快捷搜索:

抛弃IPSec VPN 选择SSL VPN的理由

在企业上网汹涌澎拜地遍及开后,下一波企业收集扶植的投资热潮将是企业总分部之间的跨INTERNET联网。现在的企业家已经熟识到收集给企业临盆力前进带来的伟大年夜收益,纷繁要上OA、ERP、CRM等利用系统,以致跨互联网支配。

企业联网规划因为VPN技巧的成熟和险些“无处不在”的已经支配好的广域网——INTERNET,让这个目标的实现变的异常轻易。投资的设备和通信用度更是比传统的帧中继、DDN等联网规划低很多。以致在DDNS、目录办事等技巧支持下,联网的双方都可以应用动态公网IP进行VPN支配,而不必申请奇缺昂贵的静态公网IP。

现在实现VPN联网规划的主要技巧是IPSEC VPN与SSL VPN,IPSEC VPN呈现得较早,商用化程度较高,技巧较成熟,安然性较良好。但缺憾是设备资源支出较多,分部和移感职员必要硬件IPSec VPN客户端设备和软件IPSec VPN客户端,设置事情较繁杂,掩护事情较多,必要专业网管支持。SSL VPN是一项近两年才成长起来新的虚拟专网技巧,因为无须安装VPN客户端(不管是硬件客户端照样软件客户端)的便捷性和是以大年夜幅低落的实施治理资源,在国内外获得了迅速的利用和成长。

同样是VPN远程联网,SSL VPN得当于在客户、相助伙伴用户、远程用户、供应商、本单位总分机构及移动员工之间建立VPN,而IPSec VPN更适用于网段间的链接。

随时随地接入

与IPSEC VPN比拟,SSL VPN加倍适用于单机接入总部收集的利用需求,如移动办公,而IPSEC VPN则适用于两个固定的局域网之间构建安然通道。SSL VPN应用标准的浏览器,无需安装客户端法度榜样,即可经由过程SSL VPN地道接入总部收集造访利用。SSL VPN突破了构建VPN通道要安装专用客户真个传统,倡导的是不需客户真个“随时随地移动接入”的新观点,以致在公共上网场合(如网吧)都能够使用SSL VPN造访内网的利用资本这点是SSL VPN最具代价的特点。然则,SSL VPN并不局限于单机移动用户,也可用于分支单位的固定用户,之以是有上述论述,是由于与IPSec VPN作对照,着实只要能上互联网,任何被授权用户都可以造访SSL VPN。现在的总分部VPN规划也越来越多采纳SSL VPN实现,缘故原由在于它对用户的利用支持范围越来越广,功能越来越靠近于传统的IPSec VPN,而且SSL VPN不受上网要领限定,SSL VPN地道可以穿透防火墙。

安然有保障

SSL VPN轻易供给更细的造访节制,可以对用户、用户组的权限、资本、办事、文件进行加倍细致的节制,并可以与第三方认证系统、认证中间(CA)结合。SSL VPN安然主要包括:数据通信安然、身份认证安然两个大年夜层次。

在数据通信安然方面,SSL VPN采纳标准的安然套接层(SSL)协议对传输中的数据包进行加密。SSL协议则是浏览器自带的,加密强度为128位,对一样平常商用来说、完全能够满意数据传输层的安然需求。

在身份认证安然方面,SSL VPN也已经走向完善。SSL VPN可以做到基于用户个体的精细节制,基于用户和组赋予不合的利用造访权限,并对相关造访操作进行审计,包管只有“精确”的用户才能造访总部宣布的“精确”的利用。现在大年夜部分的SSL VPN产品一样平常会采纳了多重身份认证手段来实现接入者的身份认证,设备的本身内置有认证办事器,而且还可与第三方的认证系统或认证中间集成。多重认证包括:用户名及密码校验;数字证书;第三方的PKI体系;CA中间;USB KEY的认证;动态密钥等等。这些认证要领可以有效的保障接入用户身份认证的安然。对付通俗企业的VPN利用可以直接采纳设备本身的认证,对付要求较高的企业用户可以加入企业内部的认证系统或第三方CA认证。

别的,对付内网安然, SSL VPN更优于IPSec VPN,由于IPSec VPN打开了从分支局域网到总部局域网之间的虚拟通路,它只认证两端设备的身份,不是认证每一个造访的人而对付里面传什么数据是没有有效保障的,是以有可能造成了病毒跨网传播,而一旦可上VPN的电脑被未授权的人节制,总部收集就会存在危险。SSL VPN保障到详细的利用,只有开放了详细利用,并且只有权限的用户才容许造访、并没有给接入的用户不受限地造访内网其它资本的权限,并且没有开放到局域网,是以对总部内网更安然。

是以,基于以上阐发,SSL VPN完全能够满意远程用户的接入安然需求。

利用支持多

新的SSL VPN能够实现各类基于B/S,C/S布局设计的利用法度榜样,能够实现所有IPSec VPN所支持的所有利用,是以对付用户各类收集利用的支持越来越好、越来越多,可以说已经昔不现在。

在曩昔,SSL VPN只支持WEB要领的利用,为用户开拓的利用必须环抱着WEB来展开,但现在已经不仅局限于WEB要领。在这一点上,现在可能仍有网友觉得“SSL VPN只支持WEB利用”,这是差错的。SSL VPN之以是不必要安装任何VPN客户端,便是由于用户真个电脑中只要有浏览器、就必然会有SSL协议。SSL VPN便是用到了系统已有的SSL协议来构建安然的通道,但并不即是SSL VPN只支持WEB利用。

SSL VPN除了支持WEB利用之外,还能支持基于TCP/UDP传输协议的利用(如C/S利用软件)、支持Windows网上邻居、FTP等。SSL VPN支持C/S布局的利用法度榜样的道理是将非WEB的利用进行重定向、在用户端将所稀有据转入SSL协议通道传输,在中间端进行规复和还原。今朝各路厂家们正在赓续努力研发,以使自家SSL VPN产品对用户种种特殊利用的支持越来越透明。

资源掩护低

SSL VPN只需掩护中间节点的SSL VPN设备,客户端免掩护,低落了支配和支持用度,相对照IPSec VPN,SSL VPN的设备和掩护资源是最低的。对付IPSec VPN布网来说,它是局域网与局域网之间经由过程互联网构建虚拟连接,必要在总部、分部分手支配一台IPSEC VPN设备,而对单个移动用户必要安装专门的客户端,是以它的设备支出多出了分部的设备部分。而SSL VPN只需在单位总部支配一台SSL VPN设备就可以,其它远程用户不管它是移动在外的员工,照样分部的员工、相助伙伴用户要做造访总部,只需打开浏览器就可以了。

您可能还会对下面的文章感兴趣: