您好!欢迎光临云杰通信官网,本公司专业提供企业网络优化、企业MPLS组网、SD-WAN加速上网等网络专线接入服务。
服务热线:13631779516

企业网络优化专家

智能网络互联综合解决方案

行业知识 NEWS

云杰通信助您了解行业,全方位掌握国际互联网最新资讯

您当前的位置:首页 > 资讯中心 > 行业知识

对比IPSec 和SSL 的安全风险

2020-11-12 17:22云杰小编阅读:153

对比IPSec 和SSL 的安全风险

虚拟专用网络()已经成为了公司合作伙伴或员工远程安全访问公司资源的事实标准。在本文中,我们将试图解释两种特定的类型,即IPSec 和SSL ,以及这两种类型应该如何选择。

然而,在深入研究这两个不同类型之前,需要首先对技术进行一个简要的概述。是指有利于远程访问公司资源的一系列技术。这种技术的主要用户,是试图在家或者其他公共场所访问公司资源的公司雇员,以及在公司的基础架构内支持各种系统的合作伙伴或第三方。一般通过在远程站点和公司网络之间建立一个加密通道的方式,利用公共长途IP网络来进行数据传输,这些远程站点包括雇员的或者第三方系统。

关键技术

当前,最为普及的两种技术分别是基于传统网络安全协议(IPsec)的技术和安全套接字层(SSL)技术,前者主要作用于网络层,而后者主要作用于应用层。它们的不同之处在于:使用的底层技术不同,所服务的功能不同,以及潜在的安全风险不同。

IPsec最初的设计是提供点到点的,在远程站点和中央办公室资源之间进行不间断的连接。在这种情况下,客户端可以是分公司或者供应商。这个协议被设计为工作在网络堆栈的更底层(第3层,网络层),并可以用来传输任何基于IP的协议报文,而不用理会应用程序所产生的流量。随着移动办公时代的到来,IPsec已经得到扩展,用户通过使用一个安装在移动设备上的专用应用程序(客户端)就可以进行远程访问。

另一方面,SSL 在设计时就考虑到了移动办公。它的预期目标是提供一个无缝连接的、无客户端的远程访问方式。这样,SSL 可以被看做一个应用程序代理,远程用户使用浏览器就可以以某种粒度访问公司的特定资源,而不再需要安装客户端。

优势与劣势

IPsec的关键优势在于它在站点之间提供一个永久连接的能力。工作在网络层(网络堆栈的第3层)也使其与应用程序无关:任何基于IP的协议都能够通过它进行传输。这使得IPsec相对于那些昂贵的租用线路或者专用线路,是一个相当有吸引力的替代品。它也可以作为一个备份链路,即在连接远程站点和中央办公室的主租用线路或专用线路崩溃时起作用。

然而,IPsec中与应用程序无关的设计也是它的弱点。虽然它提供了认证、授权和加密,同时还基本上把公司网络拓展到任何远程用户,但是它没有能在一定粒度级别上限制对资源的访问。一旦隧道建立,远程用户通常可以访问公司的任何资源,就像他们是直接连接到公司网络一样。因为移动办公需要允许诸如和家用等非托管的IT设备访问公司资源,所以这些安全问题显得更加严重。IT部门对这些设备没有任何可视性和控制权,而且不能保证这些设备符合通常在托管设备上实施的安全水平。

另外,IPsec也需要更多的维护。除了需要建立终止通道的设备,还需要额外的配置和维护来支持远程用户群。在公司使用网络地址解析(NAT)的情况下,还需要特殊的配置确保IPsec与NAT设置充分协调。

相比之下,SSL s从设计的一开始就支持远程访问。它们不需要安装任何特别的软件。远程访问是通过一个基于浏览器的使用安全套接层(SSL)的会话实现的。SSL s还为企业提供粒度级访问控制的能力。特定的身份验证和访问应用程序的授权方案可以被限定在一个特定的用户群。内置的日志记录和审核能力能处理各种合规要求。SSL s还具备在连接到企业的远程设备上运行主机合规性检查的能力,以验证它们配置了合适的安全软件,并安装了最新的补丁。

但这并非意味着SSL s就是所有IPsec缺点的灵丹妙药。当一个远程站点需要与主办公室建立不间断连接时,SSL 不是合适的解决方案。与应用程序无关的IPsec能以最小的代价支持大量传统的协议和传统客户/服务应用程序。这与围绕基于Web应用构建的SSL s是不同的。许多SSL s通过在远程设备上安装一个Java或者基于ActiveX的代理控件来解决这个缺点。通常情况下,在远程设备成功通过SSL 设备的验证后,相关的安装会准确无误的实现,但是值得注意的是,ActiveX和Java都有其自身的安全缺陷,这也是攻击者通常试图利用的一点。

IPsec 还是SSL ?

在企业中,每种方案都有其用处。理想情况下,因为SSL和IPsec s服务于不同的目的且具有优势互补的特点,所以它们都应该被采用。IPsec应该在需要与远程办公地点或者合作伙伴/供应商建立不间断连接时使用。这种情况下,粒度访问控制限制和缺失的主机检查能力应该通过一个网络访问控制系统来增加,这就可以确保只有通过验证的远程主机才能连接到企业。在粒度访问控制能力,审核和日志记录,以及安全策略控制等因素至关重要的移动办公情况下,企业应该主要使用SSL s作为远程访问方案。但是请记住,不管你的选择或特定需要如何,一个必须更新,测试并进行性能检测,而且它是作为利用综合性策略和各种网络安全技术的深度防护战略的一部分。


文章标题:《对比IPSec 和SSL 的安全风险》

作  者:云杰小编。本文部分资料来源于网络,转载目的在于传递更多信息及学习参考:https://www.gdyunjie.cn/showinfo-114-3480-0.html

主要业务
企业专线网络MPLS组网SD-WAN云专线
行业解决方案
跨境电商智能制造业互联网医疗国际教育
关于我们
公司简介服务支持商务合作联系我们
热门专题:mstp、mpls企业mpls国内mplsmpls企业专线广东mplsmstp/mplsmpls计费mpls费用mstp mpls欧洲mplssdwan上网企业组网外网跨国sdwan国际专用网企业国际网专线网络国际专线网络电信国际专线国际专线价格网络国际专线国际专线跨境网络专线国际数据专线访问国际网络国际网络专线国际互联网专线深港网络专线深港专线价格东莞国际上网微软云专线专线上云云专线端到端pon云专线混合云专线接入腾讯云专线云专线定义混合云专线电信云专线跨云专线混合云专线方案什么是云专线云服务器专线云专线是什么云专线支持云专线价格云专线接入联通云专线aws阿里云专线阿里云专线服务阿里云专线多少钱一年阿里云专线价格表阿里云专线申请阿里云专线服务器阿里云专线价格
Copyright @ 版权所有2012-2019 广东云杰通信有限公司 粤ICP备18062193号-2

在线咨询

在线咨询真诚为您提供专业解答服务

咨询热线

13631779516欢迎致电咨询

微信咨询

二维码微信扫一扫咨询
返回顶部