【SSL协议与IPsec协议】给你选择SSL VPN的理由

scanywhere · 发表于 2010-1-25 17:06:33

部署 IPSec VPN 对 SSL VPN
　　IPSec VPN部署、管理成本高。在设计上，IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于，它们尽量提高IP环境的安全性。可问题在于，部署IPSec需要对基础设施进行重大改造，以便远程访问。好处就摆在那里，但管理成本很高。IPSec安全协议方案需要大量的IT技术支持，包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。
　　IPSec VPN最大的难点在于客户端需要安装复杂的软件，而且当用户的VPN策略稍微有所改变时，VPN的管理难度将呈几何级数增长。SSL VPN则正好相反，客户端不需要安装任何软件或硬件，使用标准的浏览器，就可通过简单的SSL安全加密协议，安全地访问网络中的信息。
　　 SSL VPN 安全性和易用性的桥梁。SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求。
　　SSL在Web的易用性和安全性方面架起了一座桥梁。目前，对SSL VPN公认的三大好处是：首先来自于它的简单性，它不需要配置，可以立即安装、立即生效；第二个好处是客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行；第三个好处是兼容性好，传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件，而SSL VPN则完全没有这样的麻烦。
　　因此SSL VPN降低了部署成本，同时也减小对日常性支持和管理的需求。
　　SSL VPN属于即插即用型的VPN。

安全性IPSec VPN 对 SSL VPN
　　SSL VPN相对更安全。IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全，不管怎样，所有运行在内部网络的数据是透明的，包括任何密码和在传输中的敏感数据。
　　SSL安全通道是在客户到所访问的资源之间建立的，确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
　　那么端到端的安全与端到边缘的安全对使用者意味着什么呢？两种VPN技术都需要建立一条通路与访问资源之间进行安全的数据连接，这条安全通路的建立，正是VPN设备所能实现的效果。安全是个延展的概念。在通路本身安全性上，传统的IPsec VPN还是非常安全的，比如在公网中建立的通道，很难被人篡改。说其不安全，是从另一方面考虑的，就是在安全的通路两端，存在很多不安全的因素。比如总公司和子公司之间用IPsec VPN连接上了，总公司的安全措施很严密，但子公司可能存在很多安全隐患，这种隐患会通过IPsec VPN传递给总公司，这时，公司间的安全性就由安全性低的分公司来决定了。
　　比如黑客想要攻击应用系统，如果远程用户以IPSec VPN的方式与公司内部网络建立联机之后，内部网络所连接的应用系统，黑客都是可以侦测得到，这就提供了黑客攻击的机会。若是采取SSL VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络设置，同时黑客攻击的也只是VPN服务器，无法攻击到后台的应用服务器，攻击机会相对就减少。
　　比如应对病毒入侵，一般企业在Internet联机入口，都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机，对于入口的病毒侦测效果是相同的，但是比较从远程客户端入侵的可能性，就会有所差别。采用IPSec联机，若是客户端电脑遭到病毒感染，这个病毒就有机会感染到内部网络所连接的每台电脑。而对于SSL VPN的联机，病毒传播会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接，受外界病毒感染的可能性大大减小。
　　再比如防火墙上的通讯端口，在TCP/IP的网络架构上，各式各样的应用系统会采取不同的通讯协议，并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说，发信和收信一般都是采取SMTP和POP3通讯协议，而且两种通讯端口是采用25端口，若是从远程电脑来联机Email服务器，就必须在防火墙上开放25端口，否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上，每开启一个通讯埠，就多一个黑客攻击机会。反观之，SSL VPN就没有这方面的困扰。因为在远程主机与SSL VPN Gateway之间，采用SSL通讯端口443来作为传输通道，这个通讯端口，一般是作为Web Server对外的数据传输通道，因此，不需在防火墙上做任何修改，也不会因为不同应用系统的需求，而来修改防火墙上的设定，减少IT管理者的困扰。如果所有后台系统都通过SSL VPN的保护，那么在日常办公中防火墙只开启一个443端口就可以，因此大大增强内部网络受外部黑客攻击的可能性。
　　通过以上例子我们不难看到，随着对安全性能要求的不断提高，现在流行的基于IPSec的VPN逐渐显现出的一个主要缺点：正是IPSec这条安全通道的建立，使得分支机构或者在外员工的PC和被访问资源之间形成了一条潜在的“危险通路”，危险容易从分支渗透到VPN另外一端的企业总部。

可扩展性安全性IPSec VPN 对 SSL VPN
　　SSL VPN与IPSec VPN相比，具有更好的克扩展性。这是因为IPSec VPN在部署时，要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可扩展性比较差。而SSL VPN就有所不同，可以随时根据需要，添加需要VPN保护的服务器。

访问控制IPSec VPN 对 SSL VPN
　　为什么最终用户要部署VPN，究其根本原因，还是要保护网络中重要数据的安全，比如财务部门的财务数据，人事部门的人事数据，销售部门的项目信息，生产部门的产品配方等等。
　　由于IPSec VPN部署在网络层，因此，内部网络对于通过VPN的使用者来说是透明的，只要是通过了IPSec VPN网关，他可以在内部为所欲为。因此，IPSec VPN的目标是建立起来一个虚拟的IP网，而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。
　　在电子商务和电子政务日益发展的今天，各种应用日益复杂，需要访问内部网络人员的身份也多种多样，比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是，SSL VPN重点在于保护具体的敏感数据，比如SSL VPN可以根据用户的不同身份，给予不同的访问权限。就是说，虽然都可以进入内部网络，但是不同人员可以访问的数据是不同的。
　　而且在配合一定的身份认证方式的基础上，不仅可以控制访问人员的权限，还可以对访问人员的每个访问，做的每笔交易、每个操作进行数字签名，保证每笔数据的不可抵赖性和不可否认性，为事后追踪提供了依据。

