SSL_VPN和IPSec_VPN的区别与互补

来源：互联网发布：java 数组最大长度编辑：程序博客网时间：2024/04/30 08:53

第一章 VPN的概述

1.1 什么是VPN

VPN的英文全称是"Virtual Private Network"，翻译成中文就是"虚拟专用网络"。它是在公共通信基础设施上构建的虚拟专用或私有网，可以被认为是一种从公共网络中隔离出来的网络。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或操作系统等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

1.2 VPN的产生背景

VPN的产生是伴随着企业全球化而进行的。随着Internet的商业化，大量的企业的内部网络与Internet相连，随着企业全球化的发展，不同地区企业内部的网络需要互联。以往传统的方式是通过租用专线实现的。出差在外的人员如果需要访问公司内部的网络，以往不得不采用长途拨号的方式连接到企业所在地的内部网。这些连接方式的价格非常昂贵，一般只有大型的企业可以承担。同时造成网络的重复建设和投资。Internet的发展，推动了采用基于公网的虚拟专用网的发展，从而使跨地区的企业的不同部门之间，或者政府的不同部门之间通过公共网络实现互联成为可能，可以使企业节省大量的通信费用和资金，也可以使政府部门不重复建网。这些新的业务需求给公共网络的经营者提供了巨大的商业机会。但是，如何保证企业内部的数据通过公共网络传输的安全性和保密性，以及如何管理企业网在公共网络的不同节点，成为企业非常关注的问题。VPN采用专用的网络加密和通信协议，可以使企业在公共网络上建立虚拟的加密通道，构筑自己的安全的虚拟专网。企业的跨地区的部门或出差人员可以从远程经过公共网络，通过虚拟的加密通道与企业内部的网络连接，而公共网络上的用户则无法穿过虚拟通道访问企业的内部网络。

1.3 VPN标准的分类及各种VPN协议的比较

VPN的分类方式比较混乱。不同的生产厂家在销售它们的VPN产品时使用了不同的分类方式，它们主要是产品的角度来划分的。而不同的ISP在开展VPN业务时也推出了不同的分类方式，他们主要是从业务开展的角度来划分的。而用户往往也有自己的划分方法，主要是根据自己的需求来进行的。下面简单介绍一下按照协议类型对VPN的划分方式。

1.3.1点到点隧道协议（PPTP）

PPTP（Point-to-Point Tunneling Protocol）即点对点隧道协议，该协议由美国微软公司设计，用于将PPP分组通过IP网络封装传输。通过该协议，远程用户能够通过Windows操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地 ISP ，通过 Internet 安全链接到公司网络。

1.3.2第二层转发协议（L2F）

第二层转发协议（L 2F）用于建立跨越公共网络（如因特网）的安全隧道来将 ISP POP 连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。

1.3.3第二层隧道协议（L2TP）

第二层隧道协议（L2TP）是用来整合多协议拨号服务至现有的因特网服务提供商点。 PPP 定义了多协议跨越第二层点对点链接的一个封装机制。特别地，用户通过使用众多技术之一（如：拨号 POTS、ISDN、ADSL 等）获得第二层连接到网络访问服务器（NAS），然后在此连接上运行 PPP 。在这样的配置中，第二层终端点和 PPP 会话终点处于相同的物理设备中（如： NAS）。

L2TP 扩展了 PPP 模型，允许第二层和 PPP 终点处于不同的由包交换网络相互连接的设备来。通过 L2TP ，用户在第二层连接到一个访问集中器（如：调制解调器池、 ADSL DSLAM 等），然后这个集中器将单独得的PPP 帧隧道到 NAS 。这样，可以把 PPP 包的实际处理过程与 L2 连接的终点分离开来。

1.3.4多协议标记交换（MPLS）

MPLS属于第三代网络架构，是新一代的IP高速骨干网络交换标准，由IETF（Internet Engineering Task Force，因特网工程任务组）所提出，由Cisco、ASCEND、3Com等网络设备大厂所主导。

MPLS是集成式的IP Over ATM技术，即在Frame Relay及ATM Switch上结合路由功能，数据包通过虚拟电路来传送，只须在OSI第二层（数据链结层）执行硬件式交换（取代第三层（网络层）软件式routing），它整合了IP选径与第二层标记交换为单一的系统，因此可以解决Internet路由的问题，使数据包传送的延迟时间减短，增加网络传输的速度，更适合多媒体讯息的传送。因此，MPLS最大技术特色为可以指定数据包传送的先后顺序。MPLS使用标记交换（Label Switching），网络路由器只需要判别标记后即可进行转送处理。

1.3.5 IP安全协议（IPSec）

IPSeC(IPSeCurty Protcol,IP安全协议)是一组开放标准集，它们协同地工作来确保对等设备之间的数据机密性、数据完整性以及数据认证。这些对等实体可能是一对主机或是一对安全网关(路由器、防火墙、VPN集中器等等)，或者它们可能在一个主机和一个安全网关之间，就像远程访问VPN这种情况。IPSec能够保护对等实体之间的多个数据流，并且一个单一网关能够支持不同的成对的合作伙伴之间的多条并发安全IPSec隧道。

1.3.6 SSL协议

SSL的英文全称是"Secure Sockets Layer"，中文名为"安全套接层协议层"，它是网景（Netscape）公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议（如Http、Telenet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

SSL协议层包含两类子协议——SSL握手协议和SSL记录协议。它们共同为应用访问连接（主要是HTTP连接）提供认证、加密和防篡改功能。SSL能在TCP/IP和应用层间无缝实现Internet协议栈处理，而不对其他协议层产生任何影响。SSL的这种无缝嵌入功能还可运用类似Internet应用，如Intranet和Extranet接入、应用程序安全访问、无线应用以及Web服务。

