虛擬專用網(wǎng)絡(luò)(VPN)已經(jīng)成為了公司合作伙伴或員工遠(yuǎn)程安全訪問(wèn)公司資源的事實(shí)標(biāo)準(zhǔn)。在本文中，我們將試圖解釋兩種特定的VPN類型，即IPSec VPN和SSL VPN，以及這兩種類型應(yīng)該如何選擇。

然而，在深入研究這兩個(gè)不同類型之前，需要首先對(duì)VPN技術(shù)進(jìn)行一個(gè)簡(jiǎn)要的概述。VPN是指有利于遠(yuǎn)程訪問(wèn)公司資源的一系列技術(shù)。這種技術(shù)的主要用戶，是試圖在家或者其他公共場(chǎng)所訪問(wèn)公司資源的公司雇員，以及在公司的基礎(chǔ)架構(gòu)內(nèi)支持各種系統(tǒng)的合作伙伴或第三方。VPN一般通過(guò)在遠(yuǎn)程站點(diǎn)和公司網(wǎng)絡(luò)之間建立一個(gè)加密通道的方式，利用公共長(zhǎng)途IP網(wǎng)絡(luò)來(lái)進(jìn)行數(shù)據(jù)傳輸，這些遠(yuǎn)程站點(diǎn)包括雇員的筆記本電腦或者第三方系統(tǒng)。

關(guān)鍵技術(shù)

當(dāng)前，最為普及的兩種VPN技術(shù)分別是基于傳統(tǒng)網(wǎng)絡(luò)安全協(xié)議(IPsec)的VPN技術(shù)和安全套接字層(SSL)VPN技術(shù)，前者主要作用于網(wǎng)絡(luò)層，而后者主要作用于應(yīng)用層。它們的不同之處在于：使用的底層技術(shù)不同，所服務(wù)的功能不同，以及潛在的VPN安全風(fēng)險(xiǎn)不同。

IPsec最初的設(shè)計(jì)是提供點(diǎn)到點(diǎn)的，在遠(yuǎn)程站點(diǎn)和中央辦公室資源之間進(jìn)行不間斷的連接。在這種情況下，客戶端可以是分公司或者供應(yīng)商。這個(gè)協(xié)議被設(shè)計(jì)為工作在網(wǎng)絡(luò)堆棧的更底層（第3層，網(wǎng)絡(luò)層），并可以用來(lái)傳輸任何基于IP的協(xié)議報(bào)文，而不用理會(huì)應(yīng)用程序所產(chǎn)生的流量。隨著移動(dòng)辦公時(shí)代的到來(lái)，IPsec已經(jīng)得到擴(kuò)展，用戶通過(guò)使用一個(gè)安裝在移動(dòng)設(shè)備上的專用VPN應(yīng)用程序（客戶端）就可以進(jìn)行遠(yuǎn)程訪問(wèn)。

另一方面，SSL VPN在設(shè)計(jì)時(shí)就考慮到了移動(dòng)辦公。它的預(yù)期目標(biāo)是提供一個(gè)無(wú)縫連接的、無(wú)客戶端的遠(yuǎn)程訪問(wèn)方式。這樣，SSL VPN可以被看做一個(gè)應(yīng)用程序代理，遠(yuǎn)程用戶使用瀏覽器就可以以某種粒度訪問(wèn)公司的特定資源，而不再需要安裝客戶端。

優(yōu)勢(shì)與劣勢(shì)

IPsec的關(guān)鍵優(yōu)勢(shì)在于它在站點(diǎn)之間提供一個(gè)永久連接的能力。工作在網(wǎng)絡(luò)層（網(wǎng)絡(luò)堆棧的第3層）也使其與應(yīng)用程序無(wú)關(guān)：任何基于IP的協(xié)議都能夠通過(guò)它進(jìn)行傳輸。這使得IPsec相對(duì)于那些昂貴的租用線路或者專用線路，是一個(gè)相當(dāng)有吸引力的替代品。它也可以作為一個(gè)備份鏈路，即在連接遠(yuǎn)程站點(diǎn)和中央辦公室的主租用線路或?qū)Ｓ镁€路崩潰時(shí)起作用。

