隨着SSL ×××應用的逐漸加溫,越來越多的企業開始採納SSL ×××的網絡架構,來解決企業的遠程訪問需求。但是自然有許多的觀望者,質疑SSL ×××的安全性和網絡的兼容性。對於網絡的兼容性,由於IPSec和SSL採取Internet網絡中的不同網絡層來進行安全加密處理,以建立網絡安全通道,因此在網絡的安全管理等級上,各有所長。以下,我們分別從不同的角度來探討這兩種×××應用的安全區別。
1. 安全通道(Secure Tunnel)-IPSec和SSL這兩種安全協議,都有采用對稱式(Symmetric)和非對稱式(Asymmetric)的加密算法來執行加密作業。在安全的通道比較上,並沒有誰好誰壞之差,僅在於應用上的不同。以下批註來自美國紐約州水牛城Catholic Health系統公司的網絡和技術服務總監,“這不是誰對誰錯的問題,而是何者可以滿足不同的需求”。Catholic Health系統公司提供四所醫院相關醫療單位的網絡系統和技術服務。最近他們採用了SSL ×××系統給500位醫生和診所,可以從遠程來執行醫療操作系統,查詢和更新病人的所有數據,但是他們仍然採用IPSec ×××來連結醫院之間點對點的網絡。
2. 認證和權限控管-IPSec採取Internet Key Exchange(IKE)方式,使用數字憑證(Digital Certificate) 或是一組Secret Key來做認證,而SSL僅能使用數字憑證,如果都是採取數字憑證來認證,兩者在認證的安全等級上就沒有太大的差別。SSL的認證,大多數的廠商都會建置硬件的token,來提升認證的安全性。對於使用權限的控管,IPSec可以支持「Selectors」,讓網絡封包過濾喊阻隔某些特定的主機應用系統。但是實際作業上,大多數人都是開發整個網段(Subset),以避免太多的設定所造成的麻煩。SSL可以設定不同的使用者,執行不同的應用系統,它在管理和設定上比IPSec簡單方便許多。
3. 安全測試-IPSec ×××已經有多年的發展,有許多的學術和非營利實驗室,提供各種的測試準則和服務,其中以ICSA Labs是最常見的認證實驗室,大多數的防火牆,×××廠商,都會以通過它的測試及認證爲重要的基準。但SSL ×××在這方面,則尚未有一個公正的測試準則,但是ICSA Labs實驗室也開始着手SSL/TLC的認證計劃,預計在今年底可以完成第一階段的Crypto運算建置及基礎功能測試程序。
4. 應用系統的***-遠程用戶以IPSec ×××的方式與公司內部網絡建立聯機之後,內部網絡所連接的應用系統,都是可以偵測得到,這就提供了******的機會。若是採取SSL-×××來聯機,因爲是直接開啓應用系統,並沒在網絡層上連接,***不易偵測出應用系統內部網絡物制,所受到的威脅也僅是所聯機的這個應用系統,***機會相對就減少。
5. 病毒***-——般企業在Internet聯機入口,都是採取適當的防毒偵測措施。不論是IPSec ×××或SSL ×××聯機,對於入口的病毒偵測效果是相同的,但是比較從遠程客戶端***的可能性,就會有所差別。採用IPSec聯機,若是客戶端電腦遭到病毒感染,這個病毒就有機會感染到內部網絡所連接的每臺電腦。相對於SSL ×××的聯機,所感染的可能性,會侷限於這臺主機,而且這個病毒必須是針對應用系統的類型,不同類型的病毒是不會感染到這臺主機的。
6. 防火牆上的通訊埠(port)-在TCP/IP的網絡架構上,各式各樣的應用系統會採取不同的通訊協議,並且通過不同的通訊埠來作爲服務器和客戶端之間的數據傳輸通道。以Internet Email系統來說,發信和收信一般都是採取SMTP和POP3通訊協議,而且兩種通訊埠是採用port 25,若是從遠程電腦來聯機Email服務器,就必須在防火牆上開放port 25,否則遠程電腦是無法與SMTP和POP3主機溝通的。IPSec ×××聯機就會有這個困擾和安全顧慮。在防火牆上,每開啓一個通訊埠,就多一個******機會。反觀之,SSL ×××就沒有這方面的困擾。因爲在遠程主機與SSL ××× Gateway之間,採用SSL通訊埠(port 443)來作爲傳輸通道,這個通訊埠,一般是作爲Web Server對外的數據傳輸通道,因此,不需在防火牆上做任何修改,也不會因爲不同應用系統的需求,而來修改防火牆上的設定,減少IT管理者的困擾。
IPSec ××× 和SSL ×××這兩種×××架構,從整體的安全等級來看,兩種都能夠提供安全的遠程登入存取聯機。但綜觀上述,SSL ×××在其易於使用性及安全層級,都比IPSec ×××高。我們都知道,由於Internet的迅速擴展,針對遠程安全登入的需求也日益提升。對於使用者而言,方便安全的解決方案,才能真正符合需求。