SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。这两种产品将在VPN市场上长期共存,优势互补。在产品的表现形式上,两者有以下几大差异:
  1、IPsec VPN多用于“网—网”连接,SSL VPN用于“移动客户—网”连接。SSL VPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入内部网络;而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。
  2、SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN。IPsec VPN对所有的IP应用均透明;而SSL VPN保护基于Web的应用更有优势,当然好的产品也支持TCP/UDP的C/S应用,例如文件共享、网络邻居、Ftp、Telnet、Oracle等。
  3、SSL VPN用户不受上网方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打开UDP500端口。
  4、SSL VPN只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点,网管专业性较强。
  5、SSL VPN 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec VPN主要基于IP组对用户进行访问控制。

在实现技术及应用方面,从以下四个方面论述:
一、SSL VPN和IPSec VPN在底层协议上的区别
简单来说,SSL和IPSec两个都是加密的通讯协议, 从任何TCP网络来保护基于IP的数据流。这两种通讯协议都有它们自己独特的特色和好处。
IPSec协议是网络层协议, 是为保障IP通信而提供的一系列协议族。SSL协议则是套接层协议,它是保障在Internet上基于Web的通信的安全而提供的协议。
IPSec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。IPSec能为IPv4/IPv6网络提供能共同操作使用的、高品质的、基于加密的安全机制。提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。
SSL用公钥加密通过SSL连接传输的数据来工作。SSL是一种高层安全协议,建立在应用层上。SSL VPN使用SSL协议和代理为终端用户提供HTTP、客户机/服务器和共享的文件资源的访问认证和访问安全SSL VPN传递用户层的认证。确保只有通过安全策略认证的用户可以访问指定的资源。
SSL是专门设计来保护HTTP通讯协议。当浏览器和Web服务器双方皆已设定好来支持SSL时,如果透过这个通讯协议所传输的数据流加密,SSL将提供一个安全的”封套”来保护浏览器和Web服务器中的IP封包。在IPSec和SSL通讯协议的设计上有一些原理上的不同。第一,IPSec是以网络层为中心,而SSL是以应用层为中心。第二,IPSec需要专门的使用端软件,而SSL使用任何SSL支持的浏览器为使用端。最后,SSL原本是以机动性为中心而IPSec不是。

二、 SSL VPN 和IPSec VPN在连接方式上的区别
在连接方式上,SSL VPN 和IPSec VPN 也有很大的区别。IPSec VPN 最初设计是用来为企业的各个部门之间提供站点到站点通信的。由于企业将用户扩展到了包括远程访问,于是不得不扩充IPSec协议的标准,或者修改厂商实现的协议。
IPSec VPN通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户PC就如同物理地处于企业LAN中。它要求软硬件兼容,要求”隧道”两端几乎只能是同一个供应商的软件。采用IPSec VPN,企业要指定”隧道”两端使用的技术,但是很少有公司能够或者愿意强迫他们的合作伙伴或者客户也选用这个技术,这就限制了通过IPSec VPN建立企业外网的应用。
相对于传统的IPSec VPN,SSL能让企业实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳SSL VPN作为远程安全接入技术,主要看重的是其方便的接入能力。
SSL VPN提供增强的远程安全接入功能。IPSec VPN的接入方式,使用户PC就如同物理地处于企业LAN中。这带来很多安全风险,尤其是在接入用户权限过大的情况下。SSL VPN提供安全、可代理连接,只有经认证的用户才能对资源进行访问,这就安全多了。SSL VPN能对加密隧道进行细分,从而使得终端用户能够同时接入Internet和访问内部企业网资源,也就是说它具备可控功能。另外,SSL VPN还能细化接入控制功能,易于将不同访问权限赋予不同的用户,实现伸缩性访问;这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。
SSL VPN基本上不受接入位置限制,可以从众多Internet接入设备、任何远程位置访问网络资源。SSL VPN通信基于标准TCP/UDP协议传输,因而能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入,无论是处于其他公司网络中基于代理的防火墙之后,或是宽带连接中。而IPSec VPN在稍复杂的网络结构中则难于实现。另外,SSL VPN能实现从可管理企业设备或非管理设备接入,如家用PC或公共Internet接入场所,而IPSec VPN客户端只能从可管理或固定设备接入。随着远程接入需求的不断增长,远程接入IPSec VPN在访问控制方面受到极大挑战,而且管理和运行成本较高,它是实现点对点连接的最佳解决方案,但要实现任意位置的远程安全接入,SSL VPN则要更加理想。