SSL能基于Internet实现安全数据通信：数据在从浏览器发出时进行加密，到达数据中心后解密；同样地，数据在传回客户端时也进行加密，再在Internet中传输。它工作于高层，SSL会话由两部分组成：连接和应用会话。在连接阶段，客户端与服务器交换证书并协议安全参数，如果客户端接受了服务器证书，便生成主密钥，并对所有后续通信进行加密。在应用会话阶段，客户端与服务器间安全传输各类信息。

第二章 IPSec VPN概述

2.1 什么是IPSec VPN

IPSec的英文全名为"Internet Protocol Security"，中文名为"因特网安全协议",这个安全协议是VPN的基本加密协议，它为数据在通过公用网络（如因特网）在网络层进行传输时提供安全保障。通信双方要建立IPSec通道，首先要采用一定的方式建立通信连接。因为IPSec协议支持几种操作模式，所以通信双方先要确定所要采用的安全策略和使用模式，这包括如加密运算法则和身份验证方法类型等。在IPSec协议中，一旦IPSec通道建立，所有在网络层之上的协议在通信双方都经过加密，如TCP、UDP 、SNMP、HTTP、POP、等，而不管这些通道构建时所采用的安全和加密方法如何。IPSec VPN即采用IPSec协议的VPN设备。

2.2 IPSec VPN协议概述

IPSec是IETF IPSec工作组为了在IP层提供通信安全而制定的一套协议族。它包括安全协议部分和密钥协商部分。安全协议部分定义了对通信的各种保护方式，密钥协商部分定义了如何为安全协议协商保护参数，以及如何对通信实体的身份进行鉴别。

IPSec安全协议给出了两种通信保护机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否被篡改。加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。IPSec 协议组包含AH（Authentication Header）协议、ESP（Encapsulating Security Payload）协议和IKE（Internet Key Exchange）协议。其中AH协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP协议定义了加密和可选认证的应用方法，提供可靠性保证。在实际进行IP通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务，不过，AH提供的认证服务要强于ESP。IKE(Internet Key Exchange)协议实现安全协议的自动安全参数协商。IKE协商的安全参数包括加密及鉴别算法、加密及鉴别密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等。IKE将这些安全参数构成的安全参数背景称为安全关联(SecurityAssociation)。IKE负责这些安全参数的刷新。下面我们分别简要介绍一下IPSec协议组的几个协议。

2.2.1 AH（Authentication Header）协议

AH协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报头。此报头包含一个带密钥的hash散列（可以将其当作数字签名，只是它不使用证书），此hash散列在整个数据包中计算，因此对数据的任何更改将致使散列无效--这样就提供了完整性保护。

AH报头位置在IP报头和传输层协议报头之间，见图2-1。 AH由IP协议号"51"标识，该值包含在AH报头之前的协议报头中，如IP报头。AH可以单独使用，也可以与ESP协议结合使用。

图2-1 AH报头

AH报头字段包括：

Next Header（下一个报头）：识别下一个使用IP协议号的报头，例如，Next Header值等于"6"，表示紧接其后的是TCP报头。

Length（长度）： AH报头长度。

Security Parameters Index (SPI，安全参数索引)：这是一个为数据报识别安全关联的32位伪随机值。SPI 值0被保留来表明"没有安全关联存在"。

Sequence Number（序列号）：从1开始的32位单增序列号，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。接收端校验序列号为该字段值的数据包是否已经被接收过，若是，则拒收该数据包。

Authentication Data（AD，认证数据）：包含完整性检查和。接收端接收数据包后，首先执行hash计算，再与发送端所计算的该字段值比较，若两者相等，表示数据完整，若在传输过程中数据遭修改，两个计算结果不一致，则丢弃该数据包。

数据包完整性检查：如图2-2所示AH报头插在IP报头之后，TCP，UDP，或者ICMP等上层协议报头之前。一般AH为整个数据包提供完整性检查，但如果IP报头中包含"生存期（Time To Live）"或"服务类型（Type of Service）"等值可变字段，则在进行完整性检查时应将这些值可变字段去除。

图2-2 AH为整个数据包提供完整性检查

2.2.2 ESP（Encapsulating Security Payload）协议结构

ESP为IP数据包提供完整性检查、认证和加密，可以看作是"超级 AH"，因为它提供机密性并可防止篡改。ESP服务依据建立的安全关联（SA）是可选的。然而，也有一些限制：

完整性检查和认证一起进行。

仅当与完整性检查和认证一起时，"重播（Replay）"保护才是可选的。

"重播"保护只能由接收方选择。

ESP的加密服务是可选的，但如果启用加密，则也就同时选择了完整性检查和认证。因为如果仅使用加密，入侵者就可能伪造包以发动密码分析攻击。

ESP可以单独使用，也可以和AH结合使用。一般ESP不对整个数据包加密，而是只加密IP包的有效载荷部分，不包括IP头。但在端对端的隧道通信中，ESP需要对整个数据包加密。

如图2-3所示，ESP报头插在IP报头之后，TCP或UDP等传输层协议报头之前。ESP由IP协议号"50"标识。

图2-3 ESP报头、报尾和认证报尾

ESP报头字段包括：

Security Parameters Index (SPI，安全参数索引)：为数据包识别安全关联。

Sequence Number（序列号）：从1开始的32位单增序列号，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。接收端校验序列号为该字段值的数据包是否已经被接收过，若是，则拒收该数据包。 ESP报尾字段包括：

