随着企业信息化程度的不断推进,越来越多的企业通过Internet来满足员工、客户以及合作伙伴远程访问企业内部网络资源,这势必会给企业的内部网络带来一定的安全威胁,所以需要提供一种安全接入机制来保障通信以及敏感信息的安全。VPN(虚拟专用网)技术可以扩展企业的内部网络,允许企业的员工、客户以及合作伙伴利用Internet访问企业网,而成本远远低于传统的专线接入。IPSec VPN和SSL VPN是两种不同的技术手段,可以实现大量数据的远程访问,为人们提供了一种低运行成本、高生产效率的远程访问方式,根据企业不同特点,选择不同的VPN技术,用好VPN,将为企业的通信效率、业务运转带来很大提升。
VPN主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能,可以扩展企业的内部网络,使在外工作的员工或合作伙伴通过因特网访问他们的内部网络。VPN技术中包括许多加密和安全协议,IPSec VPN与SSL VPN是在两种不同的安全协议下实现VPN通信的解决方案。
远程分支机构用什么?
IPSec(Internet Protocol Security),即因特网安全协议,是VPN的基本加密协议,它为数据在公用网络的网络层进行传输时提供安全保障。通信双方为建立IPSec通道,采用一定方式建立通信连接。因为IPSec协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式,这包括加密运算法则和身份验证方法类型等。
在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议的通信双方都经过加密,如TCP、UDP 、SNMP、HTTP、POP等,而不管这些通道构建时所采用的安全和加密方法。IPSec VPN是工作在网络层的,提供所有在网络层上的数据保护和透明的安全通信,是被设计用于连接和保护在信任网络中的数据流,因此更适合为不同的网络提供通信安全保障,该技术被越来越多的企业用来连接远程分支机构。
分散用户的VPN
SSL(Secure Sockets Layer),即安全套接协议层,它是一种基于Web应用的安全协议,在Http、FTP、Telnet等应用协议和TCP/IP协议之间提供一种数据安全分层机制.该协议支持多种认证机制,如数字证书、智能卡、令牌等。SSL协议只对通信双方所使用的应用通道进行加密,并不会对通信双方的整个通道进行加密。结合了SSL 协议的VPN技术更适用于远程分散用户的安全接入。
1. 支持维护简单
基于SSL协议的远程访问不需要安装客户端,通过标准的Web浏览器就可以访问企业内部的网络资源;而IPSec VPN需要在远程终端安装客户端软件,以建立安全隧道。
2. 安全性能高
IPSec VPN通过在两站点间创建安全隧道提供直接接入,实现对整个网络的透明访问; 一旦隧道创建,用户终端就如同物理地处于企业内部局域网中,接入用户权限过大时会带来很多安全风险。所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SSL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
3. 细粒度访问控制
SSL VPN能够对应用层加密隧道进行细分,可以在控制接入、用户授权、安全策略等方面细化,可以控制终端用户对内部企业重要资源的访问。而IPSec VPN无法做到这样细粒度的访问控制。
但是,SSL VPN技术只支持基于Web方式的应用,不能像IPSec VPN那样几乎可以支持所有的应用; 由于SSL VPN是对应用通道进行加密,对系统性能有较大的影响; 此外,SSL VPN适用于点到点的通信,对大量分散在外地的个人提供了便利的访问企业内网资源的手段,无法完成分支机构或驻外单位网络到企业网络的安全连接,那样的连接只能考虑采用IPSec VPN。
伴随企业信息化程度的加深,远程安全访问、协同工作的需求会日益明显,SSL VPN和IPSec VPN已经成为企业用户远程安全接入的主要方式,为企业提供了安全的远程接入平台。
