客觀的講，目前SSLVPN不論是在應(yīng)用實現(xiàn)還是在部署成本商均較IPsec要弱。我們公司當初在采購的時候也曾經(jīng)考慮過SSLVPN，但是最后還 是上了Ipsec。個人認為還需等一段時間。事實上，利用SSLVPN利用瀏覽器本身只能做到B/S應(yīng)用和訪問ftp服務(wù)，這在目前大大降低了靈活性。如 果你要實現(xiàn)桌面級的應(yīng)用，比如C/S結(jié)構(gòu)的系統(tǒng)，怎么辦？不管采用哪一家的SSLVPN，你仍然需要安裝專門的客戶端，就好像IPsec。隨著日后B/S 結(jié)構(gòu)應(yīng)用的崛起，我們相信SSLVPN會有它大放異彩的一天，但還不是今天。

目前由于用戶在對SSLVPN的選擇上越來越感興趣，所以針對 基于IPSEC的VPN和基于SSL的VPN我整理了一些材料進行了技術(shù)對比及分析供大家參考。

SSLVPN廠家經(jīng)常強調(diào)其技術(shù)產(chǎn)品優(yōu)勢， 主要包括以下幾點：

1． IPSec VPN部署、管理成本比SSL VPN高；

2． SSL VPN比IPSEC VPN更安全；

3． SSL VPN與IPSecVPN相比，具有更好的克擴展性；

4． SSL VPN在訪問控制方面比IPSecVPN做的更細粒度；

5． 使用SSL VPN相比IPSECVPN也具有更好的經(jīng)濟性。

一、 IPSec VPN部署、管理成本比SSLVPN高；

首先我們先認識一下IPSEC存在的不足之處：

在設(shè) 計上，IPSecVPN是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)。這類VPN的真正價值在于，它們盡量提高IP環(huán)境的安全性。可問題在于，部署IPSec需要對基礎(chǔ) 設(shè)施進行重大改造，以便遠程訪問。好處就擺在那里，但管理成本很高。IPSec安全協(xié)議方案需要大量的IT技術(shù)支持，包括在運行和長期維護兩個方面。在大 的企業(yè)通常有幾個專門的員工為通過IPSec安全協(xié)議進行的VPN遠程訪問提供服務(wù)。

IPSecVPN最大的難點在于客戶端需要安裝復雜的 軟件，而且當用戶的VPN策略稍微有所改變時，VPN的管理難度將呈幾何級數(shù)增長。SSLVPN則正好相反，客戶端不需要安裝任何軟件或硬件，使用標準的 瀏覽器，就可通過簡單的SSL安全加密協(xié)議，安全地訪問網(wǎng)絡(luò)中的信息。

其次我們再看看SSL的所謂優(yōu)勢特點：

SSLVPN避 開了部署及管理必要客戶軟件的復雜性和人力需求；SSL在Web的易用性和安全性方面架起了一座橋梁，目前對SSLVPN公認的三大好處是：

第 一來自于它的簡單性，它不需要配置，可以立即安裝、立即生效；

第二個好處是客戶端不需要麻煩的安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就 行；第三個好處是兼容性好，傳統(tǒng)的IPSecVPN對客戶端采用的操作系統(tǒng)版本具有很高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件，而SSLVPN 則完全沒有這樣的麻煩。

最后我們對兩者進行綜合分析得知：

1、SSL強調(diào)的優(yōu)勢其實主要集中在VPN客戶端的部署和管理上， 我們知道前面SSL一再強調(diào)無需安裝客戶端，主要是由于瀏覽器內(nèi)嵌了SSL協(xié)議，也就是說是基于B/S結(jié)構(gòu)的業(yè)務(wù)時，可以直接使用瀏覽器完成SSL的 VPN建立；但如果客戶的應(yīng)用系統(tǒng)采用的是C/S結(jié)構(gòu)的話，仍然需要安裝Client軟件；

2、目前進行VPN部署的用戶大部分都是要求對 現(xiàn)有業(yè)務(wù)需要支持的用戶，而據(jù)統(tǒng)計這樣的用戶95％以上都有主要基于C/S架構(gòu)的重要應(yīng)用系統(tǒng)，也就是說其“Client軟件無需安裝”的優(yōu)勢是有很大局 限性的，特別是對中國目前很多用戶來說這種方式實用性不強；

