《论IPSec和SSL的优劣及适应性》由会员分享,可在线阅读,更多相关《论IPSec和SSL的优劣及适应性(6页珍藏版)》请在金锄头文库上搜索。
1、真诚为您提供优质参考资料,若有不当之处,请指正。论IPSec VPN 和SSL VPN 的优劣及适应性陈侃侃 1380081 虚拟专用网络1.1 虚拟专用网络(VPN:Virtual Private Network)VPN是通过公用网络(如Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。随着网络,尤其是网络经济的发展,企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。于是企业在自身网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。虚拟专用网(V
2、PN)以其独具特色的优势,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。因此,虚拟专用网赢得了越来越多的企业的青睐,通过将数据流转移到低成本的网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时这也将简化网络的设计和管理。令企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。如下图可以清楚的看到目前流行的,应用比较广泛两种VPN的连接方式IPsec VPN和SSL VPN。图11.2 VPN有多种,每种都能满足特定的需求下面是二种主要的VPN:1)内部网接入VPN:接入VPN让移
3、动办公者和小型办公室/家庭办公室SOHO能通过基础的共享设施远程接入总部的内部网和外联网。该方式使用专用连接通过共享基础设施将地区性办事处和远程办公室与总部的内部网络连接起来。内部网接入VPN与外联网VPN区别在于,前者只允许企业的雇员访问。2)外联网VPN:(“外联网(Extranet)”是不同单位间为了频繁交换业务信息,而基于互联网或其他公网设施构建的单位间专用网络通道。因为外联网涉及到不同单位的局域网,所以不仅要确保信息在传输过程中的安全性,更要确保对方单位不能超越权限,通过外联网连入本单位的内网。)外联网VPN使用专用连接通过共享基础设施将商业伙伴与总部网络连接起来。外联网VPN与内部
4、网VPN的区别在于,前者允许企业以外的用户访问。1.3 IPSec VPNIPSec是现在企业网络通讯应用中被广泛使用的加密及隧道技术,同时也是在不牺牲安全性前提下,被选用来在网络第三层建立IP-VPN的方法,特別是对于无法负担Frame Relay或ATM高額费用的中小企业而言,IPSec的应用是一项福音。而目前SSL VPN以其设置简单无需安装客户端的优势,越来越受到企业的欢迎,可望成为未来企业确保信息安全的新宠。IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec是IETF(Internet Engineer Task Force)正在完善的安全标准,相对于
5、SSL VPN而言应用较早的一种VPN技术。IPSec协议是一个范围广泛、开放的虚拟专用网安全协议,它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec是基于网络层的,不能穿越通常的NAT、防火墙。1)IPsec协议IP_SECURITY协议(IPSec),通过相应的隧道技术,可实现VPN。IPSec有两种模式:隧道模式和传输模式。IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议In
6、ternet Key Exchange(IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。2)IPSec VPN接入通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户PC就如同物理地处于企业LAN中。就通常的企业高级用户(Power User)和LAN-to-LAN连接所需要的直接访问企业网络功能而言,IPSec无可比拟。然而,典型的SSL VPN被认为最适合于普通远程员工访问基于Web的应用。SSL VPN不需要在最终用户的PC和便
7、携式电脑上装入另外的客户软件。有些公司之所以选择SSL而不是IPSec,这项不需要客户软件的功能正是一个重要因素。因为最终用户避免了携带便携式电脑,通过与因特网连接的任何设备就能获得访问,SSL更容易满足大多数员工对移动连接的需求。但SSL VPN也有其缺点:业内人士认为,这些缺点通常涉及客户端安全和性能等问题。对E-mail和Intranet而言,SSL VPN是很好;但对需要较高安全级别(SSL VPN的加密级别通常不如IPSec VPN高)、较为复杂的应用而言,就需要IPSec VPN。3)IPSec VPN的应用是提供站点到站点连接的首要工具,通过这种连接,你可以在广域网(WAN)上实
8、现基础设施到基础设施的通信。而SSL VPN不需要客户软件的特性有助于降低成本、减缓远程桌面维护方面的担忧。但是,SSL的局限性在于,只能访问通过网络浏览器连接的资源。所以,这要求某些应用要有小应用程序,这样才能够有效地访问。如果企业资产或应用没有小应用程序,要想连接到它们就比较困难。因而,你无法在没有客户软件的环境下运行,因为这需要某种客户软件丰富(Client-Rich)的交互系统。1.4 SSL VPN1)SSL VPN协议SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成,其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器和客户端在应用协议传输