然而，IPsec中與應(yīng)用程序無(wú)關(guān)的設(shè)計(jì)也是它的弱點(diǎn)。雖然它提供了認(rèn)證、授權(quán)和加密，同時(shí)還基本上把公司網(wǎng)絡(luò)拓展到任何遠(yuǎn)程用戶，但是它沒(méi)有能在一定粒度級(jí)別上限制對(duì)資源的訪問(wèn)。一旦隧道建立，遠(yuǎn)程用戶通常可以訪問(wèn)公司的任何資源，就像他們是直接連接到公司網(wǎng)絡(luò)一樣。因?yàn)橐苿?dòng)辦公需要允許諸如智能手機(jī)和家用電腦等非托管的IT設(shè)備訪問(wèn)公司資源，所以這些安全問(wèn)題顯得更加嚴(yán)重。IT部門對(duì)這些設(shè)備沒(méi)有任何可視性和控制權(quán)，而且不能保證這些設(shè)備符合通常在托管設(shè)備上實(shí)施的安全水平。

另外，IPsec也需要更多的維護(hù)。除了需要建立終止通道的設(shè)備，還需要額外的配置和維護(hù)來(lái)支持遠(yuǎn)程用戶群。在公司使用網(wǎng)絡(luò)地址解析（NAT）的情況下，還需要特殊的配置確保IPsec與NAT設(shè)置充分協(xié)調(diào)。

相比之下，SSL VPNs從設(shè)計(jì)的一開(kāi)始就支持遠(yuǎn)程訪問(wèn)。它們不需要安裝任何特別的軟件。遠(yuǎn)程訪問(wèn)是通過(guò)一個(gè)基于瀏覽器的使用安全套接層（SSL）的會(huì)話實(shí)現(xiàn)的。SSL VPNs還為企業(yè)提供粒度級(jí)訪問(wèn)控制的能力。特定的身份驗(yàn)證和訪問(wèn)應(yīng)用程序的授權(quán)方案可以被限定在一個(gè)特定的用戶群。內(nèi)置的日志記錄和審核能力能處理各種合規(guī)要求。SSL VPNs還具備在連接到企業(yè)的遠(yuǎn)程設(shè)備上運(yùn)行主機(jī)合規(guī)性檢查的能力，以驗(yàn)證它們配置了合適的安全軟件，并安裝了最新的補(bǔ)丁。

但這并非意味著SSL VPNs就是所有IPsec缺點(diǎn)的靈丹妙藥。當(dāng)一個(gè)遠(yuǎn)程站點(diǎn)需要與主辦公室建立不間斷連接時(shí)，SSL VPN不是合適的解決方案。與應(yīng)用程序無(wú)關(guān)的IPsec能以最小的代價(jià)支持大量傳統(tǒng)的協(xié)議和傳統(tǒng)客戶/服務(wù)應(yīng)用程序。這與圍繞基于Web應(yīng)用構(gòu)建的SSL VPNs是不同的。許多SSL VPNs通過(guò)在遠(yuǎn)程設(shè)備上安裝一個(gè)Java或者基于ActiveX的代理控件來(lái)解決這個(gè)缺點(diǎn)。通常情況下，在遠(yuǎn)程設(shè)備成功通過(guò)SSL VPN設(shè)備的驗(yàn)證后，相關(guān)的安裝會(huì)準(zhǔn)確無(wú)誤的實(shí)現(xiàn)，但是值得注意的是，ActiveX和Java都有其自身的安全缺陷，這也是攻擊者通常試圖利用的一點(diǎn)。

IPsec VPN還是SSL VPN？

在企業(yè)中，每種VPN方案都有其用處。理想情況下，因?yàn)镾SL和IPsec VPNs服務(wù)于不同的目的且具有優(yōu)勢(shì)互補(bǔ)的特點(diǎn)，所以它們都應(yīng)該被采用。IPsec應(yīng)該在需要與遠(yuǎn)程辦公地點(diǎn)或者合作伙伴/供應(yīng)商建立不間斷連接時(shí)使用。這種情況下，粒度訪問(wèn)控制限制和缺失的主機(jī)檢查能力應(yīng)該通過(guò)一個(gè)網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)來(lái)增加，這就可以確保只有通過(guò)驗(yàn)證的遠(yuǎn)程主機(jī)才能連接到企業(yè)。在粒度訪問(wèn)控制能力，審核和日志記錄，以及安全策略控制等因素至關(guān)重要的移動(dòng)辦公情況下，企業(yè)應(yīng)該主要使用SSL VPNs作為遠(yuǎn)程訪問(wèn)方案。但是請(qǐng)記住，不管你的VPN選擇或特定需要如何，一個(gè)VPN必須更新，測(cè)試并進(jìn)行性能檢測(cè)，而且它是作為利用綜合性策略和各種網(wǎng)絡(luò)安全技術(shù)的深度防護(hù)戰(zhàn)略的一部分。