有數據進行加密，它們防護的差異如圖1所示。

4.2 加密算法

4.2.1 IPSec vpn中的加密算法

ESP能夠對IP報文內容進行加密保護，防止報文內容在傳輸過程中被窺探。加密算法實現主要通過對稱密鑰系統，它使用相同的密鑰對數據進行加密和解密。

一般來說IPSec使用加密算法有以下幾種：DES（Data Encryption Standard），使用56bit的密鑰對一個64bit的明文塊進行加密；3DES（Triple Data Encryption Standard），使用三個56bit的DES密鑰（共168bit密鑰）對明文進行加密；AES（Advanced Encryption Standard），使用AES密鑰對明文進行加密。密鑰的長度分為128bit、192bit、256bit。

4.2.2 SSL vpn中的加密算法

SSLV2協議和SSLV3協議支持的加密算法包括RC4、RC2、IDEA和DES，而加密算法所用的密鑰由消息散列函數MD5產生。

4.3 身份驗證

SSL VPN提供單/雙向/數字證書。在建立SSL連接之前，客戶端和服務器之間需要進行身份認證，認證采用數字證書，可以是客戶端對服務器的認證，也可以是雙方進行雙向認證。而IPSec VPN只提供雙向數字證書身份認證。

4.4 安裝

使用IPSec VPN，遠程用戶必須安裝IPSec VPN客戶端軟件，并且在首次使用IPSec VPN之前，在客戶端和服務器端都要手動配置一些比較復雜的網絡參數和策略。而SSL VPN無需安裝任何客戶端軟件，也無需進行任何手動配置，因為它是基于web瀏覽器加密的。如常見的IE、火狐、谷歌等瀏覽器都可以。用戶只要給出用戶名、密碼和SSL網關的URL，即可實現與遠程服務器的無逢連接。

4.5 數據安全

IPSEC VPN使用消息鑒別機制實現數據源認證服務.它的安全協議的特點是只需要在客戶和網絡資源邊緣處建立通道。SSL的安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全.無論在內部網絡還是在因特網上數據都不是透明的，即IPSEC VPN提供端到邊緣的安全性，而SSL VPN提供端到端、用戶到資源的安全性。另外，SSL VPN 更容易提供細粒度訪問控制，可以對用戶的權限、資源、服務、文件進行更加細致的控制，與第三方認證系統（如：radius、AD等）結合更加便捷。而IPSec VPN主要基于IP組對用戶進行訪問控制。

4.6 可訪問性

IPSEC VPN只有已經定義好受控用戶才能訪問企業資源，適合于企業內部使用；而SSL VPN的用戶可以實現在任何時間、任何地點訪問企業資源，因此這種方式適用于企業的客戶、合作伙伴、供應商訪問企業資源。endprint

4.7 費用

與IPSEC VPN客戶端管理費用高的缺點對比，SSL VPN 通信基于標準TCP/UDP，不受NAT 限制，能夠穿越防火墻，使用戶在任何地方都能夠通過SSL VPN 虛擬網關代理訪問內網資源，使得遠程安全接入更加靈活簡單，大大降低了企業部署維護VPN 的費用。

4.8 易用性

IPSEC VPN需要培訓，SSL VPN簡單友好。

4.9 應用支持

IPSEC VPN支持所有基于IP協議的服務，SSL VPN提供對HTTP/TELNET/NMTP/FTP協議的支持。

4.10 可伸縮性

IPSec VPN比較困難，SSL VPN容易配置和擴展。

4.11 應用場景

IPSEC VPN的主要應用場景包括3個方面：第一，網關（如防火墻）之間。此種應用場景也叫點到點或點到多點IPSec VPN，主要用于公司總部與分支機構之間建立IPSec隧道，從而實現局域網之間互通。第二，主機與網關之間。主要用于出差員工通過互聯網需要訪問總部資源時。第三，主機與主機之間。主機之間通過互聯網進行數據傳輸，需要加密時，加解密操作在主機側完成。這種類型在實際應用中幾乎不用。

SSL VPN網關多部署于企業的網絡出入口，應用服務器之前，介于遠程用戶和服務器之間，控制兩者的通信。

5 結語

本文從十一個方面對IPSEC VPN與SSL VPN進行了比較分析，它們的保護范圍不同，IPSEC VPN支持在IP層及以上協議層進行數據安全保護，而SSL VPN支持對傳輸層以上協議層進行數據安全保護。IPSec協議基于策略對數據包進行安全保護，如對某業務數據流采用某類保護措施，而對另一類業務數據流采用其它類保護措施，或不進行任何保護措施。而SSL VPN解決了IPSEC VPN中存在的如客戶端管理費用高、NAT問題、安全風險、無基于應用的用戶認證授權審計等問題。具有無客戶端的便捷部署、應用層接入的安全保護、提升了企業延展的效率等技術優勢。不過這種方案的問題在于，SSL VPN的加密級別通常不如IPSec VPN高。所以，盡管部署和支持成本比較低，但SSL VPN仍有其缺點。同時，SSL VPN還具有一定的局限性，只能訪問通過網絡瀏覽器連接的資源。兩種技術在應用上具有很大的互補性。企業在選購VPN產品的時候，可以針對這些優缺點，結合企業自身的應用合理的選擇合適的VPN產品。

參考文獻

[1]徐家臻.基于IPSec與基于SSL的VPN的比較與分析[J].計算機工程與設計，2004，25（4）：586-588.

[2]尹淑玲.SSLVPN技術及應用研究[J]計算機技術與發展，2013，23（6）：129-131.endprint