东软股份网络安全资深顾问
最近一段时间,媒体上经常可以看到关于另外一种VPN技术的文章--SSL VPN技术。本文就IPSec VPN与SSL VPN技术进行详细的比较,以便各界用户能够更好的了解VPN的技术,选择合适的VPN产品。
有别于传统VPN的另外一种VPN实现技术是采用基于SSL的VPN。这种基于SSL的VPN提供了与IPSec VPN近似的安全性。由于讨论IPSec VPN的文章比较多,所以笔者在此就不再赘述,只是阐述SSL VPN的工作原理和两种技术的对比。
※ SSL VPN如何工作
SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。
※ SSL VPN的劣势
由于是一种相对来说还没有大量应用的技术,目前能够提供相应产品和服务的厂商也不多,那么SSL VPN这种技术与IPSec VPN相比,究竟有什么劣势呢?笔者在这里做一个简要的分析。
SSL VPN应用的局限性很大,只适用于数据库-应用服务器-Web服务器-浏览器这一种模式。在部署方式、保护范围、认证方式上限制很多,这也是SSL VPN市场有限的原因之一。
另外,具体到我们国家,国家商用密码管理部门有明确的规定(比如国务院273号令),表明我国在政策上就不允许使用那些采用DES的SSL VPN技术。
※ SSL VPN的问题
1、SSL VPN的认证方式比较单一,只能采用证书,而且一般是单向认证。支持其它认证方式往往要进行长时间的二次开发。IPSec VPN认证方式更为灵活(口令、RADIUS、令牌等)。
2、SSL VPN只能进行认证和加密,不能实施访问控制,建立隧道后,管理员对用户不能进行任何的限制。而集成防火墙的VPN则可以根据用户的身份和角色,在其访问内部资源(主机、数据库)进行访问控制和安全审计,这也是用户最为关心的一点。
3、要实现网络-网络的安全互联,只能考虑采用IPSecVPN。
4、应用层局限性
SSL VPN的另一个主要局限在于用户只能访问基于Web服务器的应用,而IPSec VPN却几乎可以为所有的应用提供访问,包括客户端/服务器模式和某些传统的应用。
一个企业往往有很多种应用(OA、财务、销售管理、ERP,很多并不基于Web),单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果(比如网上邻居,而SSL VPN只能保护应用层协议,如WEB、FTP等),保护更多的应用这点,SSL VPN根本做不到。
5、SSL VPN需要CA的支持,企业必须外购或自己部署一个小型的VPN系统。对于一个企业来说(哪怕是IT企业)证书的管理也是一件相当复杂的工作。
6、性能
SSL VPN是应用层加密,性能比较差。目前,VPN可以达到千兆甚至接近10G,而SSL VPN由于是应用层加密,即使使用加速卡,通常只能达到300M左右的性能。
基于以上分析,SSL VPN所具有的先天局限性导致了在大范围部署的VPN方案中,SSL VPN远远不能解决用户的需求,所以希望用户在选择产品的时候能够认真的考虑并仔细选择。
更详细内容请到 http://media.ccidnet.com/media/ciw/1236/c1802.htm 查询