IPSec ×××与SSL ×××技术对比
要了解SSL ×××与IPSec ×××到底有哪些联系与区别,首先仍是先来回顾一下传统的IPSec ×××方案。
IPSec的英文全名为“Internet Protocol Security”,中文名为“因特网安全协议”,这个安全协议是×××的基本加密协议,它为数据在经过公用网络(如因特网)在网络层进行传输时提供安全保障。通讯双方要创建IPSec通道,首先要采用必定的方式创建通讯链接。由于IPSec协议支持几种操做模式,因此通讯双方先要肯定所要采用的安全策略和使用模式,这包括如加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道创建,全部在网络层之上的协议在通讯双方都通过加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而无论这些通道构建时所采用的安全和加密方法如何。
1. IPSec的主要不足
(1)安全性能高,但通讯性能较低
由于IPSec安全协议是工做在网络层的,不只全部网络通道都是加密的,并且在用户访问全部公司资源时,就像采用专线方式与公司网络直接物理链接同样。你能够或者不想让你的合做伙伴或者远程员工成为您的网络一部分,IPSec不只使你正在通讯的那一很小的部分通道加密,而是对全部通道进行加密。因此在在安全性方面比SSL ×××好,但总体通讯性能却因安全性受到了影响,不过安全性方面始终高于性能的,这也是目前IPSec ×××仍为主流的缘由之一。
(2)须要客户端软件
在IPSec ×××中须要在每一客户端安装特殊用途的客户端软件,用这些软件来替换或者增长客户系统的TCP/IP堆栈。在许多系统中,这就可能带来了与其余系统软件之间兼容性问题的风险,例如***程序所带来的安全性风险,特别是在这些客户端软件是从网站上下载,并且不是通过专门的IT人员安装的状况下。解决IPSec协议的这一兼容性问题目前还缺少一致的标准,几乎全部的IPSec客户端软件都是专有的,不能与其它兼容。
在一些情形中,IPSec安全协议是在运行在网络硬件应用中,在这种解决方案中大多数要求通讯双方所采用的硬件是相同的,IPSec协议在硬件应用中一样存在着兼容性方面的问题。
而且,IPSec客户端软件在膝上电脑或者桌面系统中的应用受到限制。这种限制限制了用户使用的灵活性,在没有装载IPSec客户端系统的远程用户中用户不能与网络进行×××链接。
(3)安装和维护困难
IPSec安全协议方案须要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业一般有几个专门的员工为经过IPSecI安全协议进行的×××远程访问提供服务。
(4)实际全面支持的系统比较少
虽然已有许多开发的操做系统提出对IPSec协议的支持,可是在实际应用是,IPSec安全协议客户的计算机一般只运行基于Windows系统,不多有运行其它PC系统平台的,如Mac、Linux、Solaris 等。
2. 为何要用SSL,而不用IPSec ×××?
虽然目前并非全部,也不大多数用户采用SSL代理方式进行×××通讯,可是使用SSL ×××的用户数却在不断增长,有些是原来一直采用IPSec ×××的,缘由主要有如下几个方面:
(1)不须要客户端软件和硬件需求
在SSL代理中的一个关键优点就是不须要在客户端安装另外的软件,而只须要在服务器端安装相应的软件和硬件,而后经过服务器向客户端发布。SSL代理可使用于支持SSL技术的标准Web浏览器和email客户中。
(2)容易使用,容易支持Web界面
在今天的工厂中,有许多Web浏览器和支持SSL的email客户端,包括Windows、Macintosh、Linux/UNIX、PDAs,甚至到蜂窝电话均可以经过SSL协议进行通讯。由于这些都是人们已很是熟悉的,这样就能够大大节省培训费用。
(3)端到端 vs. 端到边缘安全
IPSec安全协议的一个主要优点就是只须要在客户和网络资源边缘处创建通道。仅保护从客户到公司网络边缘链接的安全,无论怎样,全部运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间创建的,确保端到端的真正安全。不管在内部网络仍是在因特网上数据都不是透明的。客户对资源的每一次操做都须要通过安全的身份验证和加密。
这两种×××方式的通道安全示意图如图1所示。
