SSLVPN与IPSecVPN对比.doc

IPSec VPN 和 SSL VPN比较1. 适用VPN组网结构IPSec VPN适用 Site to Site 组网：这是由于IPSec VPN采用隧道技术，部署时一般采用两端部署VPN网关方式。例如当VPN的总部和分支机构有很多IT设备时，采用IPSec组网方式比较灵活，支持应用广泛。SSL VPN适用 Client to Site组网：当客户端为PC终端设备时，采用此方式。当分支机构为少量终端，或者VPN用户为分布在广泛地域的移动用户时更显优势。IPSec 和 SSL VPN可以互为补充，满足企业不同的VPN上网群体，达到更加安全的访问组合。2. 适用应用IPSec VPN适用应用广泛：由于IPSec VPN采用隧道技术，部署时一般采用两端部署VPN网关方式。当VPN隧道建立后，各种IP应用都可以通过VPN隧道进行访问，但这也会带来一定的安全问题。SSL VPN同样适用各种应用：由于SSL VPN采用的是 SSL Proxy机制，作各种应用时要进行相对复杂的配置，对于WEB 应用最为适用，当支持C/S应用时，需要采用如JAVA，ActivcX等技术。复杂的控制也带来了更高的安全性。3. VPN部署IPSec VPN部署管理复杂：由于IPSec VPN需要在隧道两端部署一对VPN网关，或是在客户端安装专用客户端软件，部署复杂，尤其是对于大量的远端用户，除此以外，除非已经在每一台客户使用的计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务，VPN的安装甚至是一场恶梦。SSL VPN部署简单灵活：由于SSL VPN 是一种无客户端的方式，只需要在数据中心部署VPN网关，属于集中管理和集中维护模式，虽然在应用适配时复杂一些，但大量用户的部署就要方便很多。尤其是随着用户量的增加，VPN的部署和管理就简单易行多了。4. VPN 的投资IPSec VPN费用昂贵：部署IPSec需要对基础设施进行重大改造，每一个分支机构都需要部署VPN网关，或是每个客户端都需要专用软件。尤其是对于分支机构很多，而每个分支机构终端数量又比较少的情况下，部署VPN网关的费用将急剧上升。SSL VPN价格低廉：SSL VPN部署是属于集中部署，只需要在数据中心部署SSL VPN网关，省去了客户端的费用和部署管理费用，从长期来看，投资将有极大的降低。5. VPN 的安全性IPSec VPN安全缺陷：IPSec 属于隧道机制，使远程接入的安全风险增加；由于IPSec VPN在连接的两端创建隧道，提供直接（而非代理）访问，并对全部网络可视，因此IPSec VPN会增加安全风险。一旦隧道建立，就像用户的PC机在公司局域网内部一样，用户能够直接访问公司全部的应用，由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁，这些客户端的安全行严重威胁企业数据中心的安全。SSL VPN控制完善：SSL VPN是基于应用的VPN，可以针对应用和用户或组等客户信息进行细粒度的访问控制，达到更加安全的保护效果，充分保障企业数据中心的安全。6. 接入范围IPSec VPN接入范围狭窄：IPSec VPN只能在部署了IPsecVPN 网关的地方适用，或者客户端安装专用软件后才能使用，这对于合作伙伴或商业客户来讲很难说服他们安装自己的软件。对于在网吧或出差等用户来讲就更不可能。SSL VPN接入范围广泛：SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问企业网络资源，同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准。7. 适用组网结构IPSec VPN组网不灵活：IPSec VPN的连接性会受到防火墙、网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响；因为客户端的上网方式多种多样，很多公司是通过Proxy或NAT上网的，IPsec对于这些方式上网的用户支持很差。SSL VPN组网方式灵活：SSL VPN是在TCP之上，无论对于防火墙、还是用户通过NAT设备、Proxy等上网方式都能够很好的适应。8. 访问控制IPSec VPN控制不灵活：IPSec VPN采用隧道机制，一旦隧道建立，客户端即可访问各种应用，很难建立基于应用的访问控制机制。SSL VPN访问控制灵活：SSL VPN是在TCP之上， SSL VPN 更容易提供细粒度远程访问（即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制，这是IPSec VPN难以做到的）。9. 客户端安全控制IPSec VPN控制缺失：IPSec VPN采用隧道机制，没有对客户端的安全检测和控制机制，建立IPSec VPN，单单有客户端软件是很不够的。如果没有防火墙和其他的安全软件，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果雇员从家里的计算机通过公司VPN访问企业资源，在他创建隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏，那么，病毒就很有可能经过VPN在企业局域网内传播。SSL VPN具备客户端安全模块：SSL VPN产品一般具备客户端安全模块，安全模块即可完成客户端的安全检测功能，甚至