IPSec 与SSL 两者优势对比

‍

(Virtual Private Network)虚拟专用网，指在公共网络(如互联网)上构建临时的、安全的逻辑网络的技术。机构遍布各地的公司，尤其跨越国家的公司，可以通过接入总部网络。利用了现有的公共网络资源，从而节省了公司租用运营商跨省、跨海专线的费用。分支机构网络通过接入总部后，就好比与总部网络接入同一个局域网，可访问总部网络能访问的各项资源。另外，为保证数据不在网络(尤其是公共网络)上被窃取，通过技术实现数据加密传送。需要澄清的一点是，技术有多种，并非所有的标准均具有高安全性。

‍‍

IPSec

是为实现 功能而最普遍使用的协议。IPsec 指采用IPsec协议来实现远程接入的一种技术，IPsec全称为互联网 Protocol Security，是由互联网 Engineering Task Force (IETF) 定义的安全标准框架，用以提供公用和专用网络的端对端加密和验证服务。IPsec是一套比较完整成体系的技术，它规定了一系列的协议标准。

通过相应的隧道技术，可实现。IPSec有两种模式：隧道模式和传输模式。IPSec 不是一个单独的协议，它给出了应用于IP 层上网络数据安全的一整套体系结构。该体系结构包括认证头协议(AH)、封装安全负载协议(ESP)、密钥管理协议(IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等体之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

IPsec 服务可以为企业提供基于互联网接入的远程互联业务，实现企业的小型分支机构与企业总部的网络互联需求。它以IPsec加密通道连接各个客户点，为客户提供安全稳定的连接，实现随时随地高效办公。此外，企业还可享受互联网的灵活性、扩展性、共享负载、高性能表现及低成本等优点。

• 安全：到端的安全防护体系，提供IPsec加密功能, 安全性较高；通过多项加密技术，多种认证方式，保证终端/数据安全、传输安全。

• 快速：善用原有的互连网连接，降低成本，快速部署；从链路、传输、数据、应用，层层优化，访问速度可提升80%，让每次接入都有畅快体验。

• 易用：组网灵活，采用全连接分布技术；简单易用、可管理；灵活易扩展。

• 高效：降低维护成本；提供统一网络运维和售后服务；全面的解决方案，完美实现业务数据化。

IPsec 适用客户

IPsec 是企业投入成本最低的一种组网方式，安全性高且部署较快。适用于有多个分支机构且有数据互访需求的企业、零售商；对数据安全性要求高、不允许经过第三方骨干网的金融企业等；对应用与数据的实时要求不高，需要节省IT成本的企业客户等。

SSL

IPSec 和SSL 是两种不同的架构，IPSec 是工作在网络层的，提供所有在网络层上的数据保护和透明的安全通信，而SSL 是工作在应用层(基于HTTP协议)和TCP层之间的，从整体的安全等级来看，两者都能够提供安全的远程接入。但是，IPSec 技术是被设计用于连接和保护在信任网络中的数据流，因此更适合为不同的网络提供通信安全保障，而SSL 则更适合应用于远程分散移动用户的安全接入。

一般说来，SSL 相对于后者部署和实施成本低。在设计上，IPSec 是一种基础设施性质的安全技术。这类的真正价值在于，它们尽量提高IP环境的安全性。可问题在于，部署IPSec需要对基础设施进行重大改造，以便远程访问。好处就摆在那里，但管理成本很高。IPSec安全协议方案需要大量的IT技术支持，包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的远程访问提供服务。IPSec 最大的难点在于客户端需要安装复杂的软件，而且当用户的策略稍微有所改变时，的管理难度将呈几何级数增长。SSL 则正好相反，客户端不需要安装任何软件或硬件，使用标准的浏览器，就可通过简单的SSL安全加密协议，安全地访问网络中的信息。SSL 避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁，目前对SSL 公认的好处是:

• 简单。它不需要配置，可以立即安装、立即生效。客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行；

• 兼容性。传统的IPSec 对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件，而SSL 则完全没有这样的麻烦。

因此，SSL 强调的优势其实主要集中在客户端的部署和管理上，我们知道SSL 一再强调无需安装客户端，主要是由于浏览器内嵌了SSL协议，也就是说是基于B/S结构的业务时，可以直接使用浏览器完成SSL的建立。