同時使用IPsec和SSL

“我應(yīng)該選擇哪一種虛擬專用網(wǎng)絡(luò)（VPN）？”這個問題的答案并非只有一個?；赪eb的SSL和IPsec VPN均有各自的優(yōu)點和缺點。企業(yè)可以通過仔細考慮VPN策略而同時獲得兩者的好處。

“這兩種技術(shù)是互補而非互斥的：兩種協(xié)議均能夠向遠程訪問用戶提供有效的安全解決方案，而每一種技術(shù)都有自己的優(yōu)點，” Zim Shipping的信息安全官Itay Yanovski說。“在我們組織中，我們同時使用IPsec和SSL VPN，作為公司的安全官，我不會放棄其中任何一個。”

Vivian Ganitsky是Juniper Networks SSL VPN產(chǎn)品線的管理主管，她說許多Juniper的客戶有相同的感覺。因此，她表示公司最新產(chǎn)品在設(shè)計上考慮了如何簡化IPsec和SSL的同時使用。

“IPsec的最大好處是它的最快的傳輸模式，”她說。“它針對VoIP和流媒體進行了訪問優(yōu)化，并且實現(xiàn)了非?？焖俚木W(wǎng)絡(luò)層傳輸。”

但是在許多公司仍然同時使用IPsec和SSL時，F(xiàn)orrester Research的分析員Rob Whiteley則相信大多數(shù)公司最終將淘汰IPsec，而完全采用SSL。

“我們正處于轉(zhuǎn)變階段，”他在接受TechTarget記者采訪時說。“我們將看到越來越多的SSL部署，而IPsec最終會被淘汰，這正好與現(xiàn)在的情況相反。”

他建議企業(yè)評估他們的應(yīng)用程序，保證他們的VPN規(guī)劃在內(nèi)部是兼容的。他們應(yīng)該進行詳細的VPN評估，而IPsec應(yīng)該只用于那些不支持Web的特殊應(yīng)用程序，他說。

決定選擇哪一種VPN時需要考慮的問題

您的組織最適合使用基于Web的SSL VPN嗎，還是應(yīng)該使用更傳統(tǒng)的IPsce VPN？在決定部署哪種VPN時您應(yīng)該考慮這些問題：

您公司的應(yīng)用程序都是基于瀏覽器的嗎？

基于瀏覽器的應(yīng)用程序已經(jīng)使用了SSL了嗎？（如果是，那么就不需要增加額外的VPN功能。）

您是否想避免在所有用戶客戶端電腦或移動設(shè)備上安裝IPsec軟件？

住宅寬帶提供商是否禁止IPsec流量和/或?qū)ζ涫召M？

遠程用戶是否通過NAT路由器連接？

如果您確定IPsec VPN能夠更好地滿足您的需求，但卻沒有預(yù)算，那么您可以使用免費的VPN客戶端，或者甚至采用VPN的替代方案。在這種情況下，您應(yīng)該考慮以下問題：

您為什么要尋找一個VPN客戶端？

您是否計劃建立連接企業(yè)網(wǎng)絡(luò)的隧道？

您是否希望為小型企業(yè)網(wǎng)絡(luò)提供安全的遠程訪問？

您是否嘗試保護通過住宅無線LAN傳輸?shù)牧髁浚?/p>

在每一種情況中，最佳的解決方法可能有所差別。

通過隧道技術(shù)連接企業(yè)VPN的用戶一般需要網(wǎng)絡(luò)運營商專用的客戶端。在某些情況中，他們可能需要使用支持供應(yīng)商擴展程序的特殊客戶端。這個公司也可能在客戶端專有格式中支持必要的安全性政策。

尋找SOHO（小型辦公室/家庭辦公室）LAN安全訪問的用戶可能會衡量所保護的數(shù)據(jù)和網(wǎng)絡(luò)與VPN成本，其中包括硬件、軟件和配置/維護成本。許多小型公司會使用運行于Windows PC的免費Point-to-Point Tunneling Protocol (PPTP)客戶端來連接支持PPTP的Windows NT/2000服務(wù)器或者VPN/防火墻設(shè)備。這對于只使用Windows且需要實現(xiàn)簡單保護的組織而言是一個很簡單的解決方案。

希望在住宅無線LAN中的節(jié)點之間實現(xiàn)比Wired Equivalent Privacy (WEP)更好的安全性的用戶必須使用VPN服務(wù)器。您的接入端或網(wǎng)關(guān)是否可以作為無線LAN的一個VPN服務(wù)器呢？如果不能，那么您能夠在接入端的一個Ethernet端口上連接一個PC或者廉價的安全設(shè)備作為一個VPN服務(wù)器嗎？或者您能夠在無線站點之間運行端到端IPsec嗎？（這需要一定的安全性知識，但是通常是可以做到的。）

您還應(yīng)該考慮希望通過一個VPN客戶端保護的流量。畢竟，殺雞為什么要用牛刀呢？

如果您希望與商業(yè)伙伴安全地傳輸電子郵件，那么您可以考慮使用一個電子郵件加密程序，如Pretty Good Privacy。

希望在家以安全方式管理企業(yè)路由器和服務(wù)器的廣域網(wǎng)（WAN）管理員可以使用Secure Shell。