9、第一个数据字节以前,彼此确认,协商一种加密算法和密码钥匙。在数据传输期间,记录协议利用握手协议生成的密钥加密和解密后来交换的数据。2)SSL VPN的接入SSL独立于应用,因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL置身于网络结构体系的传输层和应用层之间。此外,SSL本身就被几乎所有的Web浏览器支持。这意味着客户端不需要为了支持SSL连接安装额外的软件。这两个特征就是SSL能应用于VPN不同于IPsec-vpn的关键点。3)SSL VPN的应用典型的SSL VPN应用如OpenVPN,是一个比较好的开源软件。PPTP主要为那些经常外出移动或家庭办公的用户考虑;而Open
10、VPN主要是针对企业异地或两地总分公司之间的VPN不间断按需连接,例如ERP在企业中的应用。OpenVPN允许参与建立VPN的单点使用预设的私钥,第三方证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库,以及SSLv3/TLSv1 协议。OpenVPN能在Linux、xBSD、Mac OS X与Windows 2000/XP上运行。它并不是一个基于Web的VPN软件,也不与IPsec及其他VPN软件包兼容。2 IPSec VPN 和SSL VPN的优劣2.1 部署方案IPSEC VPN是设计来保护私有的数据流从各种不被信任的网络传送到信任的网络。IPSec VPN在部署时一
11、般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec VPN就要重新部署,因此造成IPSec VPN的可扩展性比较差。由于工作在第三层,对上层的应用是透明的,几乎可以为所有的应用提供服务,包括客户端/服务器模式和某些传统的应用及网络共享等。以IPSec VPN作为点对点连结方案,可以提供网与网之间的连接。SSL VPN 工作在网络层和应用层之间,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。大多数SSL的VPN都是基Web浏览器工作的,基于Web访问的开放体系和一些特定的系统如邮件,ftp
12、等,主要用于单机对服务器的访问。浏览器/服务器(Browser/Server)结构,简称B/S结构,与C/S结构不同,其客户端不需要安装专门的软件,只需要浏览器即可,浏览器通过Web服务器与数据库进行交互,可以方便的在不同平台下工作。客户机/服务器(Client/Server)结构,简称C/S结构。服务器通常采用高性能的PC、工作站或小型机,并采用大型数据库系统,如ORACLE、SYBASE、SQL Server。客户端需要安装专用的客户端软件来实现与服务器端进行交互。SSL这种方案可以解决OS客户软件问题、客户软件维护问题,但肯定不能完全替代IPSec VPN,因为他们各自所要解决的是几乎没
13、多少重叠的两种不同问题:1)SSL优势其实主要集中在VPN客户端的部署和管理上,我们知道SSL无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立;但如果客户的应用系统采用的是C/S结构的话,仍然需要安装Client软件;2)目前进行VPN部署的用户大部分都是要求对现有业务需要支持的用户,而据统计这样的用户95以上都有基于C/S架构的重要应用系统,也就是说其“Client软件无需安装”的优势是有很大局限性的;3)基于B/S结构的安全性劣于基于C/S结构;4)基于IPSEC的VPN虽然在业务应用基于B/S上没有基于SSL的方
14、便,但在业务应用基于C/S方面却存在很大优势。2.2 安全性1)安全测试IPSec VPN已经有多年的发展,有许多的学术和非营利实验室,提供各种的测试准则和服务,其中以ICSA Labs是最常见的认证实验室,大多数的防火墙,VPN厂商,都会以通过它的测试及认证为重要的基准。但SSL VPN在这方面,则尚未有一个公正的测试准则,但是ICSA Labs实验室也开始着手SSL/TLC的认证计划,预计在今年底可以完成第一阶段的Crypto运算建置及基础功能测试程序。2)认证和权限控管IPSec采取Internet Key Exchange(IKE)方式,使用数字凭证(Digital Certifica
15、te) 或是一组Secret Key来做认证,而SSL仅能使用数字凭证,如果都是采取数字凭证来认证,两者在认证的安全等级上就没有太大的差别。SSL的认证,大多数的厂商都会建置硬件的token,来提升认证的安全性。对于使用权限的控管,IPSec可以支持Selectors,让网络封包过滤阻隔某些特定的主机应用系统。但是实际作业上,大多数人都是开发整个网段(Subset),以避免太多的设定所造成的麻烦。SSL可以设定不同的使用者,执行不同的应用系统,它在管理和设定上比IPSec简单方便许多。在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员
16、工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。可以对接入客户进行各种限制,如可以访问的地址、端口、URL等等,因此SSL VPN在访问控制方面比IPSec VPN具有更细粒度3)应用系统的攻击远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连