三、SSL VPN 和IPSec VPN在安全方面的区别
IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全,不管怎样,所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SSL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
使用IPSec的联机方式,每一个使用者端在网络上会被当成一个节点,而此联机会一直处于激活的状态(Active)。因此,一但使用者端的计算机被黑客或病毒入侵,黑客就可以透过此网络连结进入另一个端点,也就是公司内部。因这样的运作模式,此节点很有可能成为黑客、病毒入侵的管道。使用SSL VPN的方式做网络联机则可以避免这样的问题发生。因为,SSL VPN的一大特点就是具有Session保护功能,就是在会话停止一段时间以后切自动断联机,如果需要继续访问则需要重新登录。这样的SSL通讯协议机制可以有效避免黑客和病毒的入侵威胁。
远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,都可以被侦测到,这就提供了黑客攻击的机会。若是采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络机制,所受到的威胁也仅是所联机的应用系统,攻击机会相对减少许多。

四、SSL VPN和IPSec VPN在企业应用方面的互补
许多专家认为,就通常的企业高级用户和LAN-to-LAN连接所需要的直接访问企业网络功能而言,IPSec VPN的优势无可比拟。然而,典型的SSL VPN却被认为最适合于普通远程员工访问基于Web的应用。因而,如果需要更全面的、面向基于浏览器应用的访问,以及面向远程员工、把所有办公室连接起来,SSL VPN无疑是首选。
另一方面,SSL VPN不需要在最终用户的PC和便携式电脑上装入另外的客户软件。有些公司之所以选择SSL而不是IPSec,这项不需要客户软件的功能正是一个重要因素。除此之外,SSL VPN还有其它经常被提到的特性,包括降低部署成本、减小对日常性支持和管理的需求。此外,因为所有内外部流量通常都经过单一的硬件设备,这样就可以控制对资源和URL的访问。
厂商推出这类不需要客户软件的VPN产品后,用户就能通过与因特网连接的任务设备实现连接,并借助于SSL隧道获得安全访问。这需要在企业防火墙后面增添硬件,但企业只要管理一种设备,不必维护、升级及配置客户软件。
因为最终用户通过与因特网连接的任何设备就能访问企业的网络,SSL更容易满足大多数员工对移动连接的需求。不过这种方案的问题在于,SSL VPN的加密级别通常不如IPSec VPN高。所以,尽管部署和支持成本比较低,但SSL VPN仍有其缺点。同时,SSL VPN还具有一定的局限性,只能访问通过网络浏览器连接的资源。
SSL VPN在不需要客户软件的运行环境中有其效率和好处,但在性能、应用覆盖等方面也存在问题。SSL VPN这种方案可以解决操作系统的客户软件问题、客户软件维护问题,但肯定不能完全替代IPSec VPN,因为各自所要解决的是几乎没多少重叠的两种不同问题。
对需要远程访问的大多数公司而言,所支持的应用应当包括公司为尽量提高效率、生产力和盈利能力所需要的各种应用。SSL VPN能支持的应用种类比较有限。
大多数SSL VPN都是HTTP反向代理,这样它们非常适合于具有Web功能的应用,只要通过任何Web浏览器即可访问。HTTP反向代理支持其它的查询/应答应用,譬如基本的电子邮件及许多企业的生产力工具,譬如ERP和CRM等客户机/服务器应用。为了访问这些类型的应用,SSL VPN为远程连接提供了简单、经济的一种方案。它属于即插即用型的,不需要任何附加的客户端软件或硬件。
然而,同样这个优点偏偏成了SSL VPN的最大局限因素:用户只能访问所需要的应用和数据资源当中的一小部分。SSL VPN无法为远程访问应用提供全面的解决方案,因为它并不有助于访问内部开发的应用,也不有助于访问要求多个渠道和动态端口以及使用多种协议这类复杂的应用。不过这对公司及远程用户来说却是一个关键需求。譬如说,SSL VPN没有架构来支持即时消息传送、多播、数据馈送、视频会议及VoIP。
尽管SSL能够保护由HTTP创建的TCP通道的安全,但它并不适用于UDP通道。然而,如今企业对应用的支持要求支持各种类型的应用:TCP和UDP、客户机/服务器和Web、现成和内部开发的程序。在这方面就需要应用IPSec VPN才能胜任。
理想的应用情况是:企业在总部和各个分部之间通过IPSec VPN进行连接,这样可以把总部和分部的终端包括在一个LAN中。而为移动办公或者出差的人员提供VPN的接入服务。充分利用IPSec VPN的互补性,使企业的网络结构更加的合理
总的来说,IPSec VPN和SSL VPN在应用方面都有各自的优点和缺点。往往一方的缺点就是对方的缺点。两种技术在应用上具有很大的互补性。企业在选购VPN产品的时候,可以针对这些优缺点,结合企业自身的应用合理的选择合适的VPN产品。

原文转自:《SSL VPN和IPsec VPN的比较和选择》