3、基于B/S的安全性顯而易見遠遠不如基于C/S結(jié)構(gòu)；

4、但 同時基于IPSEC的VPN雖然在業(yè)務(wù)應(yīng)用基于B/S上沒有基于SSL的方便，但在業(yè)務(wù)應(yīng)用基于C/S方面確下足了功夫，比如說天融信公司提供一套VPN 客戶端自動部署系統(tǒng)－ADS，它能幫助用戶輕松實現(xiàn)客戶端、證書等的統(tǒng)一部署，而SSLVPN在基于C/S的部署時，則無此功能和實際的成功案例。

二、 SSL VPN比IPSEC VPN更安全

首先我們還是先認識一下IPSEC存在的不足之處：

1、在通路 本身安全性上，傳統(tǒng)的IPsecVPN還是非常安全的，比如在公網(wǎng)中建立的通道，很難被人篡改。說其不安全，是從另一方面考慮的，就是在安全的通路兩端， 存在很多不安全的因素。比如總公司和子公司之間用IPsecVPN連接上了，總公司的安全措施很嚴密，但子公司可能存在很多安全隱患，這種隱患會通過 IPsecVPN傳遞給總公司，這時，公司間的安全性就由安全性低的分公司來決定了。

2、比如黑客想要攻擊應(yīng)用系統(tǒng)，如果遠程用戶以 IPSecVPN的方式與公司內(nèi)部網(wǎng)絡(luò)建立聯(lián)機之后，內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng)，黑客都是可以偵測得到，這就提供了黑客攻擊的機會。

3、比 如應(yīng)對病毒入侵，一般企業(yè)在Internet聯(lián)機入口，都是采取適當?shù)姆蓝緜蓽y措施。不論是IPSecVPN或SSLVPN聯(lián)機，對于入口的病毒偵測效果 是相同的，但是比較從遠程客戶端入侵的可能性，就會有所差別。采用IPSec聯(lián)機，若是客戶端電腦遭到病毒感染，這個病毒就有機會感染到內(nèi)部網(wǎng)絡(luò)所連接的 每臺電腦。

4、不同的通訊協(xié)議，并且通過不同的通訊端口來作為服務(wù)器和客戶端之間的數(shù)據(jù)傳輸通道。以InternetEmail系統(tǒng)來說， 發(fā)信和收信一般都是采取SMTP和POP3通訊協(xié)議，而且兩種通訊端口是采用25端口，若是從遠程電腦來聯(lián)機Email服務(wù)器，就必須在防火墻上開放25 端口，否則遠程電腦是無法與SMTP和POP3主機溝通的。IPSecVPN聯(lián)機就會有這個困擾和安全顧慮。在防火墻上，每開啟一個通訊埠，就多一個黑客 攻擊機會。

其次我們再看看SSL的所謂優(yōu)勢特點：

1、SSL安全通道是在客戶到所訪問的資源之間建立的，確保點到點的真正安 全。無論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的。客戶對資源的每一次操作都需要經(jīng)過安全的身份驗證和加密。

2、若是采取SSLVPN來 聯(lián)機，因為是直接開啟應(yīng)用系統(tǒng)，并沒在網(wǎng)絡(luò)層上連接，黑客不易偵測出應(yīng)用系統(tǒng)內(nèi)部網(wǎng)絡(luò)設(shè)置，同時黑客攻擊的也只是VPN服務(wù)器，無法攻擊到后臺的應(yīng)用服務(wù) 器，攻擊機會相對就減少。

3、而對于SSLVPN的聯(lián)機，病毒傳播會局限于這臺主機，而且這個病毒必須是針對應(yīng)用系統(tǒng)的類型，不同類型的病 毒是不會感染到這臺主機的。因此通過SSLVPN連接，受外界病毒感染的可能性大大減小。

4、SSLVPN就沒有這方面的困擾。因為在遠程 主機與SSLVPNGateway之間，采用SSL通訊端口443來作為傳輸通道，這個通訊端口，一般是作為WebServer對外的數(shù)據(jù)傳輸通道，因 此，不需在防火墻上做任何修改，也不會因為不同應(yīng)用系統(tǒng)的需求，而來修改防火墻上的設(shè)定，減少IT管理者的困擾。如果所有后臺系統(tǒng)都通過SSLVPN的保 護，那么在日常辦公中防火墻只開啟一個443端口就可以，因此大大增強內(nèi)部網(wǎng)絡(luò)受外部黑客攻擊的可能性。

最后我們對兩者進行綜合分析得知：

1、 目前基于SSL的VPN網(wǎng)關(guān)都還是一種‘點到端’的模式，因而在‘端’處兩種VPN都面臨著‘端’內(nèi)部的不安全性，如：內(nèi)網(wǎng)數(shù)據(jù)的非法監(jiān)聽等等；

2、 由于基于IPSEC的VPN本身也有嚴格的SPD（安全策略庫），因此也只有響應(yīng)的應(yīng)用類型數(shù)據(jù)可以達到內(nèi)部對應(yīng)服務(wù)器，所以兩者對防病毒的意義是相同 的；

3、由于用戶的應(yīng)用系統(tǒng)存在著大量的基于C/S架構(gòu)的業(yè)務(wù)系統(tǒng)，同時基于SSL的VPN產(chǎn)品技術(shù)可能還需支持DNS、SMTP、 LDAP等其他管理和安全功能，所以它同樣面臨著多端口的安全威脅；而目前基于IPSEC的VPN已經(jīng)做了很多技術(shù)的改進，所以所開放的協(xié)議和端口很少， 同時加上防火墻/VPN一體機的這種結(jié)構(gòu)，使得VPN和防火墻的訪問控制技術(shù)很好結(jié)合起來，大大提供VPN自身的安全性。

三、 SSL VPN與IPSecVPN相比，具有更好的可擴展性；

首先我們還是先認識一下IPSEC存在的不足之處：

IPSecVPN 在部署時一般放置在網(wǎng)絡(luò)網(wǎng)關(guān)處，因而要考慮網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)，那么IPSecVPN就要重新部署，因此造成 IPSecVPN的可擴展性比較差。

其次我們再看看SSL的所謂優(yōu)勢特點：

而SSLVPN就有所不同，它一般部署在內(nèi)網(wǎng)中任 一節(jié)點處即可，可以隨時根據(jù)需要，添加需要VPN保護的服務(wù)器，因此無需影響原有網(wǎng)絡(luò)結(jié)構(gòu)。

最后我們對兩者進行綜合分析得知：

1． 由于目前國內(nèi)知名的VPN廠商（如天融信等），就提供透明模式下的VPN網(wǎng)關(guān)，所以對用戶原有的網(wǎng)絡(luò)不做任何改變，包括主機路由、接入方式等方面；

2． 同時由于VPN網(wǎng)關(guān)本身就是安全設(shè)備，所以它自身的安全性也非常重要，因此SSLVPN網(wǎng)關(guān)雖然提供簡單的包過濾功能，但是遠遠不如防火墻/VPN一體機 安全，因此SSLVPN網(wǎng)關(guān)需要通過防火墻進行特殊的安全保護部署；同時由于它位于防火墻后面，也使得SSL的數(shù)據(jù)無法被防火墻進行安全過濾，但在同等條 件下防火墻/VPN一體機則很好解決了加密和防火墻的訪問控制的矛盾。

四、SSL VPN在訪問控制方面比IPSecVPN做的更細粒度；

為什么最終用戶要部署VPN，究其根本原因，還是要保護網(wǎng)絡(luò)中重 要數(shù)據(jù)的安全，比如財務(wù)部門的財務(wù)數(shù)據(jù)，人事部門的人事數(shù)據(jù)，銷售部門的項目信息，生產(chǎn)部門的產(chǎn)品配方等等。