Padding（扩展位）：0-255个字节。DH算法要求数据长度（以位为单位）模512为448，若应用数据长度不足，则用扩展位填充。

Padding Length（扩展位长度）：接收端根据该字段长度去除数据中扩展位。

Next Header（下一个报头）：识别下一个使用IP协议号的报头，如TCP或UDP。

ESP认证报尾字段Authentication Data（AD，认证数据）：包含完整性检查和。完整性检查部分包括ESP报头、有效载荷（应用程序数据）和ESP报尾。

如图2-4所示，ESP报头的位置在IP报头之后，TCP，UDP，或者ICMP等传输层协议报头之前。如果已经有其他IPSec协议使用，则ESP报头应插在其他任何IPSec协议报头之前。ESP认证报尾的完整性检查部分包括ESP报头、传输层协议报头，应用数据和ESP报尾，但不包括IP报头，因此ESP不能保证IP报头不被篡改。ESP加密部分包括上层传输协议信息、数据和ESP报尾。

图2-4 ESP的加密部分和完整性检查部分

2.2.3 ESP隧道模式和AH隧道模式

以上部分介绍的是传输模式下的AH协议和ESP协议，ESP隧道模式和AH隧道模式与传输模式略有不同。

在隧道模式下，整个原数据包被当作有效载荷封装了起来，外面附上新的IP报头。其中"内部"IP报头（原IP报头）指定最终的信源和信宿地址，而"外部"IP报头（新IP报头）中包含的常常是做中间处理的安全网关地址。

与传输模式不同，在隧道模式中，原IP地址被当作有效载荷的一部分受到IPSec的安全保护，另外，通过对数据加密，还可以将数据包目的地址隐藏起来，这样更有助于保护端对端隧道通信中数据的安全性。

ESP隧道模式中签名部分（完整性检查和认证部分）和加密部分分别如图2-5所示。ESP的签名不包括新IP头。

图2-5 ESP隧道模式

AH隧道模式为整个数据包提供完整性检查和认证，认证功能优于ESP。但在隧道技术中，AH协议很少单独实现，通常与ESP协议组合使用。图2-6标示出了AH隧道模式中的签名部分。

图2-6 AH隧道模式

2.2.4 IKE（Internet Key Exchange)协议

IKE通过两阶段的协商来完成SA的建立。第一阶段，由IKE交换的发起方发起的一个主模式交换（Main Mode），交换的结果是建立一个名为ISAKMPSA的安全关联。这个安全关联的作用是保护为安全协议协商SA的后续通信。主模式将SA的建立和对端身份的鉴别以及密钥协商结合起来，这种连接的好处是它能抵抗中间人攻击。为了给ISAKMP SA提供一个更快捷的方式，IKE还提供了另一种模式：积极模式，这种模式使得协商更为快捷，但抵抗攻击的能力较差，也不能提供身份保护。第二阶段可由通信的任何一方发起一个快捷模式的消息交换序列，完成用于保护通信数据的IPSec SA的协商。

2.3 IPSec VPN的优缺点

2.3.1 IPSec VPN的优点

（1）IPSec是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议。IPSec在传输层之下，对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时，无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec，应用程序一类的上层软件也不会被影响。

（2）IPSec技术中，客户端至站点（client-to-site）、站点对站点（site-to-site）、客户端至客户端（client-to-client）连接所使用的技术是完全相同的。

（3）IPSec VPN安全性能高。因为IPSec安全协议是工作在网络层的，不仅所有网络通道都是加密的，而且在用户访问所有企业资源时，就像采用专线方式与企业网络直接物理连接一样。IPSec不仅使正在通信的那一很小的部分通道加密，而是对所有通道进行加密。另外IPSec VPN还要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。

2.3.2 IPSec VPN的缺点

（1）IPSec VPN通信性能低。由于IPSecVPN在安全性方面比较高，影响了它的通信性能。

（2）IPSec VPN需要客户端软件。在IPSecVPN中需要为每一客户端安装特殊用途的客户端软件，用这些软件来替换或者增加客户系统的TCP/IP堆栈。在许多系统中，这就可能带来了与其他系统软件之间兼容性问题的风险。解决IPSec协议的这一兼容性问题目前还缺乏一致的标准，几乎所有的IPSec客户端软件都是专有的，不能与其它兼容。

在另一些情形中，IPSec安全协议是在运行在网络硬件应用中，在这种解决方案中大多数要求通信双方所采用的硬件是相同的，IPSec协议在硬件应用中同样存在着兼容性方面的问题。

并且，IPSec客户端软件在桌面系统中的应用受到限制。这种限制限制了用户使用的灵活性，在没有安装IPSec客户端的系统中，远程用户不能通过网络进行VPN连接。

（3）安装和维护困难。采用IPSec VPN，必须为每一个需要接入的用户安装VPN客户端，因此，支持费用很高。

有些终端用户是移动的，这不像IPSec VPN最初设计主要用于连接远程办公地点。今天的用户希望能在不同的台式机和网络上自由移动。如果采用IPSec VPN，就不得不为每一个台式机提供客户端。这些客户端因为环境和网络的不同而配置各异。那些要求从各个不同的地方访问公司的用户需要时常修改配置，这无形中提高了支持费用。

部署IPSec VPN后，如果用户没有预先在他的计算机上安装客户端，他将不能访问他需要的资源。这就意味着对于办公地点经常变动的员工，当他们想从家里的计算机、机场提供的电脑或者任何其他非他本人的计算机上访问公司的资源时，他或者无法成功，或者需要打电话向公司寻求帮助。

（4）实际全面支持的系统比较少。虽然已有许多开发的操作系统提出对IPSec协议的支持，但是在实际应用是，IPSec安全协议客户的计算机通常只运行于Windows系统，很少有能运行在其它PC系统平台的，如Mac、Linux、Solaris 等。

（5）不易解决网络地址转换(NAT)和穿越防火墙的问题。IPSec VPN产品并不能很好地解决包括网络地址转换、防火墙穿越和宽带接入在内的复杂的远程访问问题。例如，如果一个用户已经安装了IPSec客户端，但他仍然不能在其他公司的网络内接入互联网，IPSec 会被那个公司的防火墙阻止，除非该用户和这个公司的网络管理员协商，在防火墙上打开另一个端口。

同样的困难也出现在无线接入点。由于许多的无线接入点使用NAT，非专业的IPSec使用者如果不寻求公司技术人员的支持，不去更改一些配置，常常不能建立连接。

2.4 IPSec VPN的发展状况

IPSec VPN发展到今天，产品已经非常成熟。目前IPSec VPN除了继续继承原有的功能外，已有不少VPN厂商在IPSec VPN产品中融合进了当前风头正盛的SSL VPN的功能。力求在应用上和性能上继续保持VPN市场的份额。IPSec VPN的发展正在向着这个方向前进。

第三章 SSL VPN概述

3.1 什么是SSL VPN

SSL即安全套接层协议，采用SSL协议的VPN设备我们称之为SSL VPN。SSL VPN 的发展对现有SSL 应用是一个补充，它增加了企业执行访问控制和安全的级别和能力。

SSL 通过加密方式保护在互联网上传输的数据安全性，它可以自动应用在每一个浏览器上。这里，需要提供一个数字证书给Web 服务器，这个数字证书需要付费购买，相对而言，给应用程序设立SSL 服务是比较容易的。如果应用程序本身不支持SSL，那么就需要改变一些链接，这只与应用程序有关。对于出现较大信息量的情况，建议给SSL 进行加速以避免流量瓶颈。通常SSL 加速装置为热插拔装置。

VPN 则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。过去，VPN 总是和IPSec 联系在一起，因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层，IPSec VPN 则多用于连接两个网络或点到点之间的连接。

大量理论可以证明SSL的独特性以及VPN所能提供的安全远程访问控制能力。到目前为止，SSLVPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器（包括家用机，工作机和客户机等等）需要与公司机密信息相连接的用户至关重要。人们普遍认为它将成为安全远程访问的新生代。

SSL VPN对那些因为使用远程访问应用系统而降低公司安全性的企业有所帮助。从属性上讲，拨号可以保证相对安全性，因为特定的电话线可以确认用户的身份。客户端/服务器和旧版本的VPN 自身也拥有一定级别的安全保障能力，因为客户端软件是需要安装的。但是，以这样的安全策略和属性，不可否认，黑客入侵、安全威胁、身份欺诈呈增长趋势。现在，使用SSL VPN，安全特性已经发生了改变，人们可以通过浏览器访问应用程序。

3.2 SSL VPN协议概述

VPN技术可以扩展企业的内部网络，使在外工作的员工和合作伙伴通过标准、公用的因特网访问他们的内部网络。它相对传统的专线网络方案的主要优势是各项费用将大大降低。专线网络需要在合作伙伴或者远程员工与公司总部之间有一个物理封闭的网络连接，或者采用远程拨号访问方案，或者采用E1之类的数字专线连接。VPN是一个非常实用的技术，它允许客户（包括员工）和合作伙伴利用标准的因特网进行廉价连接，它允许采用IPSec安全协议方案。在VPN技术中包括许多加密和安全协议，SSL就是其中一个，同样主流VPN应用的IPSec也是其中的一种。所以总的来说IPSec VPN与SSL VPN是VPN技术在两种不同的安全协议下实现VPN通信的两种平等方案。所以理解SSL VPN的关键就在于理解SSL这一安全协议。

SSL具备很强的灵活性，因而广受欢迎，如今几乎所有浏览器都内建有SSL功能。它正成为企业应用、无线接入设备、Web服务以及安全接入管理的关键协议。

对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这是SSL在电子商务中使用的最大不足。有鉴于此，网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作"Form Signing"（表单签名）的功能，在电子商务中，可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名，从而保证交易信息的不可否认性。综上所述，在电子商务中采用单一的SSL协议来保证交易的安全是不够的，但采用"SSL+表单签名"模式能够为电子商务提供较好的安全性保证。因它是一个应用层协议，所以通常SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式。

SSL安全功能组件包括三部分：认证，在连接两端对服务器或同时对服务器和客户端进行验证；加密，对通信进行加密，只有经过加密的双方才能交换信息并相互识别；完整性检验，进行信息内容检测，防止被篡改。保证通信进程安全的一个关键步骤是对通信双方进行认证，SSL握手子协议负责这一进程处理：客户端向服务器提交有效证书，服务器采用公共密钥算法对证书信息进行检验，以确认终端用户的合法性。

在发展初期，很多采纳SSL的传统网络应用，如电子商务并不具备客户端认证功能。这类功能在SSL协议之外，通过一些组合信息，如姓名/认证卡号结合或其他客户端提供的数据（如口令）来实现的。如今很多企业在数据中心采纳SSL，主要是针对新型应用实现客户端认证功能。SSLVPN即是应终端用户附加认证而设。客户端认证能让服务器在协议功能范围内确认用户身份，同时客户端也可运用同样技术对服务器进行认证。

SSL协议只对通信双方所进行的应用通道进行加密，而不是对从一个主机到另一主机的整个通道进行加密。因为绝大多数客户应用，是不必加密从一个系统到另一个系统的整个通道的，仅加密应用数据这一方案更显恰当。

在使用SSL协议的通信中，每一个应用是一个安全的独立体，而不像IPSec那样，操作与应用脱节。要使用SSL协议进行VPN通信，则所进行的远程通信应用必须能识别SSL技术，不过现在常见的应用一般都能识别SSL技术的，如IE、Netscape浏览器，OutLook、 Eudora 邮件应用等。

在SSL VPN通信中通常还常用一种SSL Proxy（SSL代理）的技术来提高VPN服务器的通信性能和安全身验证能力，主要表面在以下两个方面：

(1)增加通信连接的性能

SSL本身就是一种非常快的协议，像所有加密协议一样，在安全的通信建立之前它必须采用专门的CPU来提高数学运算速度。其中的一个运算法则就是RSA，RSA运算法则是采用SSL协议在客户端和服务器端传递密钥的。许多Modem拨号Web服务器，大约每秒可经接受75个新的SSL连接，每一个新的连接RSA都必须完成翻译和检验工作。如果系统每秒所有接受超过75个，CPU的利用率就会超过可接受有极限而停止对新的网络连接请求进行响应。

为了提高服务器的接受能力，SSL代理可以采用SSL加速器技术。SSL加速器就可以分担服务器CPU的计算任务，通过加速后，一部只能完成接受每秒75个SSL连接的服务器，就可达到接受每秒800个以上连接的性能。

(2)内置身份验证

商业SSL协议的另一个优势就是内置身份验证方法。SSL协议的身份验证方法包括在服务器端和客户端进行的密码身份验证方法。不管怎样，所有安全都是基于一个理论：客户端的私钥密码要求安全保管。如果这个密钥遭到破坏或者丢失，就不可能再得到客户的信任。这样就需要在SSL顶级授权机构申请添加一个新的身份验证方法。不管怎样，SSL代理都可为客户在连接后端网络资源前提供强大的身份验证。SSL代理可以执行比后端资源自身的身份验证方法更加强大的身份验证，许多Web服务器自身并不支持比SSL更加强大的身份验证方法。

目前SSL VPN主要应用于采用VPN与远程网络进行通信的应用，主要是基于Web的客户，这些Web应用目前主要是内部网页游览、电子邮件及其它基于Web的查询工作。

3.2.1 SSL VPN的安全性

(1)SSL VPN是安全的协议

SSL VPN 采用了SSL（Security socket layer）协议，该协议是介于介于HTTP层及TCP层的安全协议。

通过SSL VPN是接入企业内部的应用，而不是企业的整个网络。如果是IPSEC的VPN网络，客户通过VPN联入的是整个企业网络。不受控制的联入整个企业的网络是非常危险的。

由于采用SSL 安全协议在网络中传输，所以对于GATEWAY上的防火墙来说，只需要打开有限的安全端口即可，不需要将所有对应应用的端口开放给公网用户，这样大大降低了整个网络被公网来的攻击的可能性。

数据加密的安全性有加密算法来保证，这个各家公司的算法可能都不一样，有标准的算法比如DES，3DES，RSA等等也有自己的加密算法。黑客想要窃听网络中的数据，就要能够解开这些加密算法后的数据包。

Session保护功能：现在所有的SSL VPN 基本上都能够做到这个功能，就是在会话停止一段时间以后自动停止会话，如果需要继续访问则要重新登录，通过对Session的保护来起到数据被窃听后伪装访问的攻击。

(2)SSL VPN起到的安全功能

首先由于SSL VPN一般在GATEWAY上或者在防火墙后面，把企业内部需要被授权外部访问的内部应用注册到SSL VPN 上，这样对于GATEWAY来讲，这需要开通443 这样的端口到SSL VPN即可，而不需要开通所有内部的应用的端口，如果有黑客发起攻击也只能到SSL VPN这里，攻击不到内部的实际应用。

不改变防病毒策略：从另外一个角度来讲，如果您采用了IPSEC VPN的产品，当客户端有一台电脑通过VPN联入网络后，该网络的防病毒的策略将被彻底破坏，因为联入内部网络的电脑并不受原来公司的防病毒策略的保护，而SSL VPN 就没有这个问题，SSL VPN需要访问的数据是事先被允许的。

不改变防火墙策略：基本原理同防病毒。还是从IPSEC的角度来讲，如果当客户端有一台电脑通过VPN联入网络后，如果该电脑被黑客攻击安装了木马，这个电脑将成为攻击内部网络的跳板，而SSL VPN就没有这个问题

3.2.2 SSL协议的工作原理

SSL协议主要是在两个通信应用程序之间提供私密性和可靠性，这个过程通过3个元素来完成：

（1）握手协议：这个协议被负责用于客户机和服务器之间会话的参数加密。当一个SSL客户机和服务器第一次开始通信时，它们在一个协议版本上达成一致，选择加密算法和认证方式，并使用公钥技术来生成共享密钥。

（2）记录协议：这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块，还可以压缩，并产生一个MAC（消息认证代码），然后结果被加密并传输。接受方接受数据并对它解密，校验MAC，解压并重新组合，把结果提供给应用程序协议。

（3）警告协议：为对等实体传递与SSL相关的告警信息,包括警告、严重和重大等三类不同级别的告警信息。这个协议用于表示在什么时候发生了错误或两个主机之间的会话在什么时候终止。

SSL协议通信的握手步骤如下：

第1步，SSL客户机连接至SSL服务器，并要求服务器验证它自身的身份；

第2步，服务器通过发送它的数字证书证明其身份。这个交换还可以包括整个证书链，直到某个根证书颁发机构（CA）。通过检查有效日期并确认证书包含可信任CA的数字签名来验证证书的有效性。

第3步，服务器发出一个请求，对客户端的证书进行验证，但是由于缺乏公钥体系结构，当今的大多数服务器不进行客户端认证。

第4步，协商用于加密的消息加密算法和用于完整性检查的哈希函数，通常由客户端提供它支持的所有算法列表，然后由服务器选择最强大的加密算法。

第5步，客户机和服务器通过以下步骤生成会话密钥：

·客户机生成一个随机数，并使用服务器的公钥（从服务器证书中获取）对它加密，以送到服务器上。

·服务器用更加随机的数据（客户机的密钥可用时则使用客户机密钥，否则以明文方式发送数据）响应。

·使用哈希函数从随机数据中生成密钥。

3.3 SSL VPN的优缺点

就像任何新技术的产生一样，SSL VPN相对传统的技术肯定会有一些重要的优点，当然也存在一些不足之处，下面就分别予以介绍。

3.3.1．SSL VPN的主要优点

SSL VPN这种新型的VPN技术主要优势体现在哪里呢？目前这种VPN技术的应用正逐渐呈上升趋势，原因何在呢？下面就是几个主要的方面：

（1）无需安装客户端软件：在大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件的。只需通过标准的Web浏览器连接因特网，即可以通过网页访问到企业总部的网络资源。这样无论是从软件协议购买成本上，还是从维护、管理成本上都可以节省一大笔资金，特别是对于大、中型企业和网络服务提供商。

（2）适用大多数设备：基于Web访问的开放体系可以在运行标准的浏览器下可以访问任何设备，包括非传统设备，如可以上网的电话和PDA通讯产品。这些产品目前正在逐渐普及，因为它们在不进行远程访问时也是一种非常理想的现代时尚产品。

（3）适用于大多数操作系统：可以运行标准的因特网浏览器的大多数操作系统都可以用来进行基于Web的远程访问，不管操作系统是Windows、Macintosh、UNIX还是 Linux。可以对企业内部网站和Web站点进行全面的访问。用户可以非常容易地得到基于企业内部网站的资源，并进行应用。

（4）支持网络驱动器访问：用户通过SSL VPN通信可以访问在网络驱动器上的资源。

（5）良好的安全性：用户通过基于SSL的Web访问并不是网络的真实节点，就像IPSec安全协议一样。而且还可代理访问公司内部资源。因此，这种方法可以非常安全的，特别是对于外部用户的访问。

（6）较强的资源控制能力：基于Web的代理访问允许公司为远程访问用户进行详尽的资源访问控制。

（7）减少费用：为那些简单远程访问用户（仅需进入公司内部网站或者进行Email通信），基于SSL 的VPN网络可以非常经济地提供远程访问服务。

（8）可以绕过防火墙和代理服务器进行访问：基于SSL的远程访问方案中，使用NAT（网络地址转换）服务的远程用户或者因特网代理服务的用户可以从中受益，因为这种方案可以绕过防火墙和代理服务器进行访问公司资源，这是采用基于IPSec安全协议的远程访问所很难或者根本做不到的。

3.3.2．SSL VPN的主要不足之处

上面介绍SSL VPN技术这么多优势，那么为什么现在不是所有用户都使用SSL VPN，且据权威调查机构调查显示目前绝大多部分企业仍采用IPSec VPN呢？SSL VPN的主要不足在哪里呢？

（1）必须依靠因特网进行访问：为了通过SSL VPN进行远程工作，当前必须与因特网保持连通性。因为此时Web浏览器实质上是扮演客户服务器的角色，远程用户的Web浏览器依靠公司的服务器进行所有进程。正因如此，如果因特网没有连通，远程用户就不能与总部网络进行连接，只能单独工作。

（2）对新的或者复杂的Web技术提供有限支持：基于SSL的VPN方案是依赖于反代理技术来访问公司网络的。因为远程用户是从公用因特网来访问公司网络的，而公司内部网络信息通常不仅是处于防火墙后面，而且通常是处于没有内部网IP地址路由表的空间中。反代理的工作就是翻译出远程用户Web浏览器的需求，通常使用常见的URL地址重写方法，例如，内部网站也许使用内部DNS服务器地址链接到其他的内部网链接，而URL地址重写必需完全正确地读出以上链接信息，并且重写这些URL地址，以便这些链接可以通过反代理技术获得路由，当有需要时，远程用户可以轻松地通过点击路由进入公司内部网络。对于URL地址重写器完全正确理解所传输的网页结构是极其重要的，只有这样才可正确显示重写后的网页，并在远程用户计算机浏览器上进行正确地操作。

（3）只能有限地支持Windows应用或者其它非Web系统：因为大多数基于SSL的VPN都是基Web浏览器工作的，远程用户不能在Windows,、UNIX、Linux、AS400或者大型系统上进行非基于Web界面的应用。虽然有些SSL提供商已经开始合并终端服务来提供上述非Web应用，但不管如何，目前SSL VPN还未对其进行全面支持。

（4）只能为访问资源提供有限安全保障：当使用基于SSL协议通过Web浏览器进行VPN通信时，对用户来说外部环境并不是完全安全、可达到无缝连接的。因为SSL VPN只对通信双方的某个应用通道进行加密，而不是对在通信双方的主机之间的整个通道进行加密。在通信时，在Web页面中呈现的文件很难也基本上无法保证只出现类似于上传的文件和邮件附件等简单的文件，这样就很难保证其它文件不被暴露在外部，存在一定的安全隐患。

3.4 SSL VPN的发展状况及前景

SSL VPN的出现，使得原来基于IP安全的IPSec VPN厂商不得不重新思考它们的产品方略。我们知道基于IP安全协议的IPSec VPN已经占领了很大一部分市场，成为VPN市场的主流。但是随着SSL VPN技术的出现，基于IP协议的IPSec VPN正经受着一场前所未有的考验。但是不是SSL VPN会取代现有的IPSec VPN成为主流呢？

虽然SSL VPN有许多相对IPSec VPN的优点，但这些对于主流应用VPN的客户——大、中型企业来说这些优点就显得不是很重要了。

据有关网络安全专家认为这就目前的SSL VPN技术来讲是不可能完全取代IPSec VPN的。主要体现在目前的SSLVPN应用非常有限，仅适用于基于Web的应用。SSL的支持者认为，当企业工作人员需要远程访问Web应用如电子邮件或者接入企业内网时才应用（因为SSL可以绕过防火墙和代理服务器），SSL只不过是一种更低廉而且更容易部署的选择而已。况且目前，传统的IPSec VPN厂商为了满足这部分用户的需求，正在为其产品增加SSL性能，这样只能单独提供SSL性能的VPN产品就可能大受冷落了。

市场研究家们预计在今后一段时间里，SSL VPN设备的全球销售将会出现持续增长，但同时也表明IPSec VPN设备不会因SSL VPN设备的增长而受到大的影响，相反也会技术快速增长，因为整个VPN市场将在近几来得到极快的增长。

随着基于Web的应用越来越多，以及远程接入需求的增长，SSL可能会成为一个热门市场，成为传统IPSecVPN设备厂商需要考虑的一个发展方向。两者具有一定的互补性。

第四章 SSL VPN和IPSec VPN的区别与互补

选购理想的VPN设备对企业用户来说相当困难，当前盛行的说法是：风头渐劲的SSL VPN将迅速赶超并有可能替代传统的IPSecVPN，有人坚持认为:SSL VPN这个灰姑娘很快会大放光彩，IPSec VPN将随之黯然失色。这更加大了企业选购和决策的难度。

SSL VPN的强劲发展势头似乎表明，它将取代IPSec VPN，不过仔细分析你会发现，二者并不矛盾。下面我们就对SSL VPN和IPSec VPN的区别与互补进行简要的阐述。

4.1 SSL VPN和IPSec VPN在底层协议上的区别

简单来说，SSL和IPSec两个都是加密的通讯协议，从任何TCP网络来保护基于IP的数据流。这两种通讯协议都有它们自己独特的特色和好处。

IPSec协议是网络层协议, 是为保障IP通信而提供的一系列协议族。SSL协议则是套接层协议，它是保障在Internet上基于Web的通信的安全而提供的协议。

IPSec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。IPSec能为IPv4/IPv6网络提供能共同操作使用的、高品质的、基于加密的安全机制。提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。

SSL用公钥加密通过SSL连接传输的数据来工作。SSL是一种高层安全协议，建立在应用层上。SSL VPN使用SSL协议和代理为终端用户提供HTTP、客户机/服务器和共享的文件资源的访问认证和访问安全SSL VPN传递用户层的认证。确保只有通过安全策略认证的用户可以访问指定的资源。

SSL是专门设计来保护HTTP通讯协议。当浏览器和Web服务器双方皆已设定好来支持SSL时，如果透过这个通讯协议所传输的数据流加密，SSL将提供一个安全的"封套"来保护浏览器和Web服务器中的IP封包。在IPSec和SSL通讯协议的设计上有一些原理上的不同。第一，IPSec是以网络层为中心，而SSL是以应用层为中心。第二，IPSec需要专门的使用端软件，而SSL使用任何SSL支持的浏览器为使用端。最后，SSL原本是以机动性为中心而IPSec不是。

4.2 SSL VPN 和IPSec VPN在连接方式上的区别

在连接方式上，SSL VPN 和IPSec VPN 也有很大的区别。IPSecVPN 最初设计是用来为企业的各个部门之间提供站点到站点通信的。由于企业将用户扩展到了包括远程访问，于是不得不扩充IPSec协议的标准，或者修改厂商实现的协议。

IPSec VPN通过在两站点间创建隧道提供直接（非代理方式）接入，实现对整个网络的透明访问；一旦隧道创建，用户PC就如同物理地处于企业LAN中。它要求软硬件兼容，要求"隧道"两端几乎只能是同一个供应商的软件。采用IPSec VPN，企业要指定"隧道"两端使用的技术，但是很少有公司能够或者愿意强迫他们的合作伙伴或者客户也选用这个技术，这就限制了通过IPSec VPN建立企业外网的应用。

相对于传统的IPSec VPN，SSL能让企业实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低，因而降低了配置和运行支撑成本。很多企业用户采纳SSL VPN作为远程安全接入技术，主要看重的是其方便的接入能力。

SSL VPN提供增强的远程安全接入功能。IPSec VPN的接入方式，使用户PC就如同物理地处于企业LAN中。这带来很多安全风险，尤其是在接入用户权限过大的情况下。SSL VPN提供安全、可代理连接，只有经认证的用户才能对资源进行访问，这就安全多了。SSL VPN能对加密隧道进行细分，从而使得终端用户能够同时接入Internet和访问内部企业网资源，也就是说它具备可控功能。另外，SSL VPN还能细化接入控制功能，易于将不同访问权限赋予不同的用户，实现伸缩性访问；这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。

