-
拋棄IPSec *** 選擇SSL ***的理由
- http://network.51cto.com 2006-08-23 11:24 IT168 我要評論(0)
- 現在實現***聯網方案的主要技術是IPSEC ***與SSL ***,同樣是***遠程聯網,爲何拋棄IPSec *** 選擇SSL ***。
在企業上網如火如荼地普及開後,下一波企業網絡建設的投資熱潮將是企業總分部之間的跨INTERNET聯網。現在的企業家已經認識到網絡給企業生產力提高帶來的巨大收益,紛紛要上OA、ERP、CRM等應用系統,甚至跨互聯網部署。企業聯網方案由於***技術的成熟和幾乎“無處不在”的已經部署好的廣域網——INTERNET,讓這個目標的實現變的非常容易。投資的設備和通信費用更是比傳統的幀中繼、DDN等聯網方案低很多。甚至在DDNS、目錄服務等技術支持下,聯網的雙方都可以使用動態公網IP進行***部署,而不必申請奇缺昂貴的靜態公網IP。
現在實現***聯網方案的主要技術是IPSEC ***與SSL ***,IPSEC ***出現得較早,商用化程度較高,技術較成熟,安全性較優越。但缺憾是設備成本支出較多,分部和移動人員需要硬件IPSec ***客戶端設備和軟件IPSec ***客戶端,設置工作較複雜,維護工作較多,需要專業網管支持。SSL ***是一項近兩年才發展起來新的虛擬專網技術,由於無須安裝***客戶端(不管是硬件客戶端還是軟件客戶端)的便捷性和因此大幅降低的實施管理成本,在國內外得到了迅速的應用和發展。
同樣是***遠程聯網,SSL ***適合於在客戶、合作伙伴用戶、遠程用戶、供應商、本單位總分機構及移動員工之間建立***,而IPSec ***更適用於網段間的鏈接。
隨時隨地接入
與IPSEC ***相比,SSL ***更加適用於單機接入總部網絡的應用需求,如移動辦公,而IPSEC ***則適用於兩個固定的局域網之間構建安全通道。SSL ***使用標準的瀏覽器,無需安裝客戶端程序,即可通過SSL ***隧道接入總部網絡訪問應用。SSL ***打破了構建***通道要安裝專用客戶端的傳統,倡導的是不需客戶端的“隨時隨地移動接入”的新概念,甚至在公共上網場合(如網吧)都能夠利用SSL ***訪問內網的應用資源這點是SSL ***最具價值的特性。但是,SSL ***並不侷限於單機移動用戶,也可用於分支單位的固定用戶,之所以有上述敘述,是因爲與IPSec ***作比較,其實只要能上互聯網,任何被授權用戶都可以訪問SSL ***。現在的總分部***方案也越來越多采用SSL ***實現,原因在於它對用戶的應用支持範圍越來越廣,功能越來越接近於傳統的IPSec ***,而且SSL ***不受上網方式限制,SSL ***隧道可以穿透防火牆。
安全有保障
SSL ***容易提供更細的訪問控制,可以對用戶、用戶組的權限、資源、服務、文件進行更加細緻的控制,並可以與第三方認證系統、認證中心(CA)結合。SSL ***安全主要包括:數據通信安全、身份認證安全兩個大層次。
在數據通信安全方面,SSL ***採用標準的安全套接層(SSL)協議對傳輸中的數據包進行加密。SSL協議則是瀏覽器自帶的,加密強度爲128位,對一般商用來說、完全能夠滿足數據傳輸層的安全需求。
在身份認證安全方面,SSL ***也已經走向完善。SSL ***可以做到基於用戶個體的精細控制,基於用戶和組授予不同的應用訪問權限,並對相關訪問操作進行審計,保證只有“正確”的用戶才能訪問總部發布的“正確”的應用。現在大部分的SSL ***產品一般會採用了多重身份認證手段來實現接入者的身份認證,設備的本身內置有認證服務器,而且還可與第三方的認證系統或認證中心集成。多重認證包括:用戶名及密碼校驗;數字證書;第三方的PKI體系;CA中心;USB KEY的認證;動態密鑰等等。這些認證方式可以有效的保障接入用戶身份認證的安全。對於普通企業的***應用可以直接採用設備本身的認證,對於要求較高的企業用戶可以加入企業內部的認證系統或第三方CA認證。
另外,對於內網安全, SSL ***更優於IPSec ***,因爲IPSec ***打開了從分支局域網到總部局域網之間的虛擬通路,它只認證兩端設備的身份,不是認證每一個訪問的人而對於裏面傳什麼數據是沒有有效保障的,因此有可能造成了病毒跨網傳播,而一旦可上***的電腦被未授權的人控制,總部網絡就會存在危險。SSL ***保障到具體的應用,只有開放了具體應用,並且只有權限的用戶才允許訪問、並沒有給接入的用戶不受限地訪問內網其它資源的權限,並且沒有開放到局域網,因此對總部內網更安全。
因此,基於以上分析,SSL ***完全能夠滿足遠程用戶的接入安全需求。
應用支持多
新的SSL ***能夠實現各種基於B/S,C/S結構設計的應用程序,能夠實現所有IPSec ***所支持的所有應用,因此對於用戶各種網絡應用的支持越來越好、越來越多,可以說已經今非昔比。
在以前,SSL ***只支持WEB方式的應用,爲用戶開發的應用必須圍繞着WEB來展開,但現在已經不僅侷限於WEB方式。在這一點上,現在可能仍有網友認爲“SSL ***只支持WEB應用”,這是錯誤的。SSL ***之所以不需要安裝任何***客戶端,就是因爲用戶端的電腦中只要有瀏覽器、就一定會有SSL協議。SSL ***就是用到了系統已有的SSL協議來構建安全的通道,但並不等於SSL ***只支持WEB應用。
SSL ***除了支持WEB應用之外,還能支持基於TCP/UDP傳輸協議的應用(如C/S應用軟件)、支持Windows網上鄰居、FTP等。SSL ***支持C/S結構的應用程序的原理是將非WEB的應用進行重定向、在用戶端將所有數據轉入SSL協議通道傳輸,在中心端進行恢復和還原。目前各路廠家們正在不斷努力研發,以使自家SSL ***產品對用戶各類特殊應用的支持越來越透明。
成本維護低
SSL ***只需維護中心節點的SSL ***設備,客戶端免維護,降低了部署和支持費用,相比較IPSec ***,SSL ***的設備和維護成本是最低的。對於IPSec ***佈網來說,它是局域網與局域網之間通過互聯網構建虛擬連接,需要在總部、分部分別部署一臺IPSEC ***設備,而對單個移動用戶需要安裝專門的客戶端,因此它的設備支出多出了分部的設備部分。而SSL ***只需在單位總部部署一臺SSL ***設備就可以,其它遠程用戶不管它是移動在外的員工,還是分部的員工、合作伙伴用戶要做訪問總部,只需打開瀏覽器就可以了。