資源描述:
《論IPSec VPN 和SSL VPN 的優(yōu)劣及適應(yīng)性.doc》由會員上傳分享,免費在線閱讀����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫����。
1����、論IPSecVPN和SSLVPN的優(yōu)劣及適應(yīng)性陳侃侃1380081虛擬專用網(wǎng)絡(luò)1.1虛擬專用網(wǎng)絡(luò)(VPN:VirtualPrivateNetwork)VPN是通過公用網(wǎng)絡(luò)(如Internet)建立一個臨時的�����、安全的連接�����,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道���。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展�����。隨著網(wǎng)絡(luò),尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展��,企業(yè)規(guī)模日益擴(kuò)大,客戶分布日益廣泛��,合作伙伴日益增多,傳統(tǒng)企業(yè)網(wǎng)基于固定地點的專線連接方式�����,已難以適應(yīng)現(xiàn)代企業(yè)的需求�����。于是企業(yè)在自身網(wǎng)絡(luò)的靈活性、安全性���、經(jīng)濟(jì)性����、擴(kuò)展性等方面提出了更高的要求����。虛擬專用網(wǎng)(VPN)以其獨具特色的優(yōu)勢�,可以幫助遠(yuǎn)程
2��、用戶、公司分支機構(gòu)���、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接�����,并保證數(shù)據(jù)的安全傳輸����。因此��,虛擬專用網(wǎng)贏得了越來越多的企業(yè)的青睞����,通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上�����,一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費用。同時這也將簡化網(wǎng)絡(luò)的設(shè)計和管理�。令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護(hù)����,更多地致力于企業(yè)商業(yè)目標(biāo)的實現(xiàn)��。如下圖可以清楚的看到目前流行的,應(yīng)用比較廣泛兩種VPN的連接方式——IPsecVPN和SSLVPN��。圖11.2VPN有多種,每種都能滿足特定的需求下面是二種主要的VPN:1)內(nèi)部網(wǎng)接入VPN:接入VPN讓移動辦公者和小
3���、型辦公室/家庭辦公室SOHO能通過基礎(chǔ)的共享設(shè)施遠(yuǎn)程接入總部的內(nèi)部網(wǎng)和外聯(lián)網(wǎng)�。該方式使用專用連接通過共享基礎(chǔ)設(shè)施將地區(qū)性辦事處和遠(yuǎn)程辦公室與總部的內(nèi)部網(wǎng)絡(luò)連接起來����。內(nèi)部網(wǎng)接入VPN與外聯(lián)網(wǎng)VPN區(qū)別在于��,前者只允許企業(yè)的雇員訪問。2)外聯(lián)網(wǎng)VPN:(“外聯(lián)網(wǎng)(Extranet)”是不同單位間為了頻繁交換業(yè)務(wù)信息�,而基于互聯(lián)網(wǎng)或其他公網(wǎng)設(shè)施構(gòu)建的單位間專用網(wǎng)絡(luò)通道���。因為外聯(lián)網(wǎng)涉及到不同單位的局域網(wǎng),所以不僅要確保信息在傳輸過程中的安全性�,更要確保對方單位不能超越權(quán)限����,通過外聯(lián)網(wǎng)連入本單位的內(nèi)網(wǎng)����。)外聯(lián)網(wǎng)VPN使用專用連接通過共享基礎(chǔ)設(shè)施將商業(yè)伙伴與總部網(wǎng)絡(luò)連接起來��。外
4���、聯(lián)網(wǎng)VPN與內(nèi)部網(wǎng)VPN的區(qū)別在于,前者允許企業(yè)以外的用戶訪問�����。1.3IPSecVPNIPSec是現(xiàn)在企業(yè)網(wǎng)絡(luò)通訊應(yīng)用中被廣泛使用的加密及隧道技術(shù),同時也是在不犧牲安全性前提下���,被選用來在網(wǎng)絡(luò)第三層建立IP-VPN的方法�,特別是對于無法負(fù)擔(dān)FrameRelay或ATM高額費用的中小企業(yè)而言,IPSec的應(yīng)用是一項福音���。而目前SSLVPN以其設(shè)置簡單無需安裝客戶端的優(yōu)勢,越來越受到企業(yè)的歡迎�,可望成為未來企業(yè)確保信息安全的新寵��。IPSecVPN即指采用IPSec協(xié)議來實現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù),IPSec是IETF(InternetEngineerTaskForce
5��、)正在完善的安全標(biāo)準(zhǔn)�,相對于SSLVPN而言應(yīng)用較早的一種VPN技術(shù)�����。IPSec協(xié)議是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議,它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)����,提供透明的安全通信�。IPSec是基于網(wǎng)絡(luò)層的����,不能穿越通常的NAT���、防火墻。1)IPsec協(xié)議IP_SECURITY協(xié)議(IPSec)����,通過相應(yīng)的隧道技術(shù)�,可實現(xiàn)VPN����。IPSec有兩種模式:隧道模式和傳輸模式���。IPSec協(xié)議不是一個單獨的協(xié)議,它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)����,包括網(wǎng)絡(luò)認(rèn)證協(xié)AuthenticationHeader(AH)�、封裝安全載荷協(xié)議EncapsulatingSecur
6����、ityPayload(ESP)���、密鑰管理協(xié)議InternetKeyExchange(IKE)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議���、確定安全算法和密鑰交換�����,向上提供了訪問控制���、數(shù)據(jù)源認(rèn)證��、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。2)IPSecVPN接入通過在兩站點間創(chuàng)建隧道提供直接(非代理方式)接入�����,實現(xiàn)對整個網(wǎng)絡(luò)的透明訪問��;一旦隧道創(chuàng)建,用戶PC就如同物理地處于企業(yè)LAN中��。就通常的企業(yè)高級用戶(PowerUser)和LAN-to-LAN連接所需要的直接訪問企業(yè)網(wǎng)絡(luò)功能而言�,IPSec無可比擬���。然而,典型的SSLVPN被認(rèn)為最適合于普通遠(yuǎn)程
7���、員工訪問基于Web的應(yīng)用���。SSLVPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec��,這項不需要客戶軟件的功能正是一個重要因素�����。因為最終用戶避免了攜帶便攜式電腦,通過與因特網(wǎng)連接的任何設(shè)備就能獲得訪問����,SSL更容易滿足大多數(shù)員工對移動連接的需求��。但SSLVPN也有其缺點:業(yè)內(nèi)人士認(rèn)為,這些缺點通常涉及客戶端安全和性能等問題��。對E-mail和Intranet而言,SSLVPN是很好�����;但對需要較高安全級別(SSLVPN的加密級別通常不如IPSecVPN高)、較為復(fù)雜的應(yīng)用而言��,就需要IPSecVPN��。3)IPSecV
