IPSec VPN和SSL VPN.docVIP

虚拟专用网络 (VPN：Virtual Private Network )：通过公用网络（如Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 　　VPN有多种，每种都能满足特定的需求。下面是三种主要的VPN： 　　1、接入VPN：接入VPN让移动办公者和小型办公室/家庭办公室SOHO能通过基础的共享设施远程接入总部的内部网和外联网。 　　* “外联网(Extranet)”是不同单位间为了频繁交换业务信息，而基于互联网或其他公网设施构建的单位间专用网络通道。因为外联网涉及到不同单位的局域网，所以不仅要确保信息在传输过程中的安全性，更要确保对方单位不能超越权限，通过外联网连入本单位的内网。 　　2、内部网VPN：内部网VPN使用专用连接通过共享基础设施将地区性办事处和远程办公室与总部的内部网络连接起来。内部网VPN与外联网VPN区别在于，前者只允许企业的雇员访问。 　　3、外联网VPN：处联网VPN使用专用连接通过共享基础设施将商业伙伴与总部网络连接起来。外联网VPN与内部网VPN的区别在于，前者允许企业以外的用户访问。 　　虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时这也将简化网络的设计和管理。 　　SSL VPN 与 IPSec VPN 　　SSL VPN提供安全、可代理连接，只有经认证的用户才能对资源进行访问。SSL VPN能对加密隧道进行细分，从而使得终端用户能够同时接入Internet和访问内部企业网资源，也就是说它具备可控功能。另外，SSL VPN还能细化接入控制功能，易于将不同访问权限赋予不同用户，实现伸缩性访问；这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。 　IPSec VPN通过在两站点间创建隧道提供直接（非代理方式）接入，实现对整个网络的透明访问；一旦隧道创建，用户PC就如同物理地处于企业LAN中。就通常的企业高级用户（Power User）和LAN-to-LAN连接所需要的直接访问企业网络功能而言，IPSec无可比拟。然而，典型的SSL VPN被认为最适合于普通远程员工访问基于Web的应用。SSL VPN不需要在最终用户的PC和便携式电脑上装入另外的客户软件。有些公司之所以选择SSL而不是IPSec，这项不需要客户软件的功能正是一个重要因素。因为最终用户避免了携带便携式电脑，通过与因特网连接的任何设备就能获得访问，SSL更容易满足大多数员工对移动连接的需求。但SSL VPN也有其缺点。业内人士认为，这些缺点通常涉及客户端安全和性能等问题。对E-mail和Intranet而言，SSL VPN是很好；但对需要较高安全级别（SSL VPN的加密级别通常不如IPSec VPN高）、较为复杂的应用而言，就需要IPSec VPN。 　　IPSec是提供站点到站点连接的首要工具，通过这种连接，你可以在广域网（WAN）上实现基础设施到基础设施的通信。而SSL VPN不需要客户软件的特性有助于降低成本、减缓远程桌面维护方面的担忧。但是，SSL的局限性在于，只能访问通过网络浏览器连接的资源。所以，这要求某些应用要有小应用程序，这样才能够有效地访问。如果企业资产或应用没有小应用程序，要想连接到它们就比较困难。因而，你无法在没有客户软件的环境下运行，因为这需要某种客户软件丰富（Client-Rich）的交互系统。 　　SSL这种方案可以解决OS客户软件问题、客户软件维护问题，但肯定不能完全替代IPSec VPN，因为他们各自所要解决的是几乎没多少重叠的两种不同问题： 　　1、SSL优势其实主要集中在VPN客户端的部署和管理上，我们知道SSL无需安装客户端，主要是由于浏览器内嵌了SSL协议，也就是说是基于B/S结构的业务时，可以直接使用浏览器完成SSL的VPN建立；但如果客户的应用系统采用的是C/S结构的话，仍然需要安装Client软件； 　　2、目前进行VPN部署的用户大部分都是要求对现有业务需要支持的用户，而据统计这样的用户95％以上都有基于C/S架构的重要应用系统，也就是说其“Client软件无需安装”的优势是有很大局限性的； 　　3、基于B/S结构的安全