VPN（虛擬專用網）技術可以擴展企業的內部網絡，允許企業的員工、客戶以及合作伙伴利用Internet訪問企業網，而成本遠遠低于傳統的專線接入。IPSec VPN和SSL VPN是兩種不同的技術手段，可以實現大量數據的遠程訪問，為人們提供了一種低運行成本、高生產效率的遠程訪問方式，根據企業不同特點，選擇不同的VPN技術，用好VPN，將為企業的通信效率、業務運轉帶來很大提升。

VPN主要應用于虛擬連接網絡，它可以確保數據的機密性并且具有一定的訪問控制功能，可以擴展企業的內部網絡，使在外工作的員工或合作伙伴通過因特網訪問他們的內部網絡。VPN技術中包括許多加密和安全協議，IPSec VPN與SSL VPN是在兩種不同的安全協議下實現VPN通信的解決方案。

遠程分支機構用什么？

IPSec（Internet Protocol Security），即因特網安全協議，是VPN的基本加密協議，它為數據在公用網絡的網絡層進行傳輸時提供安全保障。通信雙方為建立IPSec通道，采用一定方式建立通信連接。因為IPSec協議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，這包括加密運算法則和身份驗證方法類型等。

在IPSec協議中，一旦IPSec通道建立，所有在網絡層之上的協議的通信雙方都經過加密，如TCP、UDP 、SNMP、HTTP、POP等，而不管這些通道構建時所采用的安全和加密方法。IPSec VPN是工作在網絡層的，提供所有在網絡層上的數據保護和透明的安全通信，是被設計用于連接和保護在信任網絡中的數據流，因此更適合為不同的網絡提供通信安全保障，該技術被越來越多的企業用來連接遠程分支機構。

分散用戶的VPN

SSL（Secure Sockets Layer），即安全套接協議層，它是一種基于Web應用的安全協議,在Http、FTP、Telnet等應用協議和TCP/IP協議之間提供一種數據安全分層機制.該協議支持多種認證機制，如數字證書、智能卡、令牌等。SSL協議只對通信雙方所使用的應用通道進行加密，并不會對通信雙方的整個通道進行加密。結合了SSL 協議的VPN技術更適用于遠程分散用戶的安全接入。

SSL VPN相對于IPSec VPN,具有以下優點:

1. 支持維護簡單

基于SSL協議的遠程訪問不需要安裝客戶端，通過標準的Web瀏覽器就可以訪問企業內部的網絡資源;而IPSec VPN需要在遠程終端安裝客戶端軟件，以建立安全隧道。

2. 安全性能高

IPSec VPN通過在兩站點間創建安全隧道提供直接接入，實現對整個網絡的透明訪問; 一旦隧道創建，用戶終端就如同物理地處于企業內部局域網中，接入用戶權限過大時會帶來很多安全風險。所有運行在內部網絡的數據是透明的，包括任何密碼和在傳輸中的敏感數據。SSL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內部網絡還是在因特網上數據都不是透明的。客戶對資源的每一次操作都需要經過安全的身份驗證和加密。

3. 細粒度訪問控制

SSL VPN能夠對應用層加密隧道進行細分，可以在控制接入、用戶授權、安全策略等方面細化，可以控制終端用戶對內部企業重要資源的訪問。而IPSec VPN無法做到這樣細粒度的訪問控制。

但是，SSL VPN技術只支持基于Web方式的應用，不能像IPSec VPN那樣幾乎可以支持所有的應用; 由于SSL VPN是對應用通道進行加密，對系統性能有較大的影響; 此外，SSL VPN適用于點到點的通信，對大量分散在外地的個人提供了便利的訪問企業內網資源的手段，無法完成分支機構或駐外單位網絡到企業網絡的安全連接，那樣的連接只能考慮采用IPSec VPN。

伴隨企業信息化程度的加深，遠程安全訪問、協同工作的需求會日益明顯，SSL VPN和IPSec VPN已經成為企業用戶遠程安全接入的主要方式，為企業提供了安全的遠程接入平臺。

【編輯推薦】

1. VPN遠程訪問安全控制 煙草專賣局應用案例
2. 直擊故障現場：頑固的VPN訪問故障