VPN（虛擬專用網(wǎng)）技術(shù)可以擴(kuò)展企業(yè)的內(nèi)部網(wǎng)絡(luò)，允許企業(yè)的員工、客戶以及合作伙伴利用Internet訪問企業(yè)網(wǎng)，而成本遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的專線接入。IPSec VPN和SSL VPN是兩種不同的技術(shù)手段，可以實(shí)現(xiàn)大量數(shù)據(jù)的遠(yuǎn)程訪問，為人們提供了一種低運(yùn)行成本、高生產(chǎn)效率的遠(yuǎn)程訪問方式，根據(jù)企業(yè)不同特點(diǎn)，選擇不同的VPN技術(shù)，用好VPN，將為企業(yè)的通信效率、業(yè)務(wù)運(yùn)轉(zhuǎn)帶來很大提升。

VPN主要應(yīng)用于虛擬連接網(wǎng)絡(luò)，它可以確保數(shù)據(jù)的機(jī)密性并且具有一定的訪問控制功能，可以擴(kuò)展企業(yè)的內(nèi)部網(wǎng)絡(luò)，使在外工作的員工或合作伙伴通過因特網(wǎng)訪問他們的內(nèi)部網(wǎng)絡(luò)。VPN技術(shù)中包括許多加密和安全協(xié)議，IPSec VPN與SSL VPN是在兩種不同的安全協(xié)議下實(shí)現(xiàn)VPN通信的解決方案。

遠(yuǎn)程分支機(jī)構(gòu)用什么？

IPSec（Internet Protocol Security），即因特網(wǎng)安全協(xié)議，是VPN的基本加密協(xié)議，它為數(shù)據(jù)在公用網(wǎng)絡(luò)的網(wǎng)絡(luò)層進(jìn)行傳輸時(shí)提供安全保障。通信雙方為建立IPSec通道，采用一定方式建立通信連接。因?yàn)镮PSec協(xié)議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，這包括加密運(yùn)算法則和身份驗(yàn)證方法類型等。

在IPSec協(xié)議中，一旦IPSec通道建立，所有在網(wǎng)絡(luò)層之上的協(xié)議的通信雙方都經(jīng)過加密，如TCP、UDP 、SNMP、HTTP、POP等，而不管這些通道構(gòu)建時(shí)所采用的安全和加密方法。IPSec VPN是工作在網(wǎng)絡(luò)層的，提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信，是被設(shè)計(jì)用于連接和保護(hù)在信任網(wǎng)絡(luò)中的數(shù)據(jù)流，因此更適合為不同的網(wǎng)絡(luò)提供通信安全保障，該技術(shù)被越來越多的企業(yè)用來連接遠(yuǎn)程分支機(jī)構(gòu)。

分散用戶的VPN

SSL（Secure Sockets Layer），即安全套接協(xié)議層，它是一種基于Web應(yīng)用的安全協(xié)議,在Http、FTP、Telnet等應(yīng)用協(xié)議和TCP/IP協(xié)議之間提供一種數(shù)據(jù)安全分層機(jī)制.該協(xié)議支持多種認(rèn)證機(jī)制，如數(shù)字證書、智能卡、令牌等。SSL協(xié)議只對(duì)通信雙方所使用的應(yīng)用通道進(jìn)行加密，并不會(huì)對(duì)通信雙方的整個(gè)通道進(jìn)行加密。結(jié)合了SSL 協(xié)議的VPN技術(shù)更適用于遠(yuǎn)程分散用戶的安全接入。

SSL VPN相對(duì)于IPSec VPN,具有以下優(yōu)點(diǎn):

1. 支持維護(hù)簡(jiǎn)單

基于SSL協(xié)議的遠(yuǎn)程訪問不需要安裝客戶端，通過標(biāo)準(zhǔn)的Web瀏覽器就可以訪問企業(yè)內(nèi)部的網(wǎng)絡(luò)資源;而IPSec VPN需要在遠(yuǎn)程終端安裝客戶端軟件，以建立安全隧道。

2. 安全性能高

IPSec VPN通過在兩站點(diǎn)間創(chuàng)建安全隧道提供直接接入，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的透明訪問; 一旦隧道創(chuàng)建，用戶終端就如同物理地處于企業(yè)內(nèi)部局域網(wǎng)中，接入用戶權(quán)限過大時(shí)會(huì)帶來很多安全風(fēng)險(xiǎn)。所有運(yùn)行在內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)是透明的，包括任何密碼和在傳輸中的敏感數(shù)據(jù)。SSL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的?？蛻魧?duì)資源的每一次操作都需要經(jīng)過安全的身份驗(yàn)證和加密。

3. 細(xì)粒度訪問控制

SSL VPN能夠?qū)?yīng)用層加密隧道進(jìn)行細(xì)分，可以在控制接入、用戶授權(quán)、安全策略等方面細(xì)化，可以控制終端用戶對(duì)內(nèi)部企業(yè)重要資源的訪問。而IPSec VPN無法做到這樣細(xì)粒度的訪問控制。

但是，SSL VPN技術(shù)只支持基于Web方式的應(yīng)用，不能像IPSec VPN那樣幾乎可以支持所有的應(yīng)用; 由于SSL VPN是對(duì)應(yīng)用通道進(jìn)行加密，對(duì)系統(tǒng)性能有較大的影響; 此外，SSL VPN適用于點(diǎn)到點(diǎn)的通信，對(duì)大量分散在外地的個(gè)人提供了便利的訪問企業(yè)內(nèi)網(wǎng)資源的手段，無法完成分支機(jī)構(gòu)或駐外單位網(wǎng)絡(luò)到企業(yè)網(wǎng)絡(luò)的安全連接，那樣的連接只能考慮采用IPSec VPN。

伴隨企業(yè)信息化程度的加深，遠(yuǎn)程安全訪問、協(xié)同工作的需求會(huì)日益明顯，SSL VPN和IPSec VPN已經(jīng)成為企業(yè)用戶遠(yuǎn)程安全接入的主要方式，為企業(yè)提供了安全的遠(yuǎn)程接入平臺(tái)。

【編輯推薦】

1. VPN遠(yuǎn)程訪問安全控制 煙草專賣局應(yīng)用案例
2. 直擊故障現(xiàn)場(chǎng)：頑固的VPN訪問故障