IPsec與SSL利弊分析
IPsec(網際網路傳輸協定安全)一段時間以來一直是VPN通信的加密標準。但是,現在有了IPsec的替代標準。本文討論IPsec與另一種可能的解決方案SSL(安全套接層)之間的區別。
雖然把IPsec傳輸協定包含在客戶端軟體安裝嚮導中並且安裝在目前的Windows台式電腦和伺服器中使IPsec成為VPN中使用的首選傳輸協定,但是,在使VPN執行的時候,IPsec並不是惟一的傳輸協定。實際上,IPsec在典型的IP傳輸協定堆疊中發揮「封裝」的作用。當向外傳送的通信經過網路層中的這種「封裝」的時候,這個通信資料將被加密並且成為發出的IP資料包的有效載荷,資料包的內容是不透明的。進入網路的資料包採用相反的工作方式,因此,在把資料包進一步傳送到傳輸協定堆疊之前,只有擁有正確的密鑰的指定收信者能夠為加密的內容解碼。
在評估IPsec VPN選項時,網路專業人員應該考慮下列幾點:
·IPsec最適合有大量資料交換的站對站的連接。
·當使用可管理的PC接入網路時,IPsec VPN客戶端軟體工作得最好。可以監視和控制PC的組態、軟體套用和訪問的站點。
·IPsec VPN客戶端軟體對於需要訪問同一個中央控制的應用程式或者資料庫的多個站點的分散用戶不能提供最佳的解決方案。
·必須安裝單個VPN客戶端軟體並且保持每一台需要遠端接入的PC都有這個軟體;網路用戶增加時、訪問方式改變時、或者引進新的或者不同的IP位址時,必須重新設定遠端客戶端軟體。
還有一種主流的遠端接入技術,使用瀏覽器通過網際網路建立VPN連接——SSL的技術。在比較IPsec和SSL的機制時,會出現如下現象:
·啟動一個IPsec工作需要建立和驗證與IP相關的一些資料,包括數位的位址以及許多其它設施。這需要比開啟瀏覽器和登入遠端伺服器還要多的培訓和技術支持人員的說明 。
·NAT(網路位址轉換)和IPse可能導致一些問題,因為很多IPsec工作需要建立安全的端對端的連接。任何通過網際網路的連接的兩端都需要有公共外網IP位址,並且需要不同的工作區。關於SSL的VPN工作不受這種限制。
IPsec(網際網路傳輸協定安全)一段時間以來一直是VPN通信的加密標準。但是,現在有了IPsec的替代標準。本文討論IPsec與另一種可能的解決方案SSL(安全套接層)之間的區別。
雖然把IPsec傳輸協定包含在客戶端軟體安裝嚮導中並且安裝在目前的Windows台式電腦和伺服器中使IPsec成為VPN中使用的首選傳輸協定,但是,在使VPN執行的時候,IPsec並不是惟一的傳輸協定。實際上,IPsec在典型的IP傳輸協定堆疊中發揮「封裝」的作用。當向外傳送的通信經過網路層中的這種「封裝」的時候,這個通信資料將被加密並且成為發出的IP資料包的有效載荷,資料包的內容是不透明的。進入網路的資料包採用相反的工作方式,因此,在把資料包進一步傳送到傳輸協定堆疊之前,只有擁有正確的密鑰的指定收信者能夠為加密的內容解碼。
在評估IPsec VPN選項時,網路專業人員應該考慮下列幾點:
·IPsec最適合有大量資料交換的站對站的連接。
·當使用可管理的PC接入網路時,IPsec VPN客戶端軟體工作得最好。可以監視和控制PC的組態、軟體套用和訪問的站點。
·IPsec VPN客戶端軟體對於需要訪問同一個中央控制的應用程式或者資料庫的多個站點的分散用戶不能提供最佳的解決方案。
·必須安裝單個VPN客戶端軟體並且保持每一台需要遠端接入的PC都有這個軟體;網路用戶增加時、訪問方式改變時、或者引進新的或者不同的IP位址時,必須重新設定遠端客戶端軟體。
還有一種主流的遠端接入技術,使用瀏覽器通過網際網路建立VPN連接——SSL的技術。在比較IPsec和SSL的機制時,會出現如下現象:
·啟動一個IPsec工作需要建立和驗證與IP相關的一些資料,包括數位的位址以及許多其它設施。這需要比開啟瀏覽器和登入遠端伺服器還要多的培訓和技術支持人員的說明 。
·NAT(網路位址轉換)和IPse可能導致一些問題,因為很多IPsec工作需要建立安全的端對端的連接。任何通過網際網路的連接的兩端都需要有公共外網IP位址,並且需要不同的工作區。關於SSL的VPN工作不受這種限制。
|