SSL VPN vs IPSEC VPN两者之比较

简单来说，SSL和IPSEC两个都是加密的通讯协议 (encryption protocol) ， 从任何TCP网络来保护IP-based的数据流(data stream)。我认为，可以从任何技术上的角度来探讨哪一个协议较强或较弱， 但是如果以应用(application)的角度来比较哪一个较好就比较不科学和不实际了。当要选择用哪一个VPN时，公司所选择的通讯协议并没有对与错，因为这两种通讯协议都有它们自己独特的特色和好处。

回顾过去，IPSEC VPN原是最早的作用是用来作为保护通过因特网在私有网络之间的数据通讯(data communication)。之后，此技术延伸到保护行动使用者(mobile user)进入公司的内部网络的通讯。而这几年，由于机动性(mobility)已成为趋势，保护行动使用者的存取使的IPSEC VPN使用正逐渐增加，而这增加的趋势已造成一个公司的负担并提高成本。如果使用端要透过VPN连接到一个私有的网络，那使用端必须先安装一个客户端的VPN软件。而此软件的维护就是造成公司负担的原因。这对用来支持行动使用者的营运成本(operation cost)有直接的影响。 随着广域网络的激增，telecommuting的使用者也因此连接不安全的家中网络到公司的网络。不久以后，委外的采购商和商业合作方法被采用后， 不可信任的网络将会快速的连接到公司的私有网络上。IPSEC VPN是一个非常具有full-spectrum存取的安全解决方案，也曾经是一个对办公室内部安全连结上非常有效的通讯协议。但是，在一段时间后，它发展成为所有远程访问one–size-fits-all的解决方案。因此，如我们所知，今天IPSEC VPN已变成一个公司在安全防护上的弱点，并不是因此协议是薄弱的，而是因为它的使用方式。

SSL是专门设计来保护HTTP通讯协议。当浏览器和web server双方皆已设定好来支持SSL时，如果透过这个通讯协议所传输的数据流加密，SSL将提供一个安全的“封套(wrapper)”来保护浏览器和web server中的IP封包。在IPSEC和SSL通讯协议的设计上有一些原理上的不同。第一，IPSEC是以网络层(network-layer)为中心，而SSL是以应用层(application-layer)为中心。第二，IPSEC需要专门的使用端软件，而SSL使用任何SSL支持的浏览器为使用端。最后，SSL原本是以机动性为中心而IPSEC不是。举个洽当的例子，SSH通讯协议虽然是一个以应用层为中心的加密解决方案，有潜力发展为一个新的SSH VPN，可是它并没有。SSL的成功因素是机动性(mobility)。

在这几年，因为通讯协议的原理，SSL VPN已衍生成为一个比较适合保护application-based的存取解决方案。在使用中，您可以容易的发现SSL VPN可以迅速的解决IPSEC VPN的相关弱点。以应用程序为中心的方法允许细化的控制使用者的存取权，因此，建立一个策略性的end-user存取。这种无使用端的想法，虽然浏览器被视作真正的使用端，可提高使用者的方便度并且减少公司在维修上所会碰到的负担和成本，SSL VPN的end-user在存取时会受到授权的限制，有别于IPSEC VPN，user大部分会被授权除非有限制。最后，将限制存取(restrictive access)和无使用端软件(clientless)的方便功能加起来，SSL VPN可以有效的保护所有使用者和网络之间的数据流，而IPSEC VPN仍然也可以在网络之间保护数据流。因此，以目前而言，将 SSL VPN视为增强的解决方案而不是和IPSEC VPN竞争的解决方案是较洽当的。

以目前的速度，SSL VPN正在快速的冲刺。对IPSEC VPN所有的信赖问题是自然的，却是无意义的。IPSEC VPN是一个被认同的解决方案而且会永远持续下去，除非我们目前所知的计算机世界彻底的改变。许多公司应该问的是：「这两个技术如何能同时生存？」，而不是「哪一个比较好？」

基础上，IPSEC VPN是设计来保护私有的数据流从各种不被信任的网络传送到信任的网络。SSL VPN的由来是保护在相关资源的数据流，这些来源不管是user或是网络都可能是不可信任的。这是两个方案中最重要的概念，必须了解这概念才能正确有效的使用这两个VPN的解决方案。曾经，对于可信任和不可信任的资源是可以清楚的分别。可信任的资源是内部的网络及员工。而今天，这种区别是非常难的。以network-to-network的连接来说 您合伙人的网络可以信任吗？国外或国内委外采购商的网络可以信任吗？分享和数据缓存器(DR)的设备可以信任吗？Telecommuting员工家中的网络可以信任吗？针对user-to-network连接，顾问或委外代理商是可信任的user吗？您合伙人的员工可以信任吗？以组织层更深入些来说，与公司有不愉快的员工可信任吗？Telecommuting员工可以信任吗？如果信任代表存取权(access privilege)，那普通的使用者和技术人员是否应该有同等到IT设施中的存取权？一个资历较浅的IT人员是否可以和高阶IT人员或主管有同等到管理系统的存取权吗？重点是，内部网络应该是唯一一个可以信任的设施，并且受到IPSEC VPN的最高保护。在那之中，SSL VPN可提供细化的存取控制，如所有的使用者无论是在办公室里或外和其它不属于公司本身的网络，必须要有明确的许可来进入内部网络中的资源。技术上来说，IPSEC VPN透过因特网保护内部网络之间network-to-network的数据流，而 SSL VPN保护来自分类的使用者、企业外部网(extranet) 及因特网(internet)的资料流。

趋势走向

如SSL VPN帮助公司统一及保护所有使用者的远程访问，下一个必然的趋势会走向一个可以利用的并且可以有效地结合各种不同的存取方法，使所有的ingress point可以集中管理，在SSL VPN设备之中，和防火墙及IPSEC VPN管理外部的解决方案。要完成这个目标表示公司可以建立一个可实施的并且以策略为基础的存取权给所有的end-user，而这些end user可以分成：透过计算机终端与公司联系的在家工作者(telecommuter)、长途在外奔波的工作者(road warriors/traveling employee)、合作伙伴、供货商……等等。内部的安全保护可以有显著的增强且方便审核。

SSL VPN建设的需求是因为考量数据的处理性、盗窃、或是未经允许的行动工作者这些情形下所产生。而这些是IPSEC VPN所无法有效发挥的。可是，因为最近全球的骚动，如：911、SARS和2003年美国东岸的大停电，导致对机动性(mobility)的兴趣有急遽上升的趋势。跟平常不一样的是，机动性不仅适用于end-user也适用于IT设施。SSL VPN虽然还很新，但已经改变了IT的情况。除了只提供inbound存取，如远程使用者存取公司网络的计算机和应用程序，SSL VPN还必须满足outbound存取的需求，如为避免远程IT设施未来发生的任何天灾人祸。因此，一个无所不包的SSL VPN解决方案必须可以同时支持end-user存取和远程的IT管理；此外，SSL VPN也必须支持技术人员所需的进阶远程访问方法，如所有out-of-band和电源控制的能力。实质上，我们所需要的是一个有力的SSL VPN解决方案，提供end-user简单和安全的远程访问，及提供IT人员在任何时间、地点存取和管理远程、多样化IT设施的能力。