SSL ××× 與IPSec ××× 是目前流行的兩類Iinternet遠程安全接入技術,它們具有類似功能特性,但也存在很大不同。
SSL的“零客戶端”解決方案被認爲是實現遠程接入的最大優勢,這對缺乏維護大型IPSec配置資源的用戶來說的確如此。但SSL方案也有不足, 它僅支持以代理方式訪問基於Web或特定的客戶端/服務器的應用。由服務器直接操縱的應用,如Net Meeting以及一些客戶書寫的應用程序,將無法進行訪問。
IPSec方案安全級別高
基於Internet實現多專用網安全連接,IPSec ×××是比較理想的方案。IPSec工作於網絡層,對終端站點間所有傳輸數據進行保護,而不管是哪類網絡應用。它在事實上將遠程客戶端“置於”企業內部網,使遠程客戶端擁有內部網用戶一樣的權限和操作功能。
IPSec ×××要求在遠程接入客戶端適當安裝和配置IPSec客戶端軟件和接入設備,這大大提高了安全級別,因爲訪問受到特定的接入設備、軟件客戶端、用戶認證機制和預定義安全規則的限制。
IPSec ×××還能減輕網管負擔。如今一些IPSec客戶端軟件能實現自動安裝,不需要用戶參與。×××服務器能夠爲終端用戶接入設備自動安裝和配置客戶端軟件包,因而無論對網管還是終端用戶,安裝過程都大爲簡化。
IPSec ×××應用優勢
SSL用戶僅限於運用Web瀏覽器接入,這對新型基於Web的商務應用軟件比較合適,但它限制了非Web應用訪問,使得一些文件操作功能難於實現,如文件共享、預定文件備份和自動文件傳輸。用戶可以通過升級、增加補丁、安裝SSL網關或其它辦法來支持非Web應用,但實現成本高且複雜,難以實現。IPSec ×××能順利實現企業網資源訪問,用戶不一定要採用Web接入(可以是非Web方式),這對同時需要以兩種方式進行自動通信的應用程序來說是最好的方案。
IPSec方案能實現網絡層連接,任何LAN應用都能通過IPSec隧道進行訪問,因而在用戶僅需要網絡層接入時,IPSec是理想方案。如今有的機構同時採用IPSec和SSL遠程接入方案,IT主管利用IPSec ×××實現網絡層接入,進行網絡管理,其他人員要訪問的資源有限,一般也就是電子郵件、傳真,以及接入公司內部網(Web瀏覽),因而採用SSL方案。這正是充分利用了IPSec的網絡層接入功能。
IPSec ×××與SSL ×××優劣比較
IPSec ×××和SSL ×××各有優缺點。IPSec ×××提供完整的網絡層連接功能,因而是實現多專用網安全連接的最佳選項;而SSL ×××的“零客戶端”架構特別適合於遠程用戶連接,用戶可通過任何Web瀏覽器訪問企業網Web應用。SSL ×××存在一定安全風險,因爲用戶可運用公衆Internet站點接入;IPSec ×××需要軟件客戶端支撐,不支持公共Internet站點接入,但能實現Web或非Web類企業應用訪問。
Meta Group認爲,不能簡單地給IPSec與SSL方案的優劣下定論。客戶在關注應用方案本身的同時,還應考慮遠程機器外圍設備的安全性,如是否配置有個人防火牆和反病毒防護系統。IT主管需要綜合評估商務應用需求,以決定採納哪類×××策略。