首先我們還是先認識一下 IPSEC存在的不足之處：

由于IPSecVPN部署在網(wǎng)絡(luò)層，因此，內(nèi)部網(wǎng)絡(luò)對于通過VPN的使用者來說是透明的，只要是通過了 IPSecVPN網(wǎng)關(guān)，他可以在內(nèi)部為所欲為。因此，IPSecVPN的目標是建立起來一個虛擬的IP網(wǎng)，而無法保護內(nèi)部數(shù)據(jù)的安全。所以 IPSecVPN又被稱為網(wǎng)絡(luò)安全設(shè)備。

其次我們再看看SSL的所謂優(yōu)勢特點：

在電子商務(wù)和電子政務(wù)日益發(fā)展的今天，各種應(yīng) 用日益復雜，需要訪問內(nèi)部網(wǎng)絡(luò)人員的身份也多種多樣，比如可能有自己的員工、控股公司的工作人員、供貨商、分銷商、商業(yè)合作伙伴等等。與IPSec VPN只搭建虛擬傳輸網(wǎng)絡(luò)不同的是，SSLVPN重點在于保護具體的敏感數(shù)據(jù)，比如SSLVPN可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限。就是說，雖 然都可以進入內(nèi)部網(wǎng)絡(luò)，但是不同人員可以訪問的數(shù)據(jù)是不同的。

而且在配合一定的身份認證方式的基礎(chǔ)上，不僅可以控制訪問人員的權(quán)限，還可以 對訪問人員的每個訪問，做的每筆交易、每個操作進行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴性和不可否認性，為事后追蹤提供了依據(jù)。

最后我們對兩 者進行綜合分析得知：

1．目前基于SSL的VPN和基于IPSEC遠程接入的VPN都采用的是點到端的模式，所以在進入內(nèi)網(wǎng)后（VPN網(wǎng)關(guān) 后）都面臨著內(nèi)部數(shù)據(jù)安全的問題，雖然兩者都可以分別通過各自VPN的策略和認證的安全方式對用戶進行相應(yīng)的安全過濾；

2．只有基于點到點 的SSLVPN才能真正做到每個應(yīng)用、每筆業(yè)務(wù)的細粒度控制，但這需要服務(wù)器端提供直接的SSL接口，服務(wù)器系統(tǒng)本身提供強認證等安全功能，所以目前這種 基于SSL的VPN網(wǎng)關(guān)方式還不能到達這種細粒度的要求。

五、使用SSL VPN相比IPSECVPN也具有更好的經(jīng)濟性

首 先我們還是先認識一下IPSEC存在的不足之處：

對于IPSecVPN來說，每增加一個需要訪問的分支，就需要添加一個硬件設(shè)備。所以，尤 其是對于一個成長型的公司來說，隨著IT建設(shè)的擴大，要不斷購買新的設(shè)備來滿足需要。

其次我們再看看SSL的所謂優(yōu)勢特點：

使 用SSLVPN只需要在總部放置一臺硬件設(shè)備就可以，就可以實現(xiàn)所有用戶的遠程安全訪問接入。

最后我們對兩者進行綜合分析得知：

1、 但是我們知道基于IPSEC的VPN也支持點到端的方式（也就是指遠程的‘點’用戶連接總部VPN網(wǎng)關(guān)的‘端’用戶），也就是說也可以支持總部放置一臺硬 件設(shè)備就可以了，其他都使用VPN客戶端就可以了，況且國內(nèi)外很多VPN客戶端實質(zhì)上都是免費的；

2、同時對于很多企業(yè)自己專用的業(yè)務(wù)應(yīng)用 系統(tǒng)（基于C/S架構(gòu)的業(yè)務(wù)應(yīng)用系統(tǒng)）來說，如果系統(tǒng)本身沒有進行安全地設(shè)計SSL接口或者更本就沒有提供的話，這種SSL的遠程接入方式根本就沒有辦法 滿足用戶需求。

綜觀上述，SSLVPN雖然有很多新穎的特點，但是無論從用戶的實際出發(fā)還是我們作為基于IPSEC技術(shù)廠家的角度來說，大 家都必須要冷靜看待新技術(shù)的發(fā)展，其必然有個過程和局限性，特別是想取代目前成熟的安全技術(shù)時都有很大盲目性，對于我們而言就更是如此，希望此文章對于我 們的銷售還是技術(shù)都能有所幫助，謝謝大家的閱讀！！