IPSec VPN与SSL VPN比较

东软股份网络安全资深顾问  　　

　　最近一段时间，媒体上经常可以看到关于另外一种VPN技术的文章－－SSL VPN技术。本文就IPSec VPN与SSL VPN技术进行详细的比较，以便各界用户能够更好的了解VPN的技术，选择合适的VPN产品。 　

　　有别于传统VPN的另外一种VPN实现技术是采用基于SSL的VPN。这种基于SSL的VPN提供了与IPSec VPN近似的安全性。由于讨论IPSec VPN的文章比较多，所以笔者在此就不再赘述，只是阐述SSL VPN的工作原理和两种技术的对比。

※　SSL VPN如何工作
　　
　　SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上，那么当用户在浏览器上输入一个URL后，连接将被SSL代理服务器取得，并验证该用户的身份，然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。

※　SSL VPN的劣势

　　由于是一种相对来说还没有大量应用的技术，目前能够提供相应产品和服务的厂商也不多，那么SSL VPN这种技术与IPSec VPN相比，究竟有什么劣势呢？笔者在这里做一个简要的分析。

　　SSL VPN应用的局限性很大，只适用于数据库－应用服务器－Web服务器－浏览器这一种模式。在部署方式、保护范围、认证方式上限制很多，这也是SSL VPN市场有限的原因之一。 　　

　　另外，具体到我们国家，国家商用密码管理部门有明确的规定（比如国务院273号令），表明我国在政策上就不允许使用那些采用DES的SSL VPN技术。

※　SSL VPN的问题
　　
　　1、SSL VPN的认证方式比较单一，只能采用证书，而且一般是单向认证。支持其它认证方式往往要进行长时间的二次开发。IPSec VPN认证方式更为灵活（口令、RADIUS、令牌等）。
　　
　　2、SSL VPN只能进行认证和加密，不能实施访问控制，建立隧道后，管理员对用户不能进行任何的限制。而集成防火墙的VPN则可以根据用户的身份和角色，在其访问内部资源（主机、数据库）进行访问控制和安全审计，这也是用户最为关心的一点。

　　3、要实现网络－网络的安全互联，只能考虑采用IPSecVPN。　　
　　
　　4、应用层局限性

　　SSL VPN的另一个主要局限在于用户只能访问基于Web服务器的应用，而IPSec VPN却几乎可以为所有的应用提供访问，包括客户端/服务器模式和某些传统的应用。

　　一个企业往往有很多种应用（OA、财务、销售管理、ERP，很多并不基于Web），单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果（比如网上邻居，而SSL VPN只能保护应用层协议，如WEB、FTP等），保护更多的应用这点，SSL VPN根本做不到。

　　5、SSL VPN需要CA的支持，企业必须外购或自己部署一个小型的VPN系统。对于一个企业来说（哪怕是IT企业）证书的管理也是一件相当复杂的工作。

　　6、性能

　　SSL VPN是应用层加密，性能比较差。目前，VPN可以达到千兆甚至接近10G，而SSL VPN由于是应用层加密，即使使用加速卡，通常只能达到300M左右的性能。

　　基于以上分析，SSL VPN所具有的先天局限性导致了在大范围部署的VPN方案中，SSL VPN远远不能解决用户的需求，所以希望用户在选择产品的时候能够认真的考虑并仔细选择。

　　更详细内容请到　http://media.ccidnet.com/media/ciw/1236/c1802.htm 查询