SSL VPN与IPSec VPN对比

　　1 SSL VPN相对于IPSec VPN的优势

　　1.1 SSL VPN比IPSec VPN部署、管理成本低

　　首先我们先认识一下IPSEC存在的不足之处:

　　在设计上，IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于，它们尽量提高IP环境的安全性。可问题在于，部署IPSec需要对基础设施进行重大改造，以便远程访问。好处就摆在那里，但管理成本很高。IPSec安全协议方案需要大量的IT技术支持，包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。

　　IPSec VPN最大的难点在于客户端需要安装复杂的软件，而且当用户的VPN策略稍微有所改变时，VPN的管理难度将呈几何级数增长。SSL VPN则正好相反，客户端不需要安装任何软件或硬件，使用标准的浏览器，就可通过简单的SSL安全加密协议，安全地访问网络中的信息。

　　其次我们再看看SSL的优势特点:

　　SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁，目前对SSL VPN公认的三大好处是:

　　第一来自于它的简单性，它不需要配置，可以立即安装、立即生效;

　　第二个好处是客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行;

　　第三个好处是兼容性好，传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件，而SSL VPN则完全没有这样的麻烦。

　　综合分析可见:

　　1. SSL VPN强调的优势其实主要集中在VPN客户端的部署和管理上，我们知道SSL VPN一再强调无需安装客户端，主要是由于浏览器内嵌了SSL协议，也就是说是基于B/S结构的业务时，可以直接使用浏览器完成SSL的VPN建立;

　　2. 某些SSL VPN厂商如F5有类似IPSec VPN的“网络访问”方式，可以解决传统的C/S应用程序的问题，用户用浏览器登录SSL VPN设备后，拨通网络访问资源即可获得一个虚拟IP，即可以访问按照安全策略允许访问的内网地址和端口，和IPSec VPN不同的是，这种方式并非工作在网络层，所以不会有接入地点的限制;

1.2 SSL VPN比IPSec VPN更安全

　　首先我们还是先认识一下IPSEC存在的不足之处:

　　1. 在通路本身安全性上，传统的IPSec VPN还是非常安全的，比如在公网中建立的通道，很难被人篡改。说其不安全，是从另一方面考虑的，就是在安全的通路两端，存在很多不安全的因素。比如总公司和子公司之间用IPsec VPN连接上了，总公司的安全措施很严密，但子公司可能存在很多安全隐患，这种隐患会通过IPsec VPN传递给总公司，这时，公司间的安全性就由安全性低的分公司来决定了。

　　2. 比如黑客想要攻击应用系统，如果远程用户以IPSec VPN的方式与公司内部网络建立联机之后，内部网络所连接的应用系统，黑客都是可以侦测得到，这就提供了黑客攻击的机会。

　　3. 比如应对病毒入侵，一般企业在Internet联机入口，都是采取适当的防毒侦测措施。采用IPSec联机，若是客户端电脑遭到病毒感染，这个病毒就有机会感染到内部网络所连接的每台电脑。

　　4. 不同的通讯协议，并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说，发信和收信一般都是采取SMTP和POP3通讯协议，而且两种通讯协议采用25和110端口，若是从远程电脑来联机Email服务器，就必须在防火墙上开放25和110端口，否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上，每开启一个通讯埠，就多一个黑客攻击机会。

　　其次我们再看看SSL的优势特点:

　　1. SSL安全通道是在客户到所访问的资源之间建立的，确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的，客户对资源的每一次操作都需要经过安全的身份验证和加密。

　　2. 若是采取SSL VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络设置，同时黑客攻击的也只是VPN服务器，无法攻击到后台的应用服务器，攻击机会相对就减少?