IPSec的英文全名为“Internet Protocol Security”,中文名为“因特网安全协议”,这个安全协议是×××的基本加密协议,它为数据在经过公用网络(如因特网)在网络层进行传输时提供安全保障。通讯双方要创建IPSec通道,首先要采用必定的方式创建通讯链接。由于IPSec协议支持几种操做模式,因此通讯双方先要肯定所要采用的安全策略和使用模式,这包括如加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道创建,全部在网络层之上的协议在通讯双方都通过加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而无论这些通道构建时所采用的安全和加密方法如何。
1. IPSec的主要不足
(1)安全性能高,但通讯性能较低
由于IPSec安全协议是工做在网络层的,不只全部网络通道都是加密的,并且在用户访问全部公司资源时,就像采用专线方式与公司网络直接物理链接同样。你能够或者不想让你的合做伙伴或者远程员工成为您的网络一部分,IPSec不只使你正在通讯的那一很小的部分通道加密,而是对全部通道进行加密。因此在在安全性方面比SSL ×××好,但总体通讯性能却因安全性受到了影响,不过安全性方面始终高于性能的,这也是目前IPSec ×××仍为主流的缘由之一。
(2)须要客户端软件
在IPSec ×××中须要在每一客户端安装特殊用途的客户端软件,用这些软件来替换或者增长客户系统的TCP/IP堆栈。在许多系统中,这就可能带来了与其余系统软件之间兼容性问题的风险,例如***程序所带来的安全性风险,特别是在这些客户端软件是从网站上下载,并且不是通过专门的IT人员安装的状况下。解决IPSec协议的这一兼容性问题目前还缺少一致的标准,几乎全部的IPSec客户端软件都是专有的,不能与其它兼容。
在一些情形中,IPSec安全协议是在运行在网络硬件应用中,在这种解决方案中大多数要求通讯双方所采用的硬件是相同的,IPSec协议在硬件应用中一样存在着兼容性方面的问题。
而且,IPSec客户端软件在膝上电脑或者桌面系统中的应用受到限制。这种限制限制了用户使用的灵活性,在没有装载IPSec客户端系统的远程用户中用户不能与网络进行×××链接。
(3)安装和维护困难
IPSec安全协议方案须要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业一般有几个专门的员工为经过IPSecI安全协议进行的×××远程访问提供服务。
(4)实际全面支持的系统比较少
虽然已有许多开发的操做系统提出对IPSec协议的支持,可是在实际应用是,IPSec安全协议客户的计算机一般只运行基于Windows系统,不多有运行其它PC系统平台的,如Mac、Linux、Solaris 等。
2. 为何要用SSL,而不用IPSec ×××?
虽然目前并非全部,也不大多数用户采用SSL代理方式进行×××通讯,可是使用SSL ×××的用户数却在不断增长,有些是原来一直采用IPSec ×××的,缘由主要有如下几个方面:
(1)不须要客户端软件和硬件需求
在SSL代理中的一个关键优点就是不须要在客户端安装另外的软件,而只须要在服务器端安装相应的软件和硬件,而后经过服务器向客户端发布。SSL代理可使用于支持SSL技术的标准Web浏览器和email客户中。
(2)容易使用,容易支持Web界面
在今天的工厂中,有许多Web浏览器和支持SSL的email客户端,包括Windows、Macintosh、Linux/UNIX、PDAs,甚至到蜂窝电话均可以经过SSL协议进行通讯。由于这些都是人们已很是熟悉的,这样就能够大大节省培训费用。
(3)端到端 vs. 端到边缘安全
IPSec安全协议的一个主要优点就是只须要在客户和网络资源边缘处创建通道。仅保护从客户到公司网络边缘链接的安全,无论怎样,全部运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间创建的,确保端到端的真正安全。不管在内部网络仍是在因特网上数据都不是透明的。客户对资源的每一次操做都须要通过安全的身份验证和加密。
这两种×××方式的通道安全示意图如图1所示。
图1
(4)90%以上的通讯是基于Web和Email的
近呼90%的企业利用×××进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通讯,另外10%的用户是利用诸如x十一、聊天协议和其它私有客户端应用,属非因特网应用。
3. SSL ×××与IPSec ×××的比较列表
下表是SSL ×××与IPSec ×××主要性能比较,从表中能够看出各自的主要优点与不足。