| 出版日期:2004-09-27 总期号:1351 本年期号:72 |
|
 |
SSL与IPSec并不矛盾
■ 文/沈文 IPSec技术自上个世纪90年代中期问世,得到了所有VPN产品厂商的广泛支持。业内人士认为,IPSec是最安全、最灵活的VPN技术。 直到最近,IPSec终于遇上了真正的挑战者:SSL。现在许多知名的VPN厂商都在推广面向远程访问和外联网连接的SSL,作为IPSec VPN的替代方案。譬如,NetScreen宣布与SSL VPN设备厂商SafeWeb合作;Nortel往增强版Alteon应用交换机添加SSL VPN功能;Nokia也早早推出了基于SSL的远程访问方案。 SSL VPN的主要优点之一就是,可以利用所有标准浏览器中无所不在的SSL加密功能,不必安装IPSec VPN客户软件。而传统IPSec VPN的问题是,它需要远程最终用户在PC和便携电脑上安装及配置客户软件。而最终用户安装或配置软件不当是常有的事,这势必导致管理成本急剧上升。 但使用SSL VPN的话,最终用户不必安装客户软件。IT管理员也不必重新配置防火墙,因为SSL端口通常是开着的。从而简化了企业服务器层面的管理,进一步降低了远程访问成本。据Yankee集团声称,SSL远程访问的成本比IPSec方案低45%、比拨号连接(不包括话费)低72%。 除了不用客户软件这一特性外,SSL VPN适合大多数移动设备和操作系统。SSL VPN还适合外出时需要同企业网保持连接的移动用户。不仅可以用便携电脑实现远程访问,任何具有Web功能的设备如移动电话和PDA都具有这功能。 随着更多的企业应用开始具有Web功能,基于SSL的VPN现已成了吸引诸多公司的一种方案。譬如,假设某公司想为连接到它无法直接控制的第三方合作伙伴公司、由Web应用组成的外联网提供安全。那么用SSL VPN,几乎不需要在第三方另行安装软件,就能提供基于浏览器的访问功能。 但SSL VPN的卖点恰恰也是其缺点所在。如果所需访问的各方都基于Web,那很好。但如果需要支持另外的协议,基于SSL的VPN就不太方便了。基于SSL的VPN方案只允许访问基于Web的流量和应用,而在大多数公司,基于Web的应用数量并不多。基于Web的外联网只广泛部署于特大公司,绝大部分中小公司没有使用它。 现在许多公司所用的应用软件使用各种TCP/IP协议,不是全部可以在SSL上进行传输。如果不在每个客户端另外安装软件,SSL就不支持这些协议,这样一来,“无需客户软件”的主要优点也就荡然无存。IPSec VPN则灵活得多,因为安装客户软件后,就能支持各种TCP/IP协议。 另外,SSL VPN提供的安全级别也是个问题,因为它完全依赖平台即浏览器的安全性。所以,SSL并非牢不可破。由于SSL为人们所知已有好长时间,安全风险可能高于闭环专利技术。故而专家建议,如果公司希望应用系统尽可能安全,SSL也许不是合适的方案。 Gartner预测,到2004年,60%的企业用户将使用SSL而不是采用胖客户机的VPN来访问企业数据。但许多厂商认为,IPSec不会输给SSL。作为一项特定技术,SSL VPN在VPN市场自然有其位置,但不会取代IPSec。因为SSL VPN局限于远程访问,而IPSec却可以用在众多应用,譬如站点到站点、外联网和远程访问,因为较低层协议允许任何具有IP功能的应用软件运行在上面。 (C9) |
||||||||||||||||||||||||||||||
