| IPsec与SSL利弊分析 |
| 作者/www0 时间/2006-2-16 14:17:00 类别/综合 查看/ |
 发表评论 以论坛方式查看 |
| 标签:网络 组网 |
|
IPsec(互联网协议安全)一段时间以来一直是VPN通信的加密标准。但是,现在有了IPsec的替代标准。本文讨论IPsec与另一种可能的解决方案SSL(安全套接层)之间的区别。 虽然把IPsec协议包含在客户端软件安装向导中并且安装在目前的Windows台式电脑和服务器中使IPsec成为VPN中使用的首选协议,但是,在使VPN运行的时候,IPsec并不是惟一的协议。实际上,IPsec在典型的IP协议堆栈中发挥“封装”的作用。当向外发送的通信经过网络层中的这种“封装”的时候,这个通信数据将被加密并且成为发出的IP数据包的有效载荷,数据包的内容是不透明的。进入网络的数据包采用相反的工作方式,因此,在把数据包进一步发送到协议堆栈之前,只有拥有正确的密钥的指定收件人能够为加密的内容解码。 在评估IPsec VPN选择时,网络专业人员应该考虑下列几点: ·IPsec最适合有大量数据交换的站对站的连接。 ·当使用可管理的PC接入网络时,IPsec VPN客户端软件工作得最好。可以监视和控制PC的配置、软件应用和访问的站点。 ·IPsec VPN客户端软件对于需要访问同一个中央控制的应用程序或者数据库的多个站点的分散用户不能提供最佳的解决方案。 ·必须安装单个VPN客户端软件并且保持每一台需要远程接入的PC都有这个软件;网络用户增加时、访问方式改变时、或者引进新的或者不同的IP地址时,必须重新设置远程客户端软件。 还有一种主流的远程接入技术,使用浏览器通过互联网建立VPN连接——SSL的技术。在比较IPsec和SSL的机制时,会出现如下现象: ·启动一个IPsec进程需要建立和验证与IP相关的一些数据,包括数字的地址以及许多其它设施。这需要比打开浏览器和登录远程服务器还要多的培训和技术支持人员的帮助。 ·NAT(网络地址转换)和IPse可能导致一些问题,因为很多IPsec进程需要建立安全的端对端的连接。任何通过互联网的连接的两端都需要有公网IP地址,并且需要不同的工作区。基于SSL的VPN进程不受这种限制。 ·并非所有的基于IPsec的VPN都是完全兼容的。整合多家厂商的产品是非常困难的。基于SSL的VPN进程可以毫不费力地使用标准的浏览器(所有的浏览器都支持SSL)。 ·有时候需要启用IPsec通信传输一个防火墙和额外的配置。这在家庭或者小办公室环境中是很成问题的,因为那种环境中的基于设备的防火墙是非常普通的,但是,配置和维护这种设备的经验却很欠缺。基于SSL的远程接入不需要这种特殊的处理。 ·当基于IPsec的VPN客户端软件打开一个远程网络进程的时候,这些软件的功能就是远程网络中的对等点。这就很难管理他们可以看到和访问哪些资源,为成功建立这种接入的非授权用户打开了更多的大门。 围绕基于IPsec的VPN的某些最严重的问题也许同开销有关。IPsec VPN能够要求对实际处理的资源进行加密和解密。在其“协议层”结构中增加的多种包封也将占用一些带宽。 基于SSL的VPN的优势是,网络服务接口在服务器端进行协调和管理。管理员能够准确地控制远程客户端软件可以访问什么应用程序、服务和信息。管理员甚至还能够在需要的时间和地点建立多个安全层。基于浏览器的连接工作起来就像是一个传统网络中的瘦客户机,只需要把用户输入传递到服务器,把显示输出到客户端,充分减少了客户端带宽和处理的需求。 SSL VPN能够显著减少开支,但是,这是不是意味着基于IPsec的VPN就过时了呢?由于要考虑上述的技术难题和对IPsec标准的修定目前改仍在进行之中,人们不禁推测其它技术也许会取代IPsec。我不倾向于预测IPsec的灭亡,就像人们很多年以来一直预测的其它互联网协议的消失一样。我预测,IPsec在可以预见的将来仍将存在。这就是说,有加密远程接入需求的公司和机构应该了解还有其它的、减少入侵的和容易管理的替代方法(而且还需要了解如果不使用,其它的替代方法的购买成本更高)。 |
| 查看该用户更多文章>> |