两种VPN隧道网络协议详解与比较

【前言】两种VPN隧道网络协议详解与比较由文秘帮小编整理而成，但愿对你的学习工作带来帮助。(Sichuan Electric Power Designing and Consulting Co. Ltd, Chengdu 610016, China) Abstract: As enterprise e-business requirements increase, companies need to be more economic and security way through a public network to access the company network an...

摘要:随着现代企业对电子商务要求的提高,企业需要更加经济安全、易于操作的方式通过公用网访问公司内网,提高效率。该文主要介绍了两种技术虚拟专用网技术,即IPSec vpn和SSL VPN,并对两种技术进行详细比较。

关键词:隧道协议;IPSec;SSL;安全

中图分类号:TP311文献标识码:A文章编号:1009-3044(2009)36-10592-02

The Introduction and Comparison of Two kinds of VPN Technology

ZHOU Ying

(Sichuan Electric Power Designing and Consulting Co. Ltd, Chengdu 610016, China)

Abstract: As enterprise e-business requirements increase, companies need to be more economic and security way through a public network to access the company network and improve efficiency. This paper describes two techniques virtual private network technology, namely, IPSec VPN and SSL VPN, and a comparison of the two technologies.

Key words: tunneling protocol; IPSec; SSL; security

虚拟专用网VPN(Virtual Private Network)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。 它依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立一个临时的、安全的连接,是一条穿过公用网络的安全、稳定的隧道。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。

数据安全是VPN的核心问题, VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。隧道技术是应用最为广泛的VPN技术,通过匹配四层网络模型中的不同层协议,可以生成不同的VPN技术及产品,目前VPN隧道协议中的IPSec VPN和SSL VPN是当前主流VPN技术。

1 IPSec VPN 端对端的安全

IPSec工作于网络层,是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。IPSec协议可以设置成在隧道模式和传输(transport)模式下运行, IPSec几乎可以为所有的应用提供访问,包括客户端/服务器模式和某些传统的应用,但是由于基于网络层,不能穿越通常的NAT、防火墙。

IPSec VPN是基于IPSec协议的VPN产品,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSec隧道模式具有以下特点:只能支持IP数据流;工作在IP栈的底层,应用程序和高层协议可以继承IPSEC的行为;由一个安全策略进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时,双方机器执行相互验证,然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密,然后封装在隧道包头内。

1.1 IPSec VPN技术的优点

1) IPSec是与应用无关的技术,因此IPSec VPN的客户端支持所有IP层协议;

2) IPSec技术中,客户端至站点(client-to-site)、站点对站点(site-to-site)、客户端至客户端(client-to-client)连接所使用的技术是完全相同的;

3) IPSec VPN网关一般整合了网络防火墙的功能;

4) IPSec客户端程序可与个人防火墙等其他安全功能一起销售,因此,可保证配置、预防病毒,并能进行入侵检测。

1.2 IPSec VPN技术的不足

1) IPSec VPN需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序;

2) IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关设备(proxy)的影响;

3) IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂。

IPSec为Internet业务提供最强的安全功能,与其他隧道和安全技术相比,其优越性在于它的安全性和互操作性,但是管理复杂,适合于组建远程网络互联VPN。

2 SSL VPNWeb应用表现出众

SSL是一个端到端的协议,因而是在处于通信线路端点的机器上实现,而不需要在通信通路的中间节点(如路由器或防火墙)上实现,并且由于不需要安装客户端软件,仅仅通过浏览器就可以实现VPN的连接。

除了具备与IPSec VPN相当的安全性外,还增加了访问控制机制,客户端只需要拥有支持SSL的浏览器即可,适合远程用户访问企业内部网,SSL VPN相对成本比较低,不受网络环境的限制。SSL VPN优势还表现在:对应用的支持更广泛,由最早期的仅仅支持WEB应用,到支持绝大部分基于TCP的应用;对网络的支持更加广泛,现在多数优秀的SSL VPN都能通过用户可选的客户端插件形式为终端用户分配虚拟IP,并通过SSL 隧道建立层三(Level 3)隧道,实现与传统IPSEC VPN客户端几乎一样强大的终端网络功能;对终端的安全性要求更严格,SSL VPN加入了客户端安全检查的功能:通过插件对终端操作系统版本,终端安全软件的部署情况进行检查,来判断其接入的权限,从而减轻间谍软件和钓鱼软件的威胁。

