IPSec
从20世纪90年代中期开始,IPSec VPN逐步受到人们重视。IPSec VPN在远程访问者和企业局域网之间创建加密“隧道”,从而允许使用者就像他们在公司局域网内部一样工作,即使他们处在很遥远的地方。为了创建这个加密隧道,需要安装VPN的集中器和每一个使用者的笔记本上安装专用软件。
如上图,IPSec VPN是工作在IP层上,是在networks层进行认证和加密的,它的建立需要在VPN的两端建立IPSec 隧道,一旦隧道建立好,所有的数据流量都从这个隧道穿过,并可以支持之上任意一种IP应用。
IPSec 隧道的建立采用Authentication Header (AH) 协议或 Encapsulating Security Payload (ESP) 协议。IPSec 是一套IETF制定的标准安全协议。
IPSec可以采用40-bit、128-bit RC4, 56-bit DES、112或168-bit Triple-DES、128-,192-, or 256-bit AES等加密算法。
用户的认证机制采用用户名、密码或基于Radius 、RSA SecurID ,或X.509证书等认证机制。
SSL VPN
密套接字协议层(SSL)作为一种新的方式出现在VPN领域。分析人员和媒体给予了SSL VPN以前所未有的关注,而且它的使用正在增加。
SSL VPN工作在TCP层,这个技术特性决定了它是一种基于应用的VPN,可以更好的作应用层的安全访问控制机制,并能够做到底层无关性,可以做到部署方式更灵活。由于它的客户端只需要标准的浏览器,可以看作是无客户端的VPN方案,被认为是SSL VPN的主要特点。
若要使用SSL VPN,要求客户端必须具有SSL 功能的标准浏览器,如IE、Netscape等。除了WEB应用,主要的SSL VPN厂家,包括SSL VPN的领导厂家ArrayNetworks都支持C/S结构的应用,甚至包括动态端口等音频、视频等复杂应用。由于要支持C/S结构的应用,一般还要求支持Java和 ActiveX。
为什么要用SSL,而不用IPSec VPN?
目前也不大多数用户采用SSL代理方式进行VPN通信,但是使用SSL VPN的用户数却在不断增加,有些是原来一直采用IPSec VPN的,原因主要有以下几个方面:
(1)不需要客户端软件和硬件需求
在SSL代理中的一个关键优势就是不需要在客户端安装另外的软件,而只需要在服务器端安装相应的软件和硬件,然后通过服务器向客户端发布。SSL代理可以使用于支持SSL技术的标准Web浏览器和email客户中。
(2)容易使用,容易支持Web界面
在今天的工厂中,有许多Web浏览器和支持SSL的email客户端,包括Windows、Macintosh、Linux/UNIX、PDAs,甚至到蜂窝电话都可以通过SSL协议进行通信。因为这些都是人们已非常熟悉的,这样就可以大大节省培训费用。
(3)端到端 vs. 端到边缘安全
IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全,不管怎样,所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
这两种VPN方式的通道安全示意图如图所示。
(4)90%以上的通信是基于Web和Email的
近呼90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信,另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用,属非因特网应用。
