要了解SSL ***與IPSec ***到底有哪些聯繫與區別,首先還是先來回顧一下傳統的IPSec ***方案。
IPSec的英文全名爲“Internet Protocol Security”,中文名爲“因特網安全協議”,這個安全協議是***的基本加密協議,它爲數據在通過公用網絡(如因特網)在網絡層進行傳輸時提供安全保障。通信雙方要建立IPSec通道,首先要採用一定的方式建立通信連接。因爲IPSec協議支持幾種操作模式,所以通信雙方先要確定所要採用的安全策略和使用模式,這包括如加密運算法則和身份驗證方法類型等。在IPSec協議中,一旦IPSec通道建立,所有在網絡層之上的協議在通信雙方都經過加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而不管這些通道構建時所採用的安全和加密方法如何。
1. IPSec的主要不足
(1)安全性能高,但通信性能較低
因爲IPSec安全協議是工作在網絡層的,不僅所有網絡通道都是加密的,而且在用戶訪問所有公司資源時,就像採用專線方式與公司網絡直接物理連接一樣。你可以或者不想讓你的合作伙伴或者遠程員工成爲您的網絡一部分,IPSec不僅使你正在通信的那一很小的部分通道加密,而是對所有通道進行加密。所以在在安全性方面比SSL ***好,但整體通信性能卻因安全性受到了影響,不過安全性方面始終高於性能的,這也是目前IPSec ***仍爲主流的原因之一。
(2)需要客戶端軟件
在IPSec ***中需要在每一客戶端安裝特殊用途的客戶端軟件,用這些軟件來替換或者增加客戶系統的TCP/IP堆棧。在許多系統中,這就可能帶來了與其他系統軟件之間兼容性問題的風險,例如***程序所帶來的安全性風險,特別是在這些客戶端軟件是從網站上下載,而且不是經過專門的IT人員安裝的情況下。解決IPSec協議的這一兼容性問題目前還缺乏一致的標準,幾乎所有的IPSec客戶端軟件都是專有的,不能與其它兼容。
在一些情形中,IPSec安全協議是在運行在網絡硬件應用中,在這種解決方案中大多數要求通信雙方所採用的硬件是相同的,IPSec協議在硬件應用中同樣存在着兼容性方面的問題。
並且,IPSec客戶端軟件在膝上電腦或者桌面系統中的應用受到限制。這種限制限制了用戶使用的靈活性,在沒有裝載IPSec客戶端系統的遠程用戶中用戶不能與網絡進行***連接。
(3)安裝和維護困難
IPSec安全協議方案需要大量的IT技術支持,包括在運行和長期維護兩個方面。在大的企業通常有幾個專門的員工爲通過IPSecI安全協議進行的***遠程訪問提供服務。
(4)實際全面支持的系統比較少
雖然已有許多開發的操作系統提出對IPSec協議的支持,但是在實際應用是,IPSec安全協議客戶的計算機通常只運行基於Windows系統,很少有運行其它PC系統平臺的,如Mac、Linux、Solaris 等。
2. 爲什麼要用SSL,而不用IPSec ***?
雖然目前並不是所有,也不大多數用戶採用SSL代理方式進行***通信,但是使用SSL ***的用戶數卻在不斷增加,有些是原來一直採用IPSec ***的,原因主要有以下幾個方面:
(1)不需要客戶端軟件和硬件需求
在SSL代理中的一個關鍵優勢就是不需要在客戶端安裝另外的軟件,而只需要在服務器端安裝相應的軟件和硬件,然後通過服務器向客戶端發佈。SSL代理可以使用於支持SSL技術的標準Web瀏覽器和email客戶中。
(2)容易使用,容易支持Web界面
在今天的工廠中,有許多Web瀏覽器和支持SSL的email客戶端,包括Windows、Macintosh、Linux/UNIX、PDAs,甚至到蜂窩電話都可以通過SSL協議進行通信。因爲這些都是人們已非常熟悉的,這樣就可以大大節省培訓費用。
(3)端到端 vs. 端到邊緣安全
IPSec安全協議的一個主要優勢就是只需要在客戶和網絡資源邊緣處建立通道。僅保護從客戶到公司網絡邊緣連接的安全,不管怎樣,所有運行在內部網絡的數據是透明的,包括任何密碼和在傳輸中的敏感數據。SLL安全通道是在客戶到所訪問的資源之間建立的,確保端到端的真正安全。無論在內部網絡還是在因特網上數據都不是透明的。客戶對資源的每一次操作都需要經過安全的身份驗證和加密。
這兩種***方式的通道安全示意圖如圖1所示。
![]()
