了解VPN:IPSec和SSL的优缺点

随着对跨网络的安全虚拟访问和隐私的需求日益增长，虚拟专用网络(VPN)已经成为业务的主要内容，特别是在远程办公的时代。VPN为用户提供了一种安全连接到网络服务器的虚拟方式，无论它们的位置或互联网服务提供商(ISP)如何。

企业可以从几种类型的VPN中进行选择，其中IPSec和SSL是最受欢迎的。IPSec和SSL为网络管理员和用户提供了不同的优缺点，因此了解它们的关键差异并确定哪个最适合您的网络拓扑是非常重要的。在某些情况下，您的企业可以同时受益于IPSec和SSL VPN。

IPSec and SSL VPNs :优点和缺点

什么是IPSec

IPSec VPN的优点

IPSec VPN的缺点

什么是SSL?

SSL VPN的优点

应该是用IPSec还是SSL?

1.IPSec是什么？

IPSec，或因特网协议安全，是一种在IP上或在更高的网络级别上发生的VPN连接类型。一旦在发送设备和接收设备中都安装了必要的客户端软件，这些设备就可以共享一个公钥来对外部设备进行身份验证，并使其获得对网络的完全访问权限。由于此连接发生在IP级别，网络管理员可以查看到通过此方法访问其网络设备的IP地址。

使用IPSec VPN有两个主要模式可供选择：

传输模式：在这种模式的IPSec VPN中，并非所有数据都被加密，相反，像报文头这样的组件在设备之间按原样传输。(在传输模式中，AH头或ESP头被插入到IP头与传输层协议头之间，保护TCP/UDP/ICMP负载。传输模式不改变报文头，基本不使用。)

隧道模式：在这种模式的IPSec VPN中，所有传输的数据都被加密，甚至是IP头和整个IP报文。(隧道模式下，AH协议的完整性验证范围为包括新增IP头在内的整个IP报文。ESP协议验证报文的完整性检查部分包括ESP头、原IP头、传输层协议头、数据和ESP报尾，但不包括新IP头，因此ESP协议无法保证新IP头的安全。ESP的加密部分包括原IP头、传输层协议头、数据和ESP报尾。）

1.1 IPSec VPN的优点

（1）内置安全功能

许多企业由于IPSec VPN的高级安全协议而使用IPSec VPN。只有在安装相应的客户端软件并建立身份验证机制时，才能使用IPSec VPN设置设备。

软件和身份验证证书在VPN上为该设备的身份，这意味着VPN可以关闭未正确设置或注册的设备。如果您有关于您的员工只能在已批准的工作场所设备上访问的安全信息，则IPSec VPN格式将不允许他们通过个人设备访问您的网络。

（2）通过稳定的连接和网络可见性实现可扩展性

一旦设备通过IPSec客户端软件连接到网络，该设备将持续连接整个网络。它不需要立即重新登录或重新验证其凭证。对于持续访问网络的多个部分的远程高级用户来说，这是一个很好的选择。

这些稳定的连接也是可预见的，这使得哪些IP地址和哪些用户连接到网络一目了然。IP级别的连接使网络管理员在网络中具有更大的可见性。如果出现问题，就更容易发现哪些用户或设备可能与漏洞或其他网络问题有关。

1.2 IPSec VPNs 的缺点

（1）VPN维护的成本和复杂性

身份验证证书允许远程设备在IPSec VPN中建立连接，并且这些证书必须经常更新。更新这些证书的费用可能会很昂贵，特别是当您有多个需要VPN连接的设备时。它还需要大量的协调工作才能同时维护多个身份验证证书的更新计划。当您添加其他客户端软件需求以及每次需要向VPN添加新设备时的安装过程时，成本和复杂性会迅速飙升。

（2）其他软件要求和缺乏移动性

如果用户唯一启用IPSec的设备遇到技术困难，则在设备修复或更换之前，他们将无法访问VPN。修复设备可能很复杂且费用昂贵，更不用说用户经历的停机时间了。

如果需要更换该设备，那么要在新设备上安装IPSec客户端软件，也将是一个费用昂贵而且费时的过程。用户被绑定到他们的IPSec VPN设备上，因为他们是唯一使用该软件连接到VPN的设备。这一要求使得用户在必要时难以迁移到新设备。

2.SSL是什么？

SSL，或安全套接字层，是一种VPN连接，可在应用程序级别提供权限和访问。这种类型的连接不依赖于IP，因此，只要用户拥有可以访问各个应用程序的门户或隧道模式入口点的任何设备，他们就可以自由地匿名访问这些应用程序中的每一个。

使用SSL VPN，有两个主要模式可供选择：

门户模式：如果您使用的是门户SSL VPN，那么您将通过特定的网站门户启动安全连接。您可以在其中输入您的凭证，这通常会将您连接到企业的主页网页，或其他一些Web应用，让您可以安全地访问预定义的应用程序。

隧道模式:这种超越门户SSL的进步允许用户通过VPN连接访问非Web应用程序。

2.1 SSL VPNs 的优点

（1）降低成本和复杂性：未添加客户端软件

客户端软件的安装和维护可能是既昂贵又复杂的。如果您的网络定期购买、替换和升级设备，那么使用IPSec VPN模型中需要的每个客户端软件更新可能会变得复杂。使用SSL VPN没有额外的软件成本，而且设置相对简单。

（2）通过快速移动部署实现可移动性

您的企业是否会定期雇用很多新员工？他们是分布在全国还是遍布全球？这将需要时间、安装团队和强大的协调能力，以确保他们的所有设备在IPSec VPN中得到他们所需要的东西。由于SSL VPN连接可以快速建立，而无需额外的软件，因此对于需要快速移动部署的组织来说，SSL是一种很好的方法。

2.2 SSL VPNs的缺点

（1）可选的身份验证功能导致安全问题

安全内置功能置于IPSec模型中，IPSec模型需要定期更新数据加密、客户端软件和身份验证证书。在SSL模型中，您可以添加其中一些功能，但它需要团队额外工作，而且可能需要第三方配置或应用程序。费用可能会变得昂贵，而且您会面临未正确设置的安全措施的风险。

（2）与应用程序管理相关的复杂性

您不必使用SSL VPN管理客户端软件或安装，但是此模型中应用程序管理仍然需要大量的工作和协调能力。您的应用程序需要被监控和定期更新，以确保它们的安全和正常工作。

您的员工可能还会发现，他们需要随着时间的推移访问其他应用程序或服务，这将需要您更改SSL VPN中的权限和设置。由于您的用户无法使用SSL VPN自动访问整个网络，因此您需要在应用程序级别频繁地进行更改，以满足他们的需求。

3.应该使用IPSec还是SSL?

IPSec和SSL VPN都各有优缺点，这可能会使远程用户的网络复杂化。对于具有高安全性需求的组织或一些需要持续完全访问网络的超级用户来说，IPSec是一个很好的选择。但是对于那些员工经常出差且只需要临时访问(即电子邮件)网络的公司来说，SSL可能是一个更好的选择。许多网络针对不同的员工和情况使用两种选择，所以在做最终决定之前应该考虑您的用户需要什么。

来源网站：enterprisenetworkingplanet.com/ 沃通WoTrus原创翻译整理，转载请注明来源