论ipsecvpn和sslvpn的优劣及适应性.docxVIP

陈侃侃 138008 虚拟专用网络 虚拟专用网络 (VPN： Virtual Private Network) VPN是通过公用网络 （如 Internet ）建立一个临时的、安全的连接， 是一条穿过混乱的公用 网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。随着网络， 尤其是网络经济 的发展，企业规模日益扩大，客户分布日益广泛， 合作伙伴日益增多， 传统企业网基于固定 地点的专线连接方式， 已难以适应现代企业的需求。 于是企业在自身网络的灵活性、 安全性、 经济性、扩展性等方面提出了更高的要求。虚拟专用网（ VPN）以其独具特色的优势，可以 帮助远程用户、 公司分支机构、 商业伙伴及供应商同公司的内部网建立可信的安全连接， 并 保证数据的安全传输。 因此，虚拟专用网赢得了越来越多的企业的青睐， 通过将数据流转移 到低成本的网络上， 一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远 程网络连接上的费用。 同时这也将简化网络的设计和管理。 令企业可以较少地关注网络的运 行与维护， 更多地致力于企业商业目标的实现。 如下图可以清楚的看到目前流行的， 应用比 较广泛两种 VPN的连接方式—— IPsec VPN 和 SSL VPN。 图 1 VPN 有多种，每种都能满足特定的需求 下面是二种主要的 VPN： 1）内部网接入 VPN：接入 VPN让移动办公者和小型办公室 / 家庭办公室 SOHO能通过基础的 共享设施远程接入总部的内部网和外联网。 该方式使用专用连接通过共享基础设施将地区性 办事处和远程办公室与总部的内部网络连接起来。内部网接入 VPN与外联网 VPN区别在于， 前者只允许企业的雇员访问。 2）外联网 VPN：（“外联网 (Extranet) ”是不同单位间为了频繁交换业务信息，而基于互联 网或其他公网设施构建的单位间专用网络通道。 因为外联网涉及到不同单位的局域网， 所以 不仅要确保信息在传输过程中的安全性， 更要确保对方单位不能超越权限， 通过外联网连入 本单位的内网。 ）外联网 VPN使用专用连接通过共享基础设施将商业伙伴与总部网络连接起 来。外联网 VPN与内部网 VPN的区别在于，前者允许企业以外的用户访问。 IPSec VPN IPSec 是现在企业网络通讯应用中被广泛使用的加密及隧道技术， 同时也是在不牺牲安全性 前提下，被选用来在网络第三层建立 IP-VPN 的方法，特別是对于无法负担 Frame Relay 或 ATM高額费用的中小企业而言， IPSec 的应用是一项福音。而目前 SSL VPN以其设置简单无 需安装客户端的优势，越来越受到企业的欢迎，可望成为未来企业确保信息安全的新宠。 IPSec VPN 即指采用 IPSec 协议来实现远程接入的一种 VPN 技术 ,IPSec 是 IETF(Internet Engineer Task Force) 正在完善的安全标准， 相对于 SSL VPN而言应用较早的一种 VPN技术。 IPSec 协议是一个范围广泛、开放的虚拟专用网安全协议 , 它提供所有在网络层上的数据保 护，提供透明的安全通信。 IPSec 是基于网络层的，不能穿越通常的 NAT、防火墙。 1） IPsec 协议 IP_SECURITY协议 (IPSec) ，通过相应的隧道技术，可实现 VPN。IPSec 有两种模式：隧道模 式和传输模式。 IPSec 协议不是一个单独的协议，它给出了应用于 IP 层上网络数据安全的 一整套体系结构，包括网络认证协 Authentication Header(AH) 、封装安全载荷协议 Encapsulating Security Payload(ESP) 、密钥管理协议 Internet Key Exchange(IKE) 和用 于网络认证及加密的一些算法等。 IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。 2） IPSec VPN 接入 通过在两站点间创建隧道提供直接（非代理方式） 接入， 实现对整个网络的透明访问； 一旦 隧道创建，用户 PC就如同物理地处 于企业 LAN中。就通常的企业高级用户（ Power User ）和 LAN-to-LAN 连接所需要的直接访 问企业网络功能而言， IPSec 无可比拟。 然而，典型的 SSL VPN被认为最适合于普通远程员工访问基于 Web的应用。 SSL VPN不需要 在最终用户的 PC和便携式电脑上装入 另外的客户软件。有些公司之所以选择 SSL而不是 IPSec ，这项不需要客户软件的功能正是 一个重要因素。因为最终用户避免了携 带便携式电脑，通过与