IPsec(互联网协议安全)一段时间以来一直是VPN通信的加密标准。但是,现在有了IPsec的替代标准。本文讨论IPsec与另一种可能的解决方案SSL(安全套接层)之间的区别。
虽然把IPsec协议包含在客户端软件安装向导中并且安装在目前的Windows台式电脑和服务器中使IPsec成为VPN中使用的首选协议,但是,在使VPN运行的时候,IPsec并不是惟一的协议。实际上,IPsec在典型的IP协议堆栈中发挥“封装”的作用。当向外发送的通信经过网络层中的这种“封装”的时候,这个通信数据将被加密并且成为发出的IP数据包的有效载荷,数据包的内容是不透明的。进入网络的数据包采用相反的工作方式,因此,在把数据包进一步发送到协议堆栈之前,只有拥有正确的密钥的指定收件人能够为加密的内容解码。
在评估IPsec VPN选择时,网络专业人员应该考虑下列几点:
·IPsec最适合有大量数据交换的站对站的连接。
·当使用可管理的PC接入网络时,IPsec VPN客户端软件工作得最好。可以监视和控制PC的配置、软件应用和访问的站点。
·IPsec VPN客户端软件对于需要访问同一个中央控制的应用程序或者数据库的多个站点的分散用户不能提供最佳的解决方案。
·必须安装单个VPN客户端软件并且保持每一台需要远程接入的PC都有这个软件;网络用户增加时、访问方式改变时、或者引进新的或者不同的IP地址时,必须重新设置远程客户端软件。
还有一种主流的远程接入技术,使用浏览器通过互联网建立VPN连接——SSL的技术。在比较IPsec和SSL的机制时,会出现如下现象:
·启动一个IPsec进程需要建立和验证与IP相关的一些数据,包括数字的地址以及许多其它设施。这需要比打开浏览器和登录远程服务器还要多的培训和技术支持人员的帮助。
·NAT(网络地址转换)和IPse可能导致一些问题,因为很多IPsec进程需要建立安全的端对端的连接。任何通过互联网的连接的两端都需要有公网IP地址,并且需要不同的工作区。基于SSL的VPN进程不受这种限制。