socks5 ***與IPSec ***、ssl ***特點比較
***標準分爲三類:IPSec ***、SSL *** 、Socks5 ***
IPSec ***國家標準制定單位:深圳奧聯科技、華爲、深信服、中興、無錫江南信息安全工程技術中心。
SSL ***國家標準制定單位:深圳市奧聯科技有限公司、華爲技術有限公司、深圳市深信服電子科技有限公司、無錫江南信息安全工程技術中心、成都衛士通信息產業股份有限公司等十餘家單位。
socks5 ***與IPSec ***、ssl ***特點比較
首先讓我們從SSL ***和IPSec ***個陣營出發做一個比較。
1 SSL ***相對於IPSec ***的優勢
1.1 SSL ***比IPSec ***部署、管理成本低
首先我們先認識一下IPSEC存在的不足之處:
在設計上,IPSec ***是一種基礎設施性質的安全技術。這類***的真正價值在於,它們儘量提高IP環境的安全性。可問題在於,部署IPSec需要對基礎設施進行重大改造,以便遠程訪問。好處就擺在那裏,但管理成本很高。IPSec安全協議方案需要大量的IT技術支持,包括在運行和長期維護兩個方面。在大的企業通常有幾個專門的員工爲通過IPSec安全協議進行的***遠程訪問提供服務。
IPSec ***最大的難點在於客戶端需要安裝複雜的軟件,而且當用戶的***策略稍微有所改變時,***的管理難度將呈幾何級數增長。SSL ***則正好相反,客戶端不需要安裝任何軟件或硬件,使用標準的瀏覽器,就可通過簡單的SSL安全加密協議,安全地訪問網絡中的信息。
其次我們再看看SSL的優勢特點:
從概念角度來說,SSL ***即指採用SSL (Security Socket Layer)協議來實現遠程接入的一種新型***技術。SSL協議是網景公司提出的基於WEB應用的安全協議,它包括:服務器認證、客戶認證(可選)、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對於內、外部應用來說,使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協議被廣泛應用於各種瀏覽器應用,也可以應用於Outlook等使用TCP協議傳輸數據的C/S應用。正因爲SSL 協議被內置於IE等瀏覽器中,使用SSL 協議進行認證和數據加密的SSL ***就可以免於安裝客戶端。相對於傳統的IPSEC ***而言,SSL ***具有部署簡單,無客戶端,維護成本低,網絡適應強等特點,這兩種類型的***之間的差別就類似C/S構架和B/S構架的區別。
一般而言,SSL ***必須滿足最基本的兩個要求:
1. 使用SSL 協議進行認證和加密;沒有采用SSL 協議的***產品自然不能稱爲SSL ***,其安全性也需要進一步考證。
2. 直接使用瀏覽器完成操作,無需安裝獨立的客戶端;即使使用了SSL 協議,但仍然需要分發和安裝獨立的***客戶端 (如Open ***)不能稱爲SSL ***,否則就失去了SSL ***易於部署,免維護的優點了。
SSL ***避開了部署及管理必要客戶軟件的複雜性和人力需求;SSL在Web的易用性和安全性方面架起了一座橋樑,目前對SSL ***公認的三大好處是:
第一來自於它的簡單性,它不需要配置,可以立即安裝、立即生效;
第二個好處是客戶端不需要麻煩的安裝,直接利用瀏覽器中內嵌的SSL協議就行;
第三個好處是兼容性好,傳統的IPSec ***對客戶端採用的操作系統版本具有很高的要求,不同的終端操作系統需要不同的客戶端軟件,而SSL ***則完全沒有這樣的麻煩。
綜合分析可見:
1. SSL ***強調的優勢其實主要集中在***客戶端的部署和管理上,我們知道SSL ***一再強調無需安裝客戶端,主要是由於瀏覽器內嵌了SSL協議,也就是說是基於B/S結構的業務時,可以直接使用瀏覽器完成SSL的***建立;
2. 某些SSL ***廠商如F5有類似IPSec ***的“網絡訪問”方式,可以解決傳統的C/S應用程序的問題,用戶用瀏覽器登錄SSL ***設備後,撥通網絡訪問資源即可獲得一個虛擬IP,即可以訪問按照安全策略允許訪問的內網地址和端口,和IPSec ***不同的是,這種方式並非工作在網絡層,所以不會有接入地點的限制;
1.2 SSL ***比IPSec ***更安全
IPSec ***的安全性一直是一個弱點,由於IPSec ***而引起的病毒、***、Web***一直是無法徹底解決的問題,而F5 FirePass可以很好的解決這個問題。
首先我們還是先認識一下IPSEC存在的不足之處:
1. 在通路本身安全性上,傳統的IPSec ***還是非常安全的,比如在公網中建立的通道,很難被人篡改。說其不安全,是從另一方面考慮的,就是在安全的通路兩端,存在很多不安全的因素。比如總公司和子公司之間用IPsec ***連接上了,總公司的安全措施很嚴密,但子公司可能存在很多安全隱患,這種隱患會通過IPsec ***傳遞給總公司,這時,公司間的安全性就由安全性低的分公司來決定了。
2. 比如***想要***應用系統,如果遠程用戶以IPSec ***的方式與公司內部網絡建立聯機之後,內部網絡所連接的應用系統,***都是可以偵測得到,這就提供了******的機會。
3. 比如應對病毒***,一般企業在Internet聯機入口,都是採取適當的防毒偵測措施。採用IPSec聯機,若是客戶端電腦遭到病毒感染,這個病毒就有機會感染到內部網絡所連接的每臺電腦。
4. 不同的通訊協議,並且通過不同的通訊端口來作爲服務器和客戶端之間的數據傳輸通道。以Internet Email系統來說,發信和收信一般都是採取SMTP和POP3通訊協議,而且兩種通訊協議採用25和110端口,若是從遠程電腦來聯機Email服務器,就必須在防火牆上開放25和110端口,否則遠程電腦是無法與SMTP和POP3主機溝通的。IPSec ***聯機就會有這個困擾和安全顧慮。在防火牆上,每開啓一個通訊埠,就多一個******機會。
其次我們再看看SSL的優勢特點:
1. SSL安全通道是在客戶到所訪問的資源之間建立的,確保點到點的真正安全。無論在內部網絡還是在因特網上數據都不是透明的,客戶對資源的每一次操作都需要經過安全的身份驗證和加密。
2. 若是採取SSL ***來聯機,因爲是直接開啓應用系統,並沒在網絡層上連接,***不易偵測出應用系統內部網絡設置,同時******的也只是***服務器,無法***到後臺的應用服務器,***機會相對就減少。有的廠商如F5公司的產品,可以對客戶端允許訪問的地址、協議、端口都加以限制;可以對客戶端做各種檢查,如操作系統補丁、防病毒軟件及病毒庫更新時間、個人防火牆等等,不符合條件的客戶端可以不允許其登錄,這樣就大大增加了整個系統的安全性。
3. 而對於SSL ***的聯機,病毒傳播會侷限於這臺主機,而且這個病毒必須是針對應用系統的類型,不同類型的病毒是不會感染到這臺主機的。因此通過SSL ***連接,受外界病毒感染的可能性大大減小。有的廠商如F5公司的產品,自身帶有防病毒軟件,更可以通過標準協議連接防病毒軟件,加強對於病毒的防治。
4. SSL ***就沒有這方面的困擾。因爲在遠程主機與SSL*** 之間,採用SSL通訊端口443來作爲傳輸通道,這個通訊端口,一般是作爲Web Server對外的數據傳輸通道,因此,不需在防火牆上做任何修改,也不會因爲不同應用系統的需求,而來修改防火牆上的設定,減少IT管理者的困擾。如果所有後臺系統都通過SSL ***的保護,那麼在日常辦公中防火牆只開啓一個443端口就可以,因此大大增強內部網絡受外部******的可能性。
1.3 SSL ***相比IPSec ***有更好可擴展性
對於SSL ***的性能,一向是IPSec ***陣營***SSL ***的有力武器。確實,SSL ***單臺的性能是無法與最高端的IPSec ***相抗衡的,但是由於F5的FirePass可以通過自由堆疊來擴展,反而可以提供更高的性能。
首先我們還是先認識一下IPSec ***存在的不足之處:
IPSec ***在部署時一般放置在網絡網關處,因而要考慮網絡的拓撲結構,如果增添新的設備,往往要改變網絡結構,那麼IPSec ***就要重新部署,因此造成IPSec ***的可擴展性比較差。
其次我們再看看SSL ***的優勢特點:
SSL ***就有所不同,它一般部署在內網中任一節點處即可,可以隨時根據需要,添加需要***保護的服務器,因此無需影響原有網絡結構。
1.4 在訪問控制方面比IPSec ***更細緻
爲什麼最終用戶要部署***,究其根本原因,還是要保護網絡中重要數據的安全,比如財務部門的財務數據,人事部門的人事數據,銷售部門的項目信息,生產部門的產品配方等等。
首先我們還是先認識一下IPSEC存在的不足之處:
由於IPSec ***部署在網絡層,因此,內部網絡對於通過***的使用者來說是透明的,只要是通過了IPSec ***網關,他可以在內部爲所欲爲。因此,IPSec ***的目標是建立起來一個虛擬的IP網,而無法保護內部數據的安全。所以IPSec ***又被稱爲網絡安全設備。
其次我們再看看SSL的優勢特點:
在電子商務和電子政務日益發展的今天,各種應用日益複雜,需要訪問內部網絡人員的身份也多種多樣,比如可能有自己的員工、控股公司的工作人員、供貨商、分銷商、商業合作伙伴等等。與IPSec ***只搭建虛擬傳輸網絡不同的是,SSL ***重點在於保護具體的敏感數據,比如SSL ***可以根據用戶的不同身份,給予不同的訪問權限。就是說,雖然都可以進入內部網絡,但是不同人員可以訪問的數據是不同的。而且在配合一定的身份認證方式的基礎上,不僅可以控制訪問人員的權限,還可以對訪問人員的每個訪問,做的每筆交易、每個操作進行數字簽名,保證每筆數據的不可抵賴性和不可否認性,爲事後追蹤提供了依據。
1.5 SSL ***比IPSec ***也具有更好的經濟性
假設一個公司有1000個用戶需要進行遠程訪問,那麼如果購買IPSec ***,那麼就需要購買1000個客戶端許可,而如果購買SSL ***,因爲這1000個用戶並不同時進行遠程訪問,按照統計學原理,假定只有100個用戶會同時進行遠程訪問,只需要購買100個客戶端許可即可。
1.6 SSL和IPSec各實現在哪一層的優劣
SSL協議是高層協議,實現在第四層。IPSec實現在第三層。
許多TCP/IP協議棧是這樣實現的: TCP、IP 以及IP以下的協議實現在操作系統中,而TCP之上的協議實現在用戶進程中(應用程序)。SSL協議的設計思想是在不改變操作系統的情況下部署實現,因此實現在TCP之上,SSL協議要求與應用程序接口(安全套結字API)而不是與TCP接口,也就不與操作系統接口。與SSL協議的設計思想不同,IPSec是在操作系統內部實現安全功能,從而自動地對應用系統實現保護。
SSL實現在TCP之上的安全協議存在一個問題,因爲TCP協議本身沒有密碼的保護,所以只要惡意的代碼插入數據包並通過TCP的校驗,TCP數據包就不能夠覺察到惡意代碼的存在,TCP會將這些數據包轉發給 SSL,而SSL會接受這些數據包,然後進行完整性驗證,最後丟棄這些數據包;但是當真實的數據包到達時,TCP會以爲這是重複的數據包,從而丟棄,因爲丟棄的包和前一個包有着相同的序列號。SSL別無選擇,只好關閉。
同樣,IPSec不能對應用程序進行修改就可以運行也有安全問題,因爲IPSec可以對源IP地址進行認證,但卻無法告訴應用程序真正用戶的身份。許多情況下,通信實體往往從不同的地址登錄,並被允許訪問網絡。大多數應用程序需要區分不同的用戶,如果IPSec已經認證了用戶的身份,那麼理論上它應該把用戶的身份告訴給應用程序,但這樣就要修改API和應用程序。最大可能就是基於公鑰的認證方法,並建立IP地址與用戶名的關聯方法。
1.7 Socks5 ***與IPSec ***和SSL ***比較
Socks5 ***功能是對傳統的IPSec ***和SSL ***的革新,是在總結了IPSec ***和SSL ***的優缺點以後,提出的一種全新的解決方案。
Socks5 ***運行在會話層,並且提供了對應用數據和應用協議的可見性,使網絡管理員能夠對用戶遠程訪問實施細粒度的安全策略檢查。基於會話層實現Socks5 ***的核心是會話層代理,通過代理可以將用戶實際的網絡請求轉發給應用服務器,從而實現遠程訪問的能力。
在實現上,通過在用戶機器上安裝Socks5 ***瘦客戶端,由瘦客戶端監控用戶的遠程訪問請求,並將這些請求轉化成代理協議可以識別的請求併發送給Socks5 ***服務器進行處理,Socks5 ***服務器則根據發送者的身份執行相應的身份認證和訪問控制策略。在這種方式上,Socks5 ***客戶端和Socks5 ***服務器扮演了中間代理的角色,可以在用戶訪問遠程資源之前執行相應的身份認證和訪問控制,只有通過檢查的合法數據才允許流進應用服務器,從而有力保護了組織的內部專用網絡。
Socks5 ***與傳統的L2TP、IPSec 等***相比:
有效地避免了***和病毒通過***隧道傳播的風險,而這些風險是防火牆和防病毒難以克服的,因爲他們已經把***來訪作爲安全的授信用戶。
基於會話層實現的***優化了訪問應用和資源提供細粒度的訪問控制。
基於代理模式的會話層數據轉發減少了隧道傳輸過程中的數據冗餘,從而取得了傳統***無法媲美的傳輸效率。
Socks5 ***同時又保證了對應用的兼容性,避免SSL ***的以下三大難題:
因爲運行在會話層,非應用層,支持傳輸層以上的所有網絡應用程序的訪問請求,支持所有TCP應用,無須如SSL ***那樣通過複雜的協議轉換來支持各種不同應用所導致的效率損失和很多應用不兼容的兩大難題。
還克服了SSL ***只能組建單向星狀網絡的尷尬局面,滿足了雙向互訪、多向網狀、星狀訪問的複雜網絡環境。