2.1 SSL VPN技术的优点

1) 它的HTTPS客户端程序,如Microsoft Internet Explorer已经预装在了终端设备中,因此不需要再次安装;

2) 像Microsoft Outlook这类程序所支持的SSL HTTPS功能,与市场上主要的Web服务器捆绑销售,或者通过专门的软硬件供货商(例如Web存取设备)获得;

3) SSL VPN可在NAT装置上以透明模式工作;

4) SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。

2.2 SSL VPN技术的不足

1) SSL VPN不适用做点对点的VPN,后者通常是使用IPSec/IKE技术;

2) SSL VPN需要开放网络防火墙中的HTTPS连接端口,以使SSL VPN网关流量通过;

3) SSL VPN通常需要其他安全配置,例如用第三方技术验证“非信任”设备的安全性(“非信任”设备是指其他信息站或家用计算机)。

3 IPSec与SSL技术比较

3.1 IPSec的主要不足

1) 安全性能高,但通信性能较低

因为IPSec安全协议是工作在网络层的,IPSec不仅使你正在通信的那一很小的部分通道加密,而是对所有通道进行加密。所以在在安全性方面比SSL VPN好,但整体通信性能却因安全性受到了影响。

2) 需要客户端软件

在IPSec VPN中需要在每一客户端安装特殊用途的客户端软件,用这些软件来替换或者增加客户系统的TCP/IP堆栈。这就可能带来了与其他系统软件之间兼容性问题的风险,且IPSec协议在硬件应用中同样存在着兼容性方面的问题。

3) 安装和维护困难

IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSecI安全协议进行的VPN远程访问提供服务。

4) 实际全面支持的系统比较少

虽然已有许多开发的操作系统提出对IPSec协议的支持,但是在实际应用是,IPSec安全协议客户的计算机通常只运行基于Windows系统,很少有运行其它PC系统平台的。

3.2 SSL的优势

1) 不需要客户端软件和硬件需求

在SSL中的一个关键优势就是不需要在客户端安装另外的软件,而只需要在服务器端安装相应的软件和硬件,然后通过服务器向客户端。SSL可以使用于支持SSL技术的标准Web浏览器和email客户中。

2) 容易使用,容易支持Web界面

有许多Web浏览器和支持SSL的email客户端,包括Windows、Macintosh、Linux/UNIX,移动电话都可以通过SSL协议进行通信。

3) 端到端 vs. 端到边缘安全

IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全,所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。

4) 90%以上的通信是基于Web和Email的

近乎90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信,另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用,属非因特网应用。

表1是SSL VPN与IPSec VPN主要性能比较,从表中可以看出各自的主要优势与不足。

4 结束语

VPN技术借助公共网络平台很好的实现了专用网络的功能,企业以低廉的价格享受着安全优质的服务。用户可依据远程访问不同的特定需求与目标进行解决方案选择,以IPSec VPN作为点对点连结方案,再搭配以SSL VPN作为远程访问方案,能满足员工、商业伙伴与客户的安全连接需求,是最合适也最具成本效益的组合。相对传统的单一VPN技术,融合了IPSec和SSL两种VPN精髓,同时配合完善的安全管理平台的混合VPN技术将会在越来越多的行业中得以使用。

参考文献:

[1] 宋西军.计算机网络安全技术[M].北京:北京大学出版社,2009.

[2] 弗拉海.SSL与远程接入VPN[M].北京:人民邮电出版社,2009.

[3] 周贤伟.IPSec解析[M].北京:国防工业出版社,2006.