经济性访问控制IPSec VPN 对 SSL VPN
　　同时使用SSL VPN也有更好的经济性，这是因为只需要在总部放置一台硬件设备就可以，就可以实现所有用户的远程安全访问接入；但是对于IPSec VPN来说，每增加一个需要访问的分支，就需要添加一个硬件设备。所以，尤其是对于一个成长型的公司来说，随着IT建设的扩大，要不断购买新的设备来满足需要。
　　另外，就使用成本而言，SSL VPN具有更大的优势，由于这是一个即插即用设备，在部署实施以后，一个具有一定IT知识的普通工作人员就可以完成日常的管理工作。
　　综观上述，SSL VPN在其易于使用性及安全层级，都比IPSec VPN高。我们都知道，由于Internet的迅速扩展，针对远程安全登入的需求也日益提升。对于使用者而言，方便安全的解决方案，才能真正符合需求。
　　用户可选择的远程访问解决方案很多，因此必须依据远程访问不同的特定需求与目标进行选购。今天，大多数信息管理人员都发现，以IPSec VPN作为点对点连结方案，再搭配以SSL VPN作为远程访问方案，则能满足员工、商业伙伴与客户的安全连接需求，是最合适也最具成本效益的组合。

scanywhere · 发表于 2010-1-25 17:18:18

本帖最后由 saibei 于 2010-1-26 07:27 编辑

安全认证传输服务器（SSL VPN）
　　功能简介：
　　实现（远程专网、远程局域网或者因特网）安全访问应用服务器的功能。

　　应用领域：
　　对于各种需要远程访问的BS/CS服务，SSL VPN是首选的远程访问解决方案。

　　产品概述
　　产品是一个纯应用层的SSL VPN设备，提供对应用服务器的保护、对通信的数据保密性、对通信双方的进行高强度的身份认证，对关键数据实现细粒度的访问控制。
　　产品支持各种复杂的基于B/S架构的应用，内部受保护的服务器可设置成只接收来自安全认证传输服务器的访问请求，保证服务器对外网不可见。支持各种复杂的基于C/S架构的应用，首先用户需要登录安全认证传输服务器，经过身份认证后，进入该用户的授权资源页，点击被授权可以访问的内部C/S服务器。
　　从安全性的角度出发，产品提供多因素身份认证方式，如证书认证、RADIUS认证、RSA Secure ID认证。产品内嵌有短信认证模块。

　　产品特性
　　> 支持多种C/S应用功能
　　支持FTP/TELNET/ SSH/Microsoft TS/文件共享/MS Exchange,pop3,IMAP邮件服务器/远程遥控。

　　> 独有“e-Translating Engine”技术，适应各种复杂WEB应用
　　针对各种复杂的基于WEB的应用，研发了独有的“e-Translating Engine”技术，该转译引擎使得产品能够适应各种复杂的网络应用。

　　> 完全隔离病毒、蠕虫和木马，确保应用服务器安全
　　产品由于是完全在应用层传输数据，网络并未相通，确保病毒、蠕虫、木马无法攻击应用服务器，确保应用服务器的安全。

　　> 采用SSL VPN“Speed Gate”加速技术
　　为了保护网络的高效率，采用了加速技术，最大限度地消除网络传输瓶颈。

　　> 针对URL授权的更高的访问权限控制
　　与传统的远程访问不同，VPN提供对远程访问更加细颗粒度的权限控管，对于远程用户的访问权限控制甚至可以细化到内网中的一个URL地址或一个实例。

　　> 远程终端痕迹清除技术（Cookies Auto Clean）
　　远程终端仅使用浏览器及动态运行Java JVM，当用户退出该应用或关闭浏览器后，Session将被清除，在远程终端不会留下任何用户痕迹。

　　> 强大的日志审计技术
　　通过安全认证传输服务器的系统管理平台，企业可以记录包括用户名、主机名、客户端的IP地址、session的开始/结束时间、session使用时间以及session的类型。

　　典型案例
　　信达证券
　　总公司和60多个营业部均需要通过因特网和远程局域网访问办公系统、财务系统、人力资源系统、营销平台系统等多个应用系统，各个系统实现复杂，采用不同的Web服务器和插件。根据具体系统安全要求，进行统一规划，采用不同安全级别的访问方式，采用员工的唯一的用户名。在SSL VPN的保护下，将原来只能内网访问的财务、人力资源、营销平台等多个系统资源向因特网开放。

　　

ghhfhs · 发表于 2013-1-22 14:53:02

我试过好\多\减::肥__药::和减::肥__【茶了，效\果\都\不太好。还＿好朋友\推::荐\我\N::E::减::肥::::::茶，我到＿乐☆⊙__购__时__尚::网__上面定了一个疗程，这次真的减__下来了。最\重＿要＿的是，没拉::::::__肚子，没反＿弹。我\觉\得\值☆⊙得☆⊙推__【__荐__给大【家！cam

【SSL协议与IPsec协议】给你选择SSL VPN的理由

浏览过的版块