IPSec的英文全名爲“Internet Protocol Security”,中文名爲“因特網安全協議”,這個安全協議是***的基本加密協議,它爲數據在通過公用網絡(如因特網)在網絡層進行傳輸時提供安全保障。通信雙方要建立IPSec通道,首先要採用一定的方式建立通信連接。因爲IPSec協議支持幾種操作模式,所以通信雙方先要確定所要採用的安全策略和使用模式,這包括如加密運算法則和身份驗證方法類型等。在IPSec協議中,一旦IPSec通道建立,所有在網絡層之上的協議在通信雙方都經過加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而不管這些通道構建時所採用的安全和加密方法如何。
1. IPSec的主要不足
(1)安全性能高,但通信性能較低
因爲IPSec安全協議是工作在網絡層的,不僅所有網絡通道都是加密的,而且在用戶訪問所有公司資源時,就像採用專線方式與公司網絡直接物理連接一樣。你可以或者不想讓你的合作伙伴或者遠程員工成爲您的網絡一部分,IPSec不僅使你正在通信的那一很小的部分通道加密,而是對所有通道進行加密。所以在在安全性方面比SSL ***好,但整體通信性能卻因安全性受到了影響,不過安全性方面始終高於性能的,這也是目前IPSec ***仍爲主流的原因之一。
(2)需要客戶端軟件
在IPSec ***中需要在每一客戶端安裝特殊用途的客戶端軟件,用這些軟件來替換或者增加客戶系統的TCP/IP堆棧。在許多系統中,這就可能帶來了與其他系統軟件之間兼容性問題的風險,例如***程序所帶來的安全性風險,特別是在這些客戶端軟件是從網站上下載,而且不是經過專門的IT人員安裝的情況下。解決IPSec協議的這一兼容性問題目前還缺乏一致的標準,幾乎所有的IPSec客戶端軟件都是專有的,不能與其它兼容。
在一些情形中,IPSec安全協議是在運行在網絡硬件應用中,在這種解決方案中大多數要求通信雙方所採用的硬件是相同的,IPSec協議在硬件應用中同樣存在着兼容性方面的問題。
並且,IPSec客戶端軟件在膝上電腦或者桌面系統中的應用受到限制。這種限制限制了用戶使用的靈活性,在沒有裝載IPSec客戶端系統的遠程用戶中用戶不能與網絡進行***連接。
(3)安裝和維護困難
IPSec安全協議方案需要大量的IT技術支持,包括在運行和長期維護兩個方面。在大的企業通常有幾個專門的員工爲通過IPSecI安全協議進行的***遠程訪問提供服務。
(4)實際全面支持的系統比較少
雖然已有許多開發的操作系統提出對IPSec協議的支持,但是在實際應用是,IPSec安全協議客戶的計算機通常只運行基於Windows系統,很少有運行其它PC系統平臺的,如Mac、Linux、Solaris 等。
2. 爲什麼要用SSL,而不用IPSec ***?
雖然目前並不是所有,也不大多數用戶採用SSL代理方式進行***通信,但是使用SSL ***的用戶數卻在不斷增加,有些是原來一直採用IPSec ***的,原因主要有以下幾個方面:
(1)不需要客戶端軟件和硬件需求
在SSL代理中的一個關鍵優勢就是不需要在客戶端安裝另外的軟件,而只需要在服務器端安裝相應的軟件和硬件,然後通過服務器向客戶端發佈。SSL代理可以使用於支持SSL技術的標準Web瀏覽器和email客戶中。
(2)容易使用,容易支持Web界面
在今天的工廠中,有許多Web瀏覽器和支持SSL的email客戶端,包括Windows、Macintosh、Linux/UNIX、PDAs,甚至到蜂窩電話都可以通過SSL協議進行通信。因爲這些都是人們已非常熟悉的,這樣就可以大大節省培訓費用。
(3)端到端 vs. 端到邊緣安全
IPSec安全協議的一個主要優勢就是只需要在客戶和網絡資源邊緣處建立通道。僅保護從客戶到公司網絡邊緣連接的安全,不管怎樣,所有運行在內部網絡的數據是透明的,包括任何密碼和在傳輸中的敏感數據。SLL安全通道是在客戶到所訪問的資源之間建立的,確保端到端的真正安全。無論在內部網絡還是在因特網上數據都不是透明的。客戶對資源的每一次操作都需要經過安全的身份驗證和加密。
這兩種***方式的通道安全示意圖如圖1所示。
圖1
(4)90%以上的通信是基於Web和Email的
近呼90%的企業利用***進行的內部網和外部網的聯接都只是用來進行因特網訪問和電子郵件通信,另外10%的用戶是利用諸如x11、聊天協議和其它私有客戶端應用,屬非因特網應用。
3. SSL ***與IPSec ***的比較列表
下表是SSL ***與IPSec ***主要性能比較,從表中可以看出各自的主要優勢與不足。
