你都做过那些产品的sslvpn ? 我接触的大多数也没你说的这么弱啊
1、SSL VPN的认证方式比较单一,只能采用证书,而且一般是单向认证。支持其它认证方式往往要进行长时间的二次开发。IPSec VPN认证方式更为灵活(口令、RADIUS、令牌等)。
一般是单向认证这没错 ,但双向认证的也不少. 认证方式不下10种.
ActivCard ActivPack
Active Directory (LDAP/NTLM)
Defender PassGo
Digital certificates / PKI
eAladdin eSafe
IBM Directory Server
iPlanet Directory Server
LDAP
Local login/password
Netegrity SiteMinder Single-Sign On
Novell eDirectory Server
NT Domain (NTLM)
Radius
RSA ACE Server / SecurID
Safe3w IDshield SecureAccess
SecureComputing Safeword Premier Access
UNIX NIS
2、SSL VPN只能进行认证和加密,不能实施访问控制,建立隧道后,管理员对用户不能进行任何的限制。而集成防火墙的VPN则可以根据用户的身份和角色,在其访问内部资源(主机、数据库)进行访问控制和安全审计,这也是用户最为关心的一点。
sslvpn产品在访问控制上它的细粒度更高,也同样可以可以根据用户的身份和角色,在其访问内部资源
3、要实现网络-网络的安全互联,只能考虑采用IPSecVPN。
无可否认IPSec是比ssl安全
4、应用层局限性
SSL VPN的另一个主要局限在于用户只能访问基于Web服务器的应用,而IPSec VPN却几乎可以为所有的应用提供访问,包括客户端/服务器模式和某些传统的应用。
一个企业往往有很多种应用(OA、财务、销售管理、ERP,很多并不基于Web),单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果(比如网上邻居,而SSL VPN只能保护应用层协议,如WEB、FTP等),保护更多的应用这点,SSL VPN根本做不到。
也没你说的这么少 看这个
支持所有应用,包括基于Web的应用、客户端/服务器、主机、终接服务器和双向应用(VoIP、在线协作工具)和文件服务器等。作为软件解决方案,StoneGate SSL VPN可定制用于支持任何类型的应用,这是它的独有特性。
另一款
 内部网络的内容应用和基于WEB的应用
 客户端/服务器 应用
 所有的消息服务器(MS Exchange, Lotus Notes)
 文件服务器(MS CIFS, NFS)
 Telnet, SSH
 标准的邮件服务器(IMAP, POP, SMTP)
 其他应用:包括TCP、UDP和ICMP和组播
5、SSL VPN需要CA的支持,企业必须外购或自己部署一个小型的VPN系统。对于一个企业来说(哪怕是IT企业)证书的管理也是一件相当复杂的工作。
一般设备内部都自带有小型ca系统,,无须再建 也可和已有的第三方ca集成 |
发表于 2006-5-18 18:50:46
发表于 2006-5-19 10:30:21
发表于 2006-5-19 14:04:07