SSL VPN基本上不受接入位置限制，可以从众多Internet接入设备、任何远程位置访问网络资源。SSL VPN通信基于标准TCP/UDP协议传输，因而能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入，无论是处于其他公司网络中基于代理的防火墙之后，或是宽带连接中。而IPSec VPN在稍复杂的网络结构中则难于实现。另外，SSL VPN能实现从可管理企业设备或非管理设备接入，如家用PC或公共Internet接入场所，而IPSec VPN客户端只能从可管理或固定设备接入。随着远程接入需求的不断增长，远程接入IPSec VPN在访问控制方面受到极大挑战，而且管理和运行成本较高，它是实现点对点连接的最佳解决方案，但要实现任意位置的远程安全接入，SSL VPN则要更加理想。

4.3 SSL VPN 和IPSec VPN在安全方面的区别

IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全，不管怎样，所有运行在内部网络的数据是透明的，包括任何密码和在传输中的敏感数据。SSL安全通道是在客户到所访问的资源之间建立的，确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。

使用IPSec的联机方式，每一个使用者端在网络上会被当成一个节点，而此联机会一直处于激活的状态(Active)。因此，一但使用者端的计算机被黑客或病毒入侵，黑客就可以透过此网络连结进入另一个端点，也就是公司内部。因这样的运作模式，此节点很有可能成为黑客、病毒入侵的管道。使用SSL VPN的方式做网络联机则可以避免这样的问题发生。因为，SSL VPN的一大特点就是具有Session保护功能，就是在会话停止一段时间以后切自动断联机，如果需要继续访问则需要重新登录。这样的SSL通讯协议机制可以有效避免黑客和病毒的入侵威胁。

远程用户以IPSec VPN的方式与公司内部网络建立联机之后，内部网络所连接的应用系统，都可以被侦测到，这就提供了黑客攻击的机会。若是采取SSL VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络机制，所受到的威胁也仅是所联机的应用系统，攻击机会相对减少许多。

4.4 SSL VPN和IPSec VPN在企业应用方面的互补

许多专家认为，就通常的企业高级用户和LAN-to-LAN连接所需要的直接访问企业网络功能而言，IPSec VPN的优势无可比拟。然而，典型的SSLVPN却被认为最适合于普通远程员工访问基于Web的应用。因而，如果需要更全面的、面向基于浏览器应用的访问，以及面向远程员工、把所有办公室连接起来，SSL VPN无疑是首选。

另一方面，SSL VPN不需要在最终用户的PC和便携式电脑上装入另外的客户软件。有些公司之所以选择SSL而不是IPSec，这项不需要客户软件的功能正是一个重要因素。除此之外，SSL VPN还有其它经常被提到的特性，包括降低部署成本、减小对日常性支持和管理的需求。此外，因为所有内外部流量通常都经过单一的硬件设备，这样就可以控制对资源和URL的访问。

厂商推出这类不需要客户软件的VPN产品后，用户就能通过与因特网连接的任务设备实现连接，并借助于SSL隧道获得安全访问。这需要在企业防火墙后面增添硬件，但企业只要管理一种设备，不必维护、升级及配置客户软件。

因为最终用户通过与因特网连接的任何设备就能访问企业的网络，SSL更容易满足大多数员工对移动连接的需求。不过这种方案的问题在于，SSL VPN的加密级别通常不如IPSecVPN高。所以，尽管部署和支持成本比较低，但SSL VPN仍有其缺点。同时，SSL VPN还具有一定的局限性，只能访问通过网络浏览器连接的资源。

SSL VPN在不需要客户软件的运行环境中有其效率和好处，但在性能、应用覆盖等方面也存在问题。SSL VPN这种方案可以解决操作系统的客户软件问题、客户软件维护问题，但肯定不能完全替代IPSec VPN，因为各自所要解决的是几乎没多少重叠的两种不同问题。

对需要远程访问的大多数公司而言，所支持的应用应当包括公司为尽量提高效率、生产力和盈利能力所需要的各种应用。SSL VPN能支持的应用种类比较有限。

大多数SSL VPN都是HTTP反向代理，这样它们非常适合于具有Web功能的应用，只要通过任何Web浏览器即可访问。HTTP反向代理支持其它的查询/应答应用，譬如基本的电子邮件及许多企业的生产力工具，譬如ERP和CRM等客户机/服务器应用。为了访问这些类型的应用，SSLVPN为远程连接提供了简单、经济的一种方案。它属于即插即用型的，不需要任何附加的客户端软件或硬件。

然而，同样这个优点偏偏成了SSL VPN的最大局限因素：用户只能访问所需要的应用和数据资源当中的一小部分。SSL VPN无法为远程访问应用提供全面的解决方案，因为它并不有助于访问内部开发的应用，也不有助于访问要求多个渠道和动态端口以及使用多种协议这类复杂的应用。不过这对公司及远程用户来说却是一个关键需求。譬如说，SSL VPN没有架构来支持即时消息传送、多播、数据馈送、视频会议及VoIP。

尽管SSL能够保护由HTTP创建的TCP通道的安全，但它并不适用于UDP通道。然而，如今企业对应用的支持要求支持各种类型的应用：TCP和UDP、客户机/服务器和Web、现成和内部开发的程序。在这方面就需要应用IPSec VPN才能胜任。

理想的应用情况是：企业在总部和各个分部之间通过IPSecVPN进行连接，这样可以把总部和分部的终端包括在一个LAN中。而为移动办公或者出差的人员提供VPN的接入服务。充分利用IPSec VPN的互补性，使企业的网络结构更加的合理

总的来说，IPSec VPN和SSL VPN在应用方面都有各自的优点和缺点。往往一方的缺点就是对方的缺点。两种技术在应用上具有很大的互补性。企业在选购VPN产品的时候，可以针对这些优缺点，结合企业自身的应用合理的选择合适的VPN产品。

0 0