SSL 与IPsec 技术的几大差异

SSL与传统的IPSec技术各有特色，各有千秋。SSL更适合移动用户的远程接入(Client-Site)，而IPSec在网络对网络(Site-Site)的连接上具有先天优势。这两种产品将在市场上长期共存，优势互补。在产品表现形式上，两者有以下差异:

1.IPsec大多用于网络-网络连接，SSL用于移动客户-网络连接。SSL移动用户使用标准浏览器，无需安装客户端程序，即可通过SSL隧道访问内部网络；IPSec移动用户需要安装专门的IPSec客户端软件。

2.SSL基于应用层，IPsec基于网络层。IPsec对所有IP应用都是透明的；SSL保护基于Web的应用更有优势。当然，好的产品也支持TCP/UDP的C/S应用，比如文件共享。网络邻居。Ftp.Telnet.Oracle等等。

3.SSL用户不受上网方式的限制，SSL隧道可以穿透Firewall；IPSec客户端需要支持NAT穿透功能才能穿透Firewall，Firewall需要打开UDP500端口。

4.SSL只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持成本。IPSec需要管理通信的每个节点，网管专业性很强。

5.SSL更容易提供细粒度访问控制，可以更详细地控制用户的权限、资源、服务和文件，更方便地与第三方认证系统(如radius.AD等)结合。).IPSec主要是基于IP组来控制用户的访问。

1.底层协议中SSL和IPSec的区别。

简而言之，SSL和IPSec都是加密通信协议，它们从任何TCP网络中保护基于IP的数据流。两者都有其独特的特点和优点。

IPSec协议是网络层协议，是为保证IP通信而提供的一系列协议家庭。SSL协议是一种套接层协议，它是保证基于网络在互联网上通信的安全的协议。

IPSec为数据通过公共网络时的数据完整性、安全性和合法性设计了一套隧道、加密和认证方案。IPSec可以为IPv4/IPv6网络提供基于加密的高质量安全机制。提供包括访问控制、无连接数据的完整性、数据源认证、防止重复攻击、基于加密的数据机密性和有限数据流的机密性服务。

SSL用公钥加密通过SSL连接传输的数据。SSL是基于应用层的高层安全协议。SSL使用SSL协议和代理为最终用户提供HTTP.客户机/服务器和共享文件资源的访问认证和访问安全SSL传输用户层的认证。确保只有通过安全策略认证的用户才能访问指定的资源。

SSL是专门为保护HTTP通信协议而设计的。当浏览器和Web服务器双方都设置了支持SSL时，如果通过该通信协议传输的数据流加密，SSL将提供一个安全的包来保护浏览器和Web服务器中的IP包。IPSec和SSL通信协议的设计有一些原则上的差异。首先，IPSec以网络层为中心，SSL以应用层为中心。其次，IPSec需要专门的使用端软件，SSL使用任何SSL支持的浏览器作为使用端。最后，SSL本来是以机动性为中心，IPSec不是。

2.连接方式与IPSech的区别。

在连接方式上，SSL和IPSec也有很大的区别。IPSec最初的设计是为企业的各个部门提供从网站到网站的通信。由于企业将用户扩展到远程访问，因此必须扩展IPSec协议的标准，或者修改制造商实现的协议。

IPSec通过在两个站点之间创建隧道提供直接(非代理模式)访问，实现对整个网络的透明访问；一旦隧道创建，用户PC就像物理上的企业LAN一样。它要求软硬件兼容，要求隧道两端几乎只能是同一个供应商的软件。采用IPSec，企业应指定隧道两端使用的技术，但很少有公司能够或愿意强迫其合作伙伴或客户选择这种技术，限制了通过IPSec建立企业外网的应用。

与传统的IPSec相比，SSL可以使企业在不同的地方实现更多的远程用户访问，实现更多的网络资源访问，对客户端设备要求低，从而降低配置和运营支持成本。许多企业用户采用SSL作为远程安全接入技术，主要关注其便捷的接入能力。

SSL提供了增强的远程安全接入功能。IPSec的接入模式使用户PC像物理一样处于企业LAN中。这带来了很多安全风险，尤其是在接入用户权限过大的情况下。SSL提供安全，可以代理连接，只有认证用户才能访问资源，安全多了。SSL可以细分加密隧道，让终端用户同时访问互联网和内部企业网络资源，也就是说具有可控功能。此外，SSL还可以细化接入控制功能，方便将不同的访问权限赋予不同的用户，实现可扩展性访问；这种精确的接入控制功能几乎不可能远程接入IPSec。

SSL基本不受接入位置的限制，可以从很多互联网接入设备和任何远程位置访问网络资源。SSL通信是基于标准TCP/UDP协议传输的，因此可以遍历所有NAT设备。基于代理的防火墙和状态检测防火墙。这使得用户可以从任何地方访问，无论是在其他公司网络中基于代理的防火墙之后，还是在宽带连接中。但是IPSec在稍微复杂的网络结构中很难实现。此外，SSL可以实现从可管理的企业设备或非管理设备的访问，如家用PC或公共互联网访问场所，而IPSec客户端只能从可管理或固定设备访问。随着远程接入需求的不断增加，远程接入IPSec在访问控制方面受到了极大的挑战，管理和运营成本较高。它是实现点对点连接的最佳解决方案，但为了实现任何位置的远程安全接入，SSL需要更加理想。

3.SSL和IPSec在安全方面的区别。

IPSec安全协议的一个主要优势是只需要在客户和网络资源的边缘建立一个通道。只保护从客户到公司网络边缘连接的安全。无论如何，运行在内部网络中的所有数据都是透明的，包括任何密码和传输中的敏感数据。SSL安全通道建立在客户到访问的资源之间，以确保端到端的真正安全。内部网络和互联网上的数据都不透明。客户对资源的每一次操作都需要经过安全的身份验证和加密。

使用IPSec的在线模式，每个用户端都会被视为网络上的节点，而这个在线机会一直处于激活状态(Active)。因此，一旦用户端的计算机被黑客或病毒入侵，黑客就可以通过这个网络连接到另一个端点，即公司。因为这种运行模式，这个节点很可能成为黑客和病毒入侵的管道。使用SSL在线可以避免这样的问题。因为SSL的一个主要特点是具有Session保护功能，即会话停止一段时间后切断自动断线，如果需要继续访问，需要重新登录。这种SSL通信协议机制可以有效避免黑客和病毒的入侵威胁。

远程用户通过IPSece与公司内部网络建立在线后，可以检测到连接到内部网络的应用系统，这为黑客攻击提供了机会。如果采用SSL在线，由于应用系统直接打开，没有连接到网络层，黑客很难检测到应用系统的内部网络机制，威胁只是在线应用系统，攻击机会相对减少很多。

4.SSL和IPSec在企业应用中的互补性。

许多专家认为，就企业高级用户与LAN-to-LAN连接所需的直接访问企业网络功能而言，IPSec的优势是无可比拟的。但是，典型的SSL被认为是最适合普通远程员工访问基于Web的应用。因此，如果需要更全面的访问基于浏览器应用程序和远程员工，SSL无疑是连接所有办公室的首选。

另一方面，SSL不需要在最终用户的PC和便携式电脑上安装其他客户软件。一些公司选择SSL而不是IPSec，这是一个不需要客户软件的功能的重要因素。此外，SSL还有其他经常提到的特点，包括降低部署成本和日常支持和管理需求。此外，由于所有内外流量通常都通过单一的硬件设备，因此可以控制对资源和URL的访问。

厂商推出这种不需要客户软件的产品后，用户可以通过连接互联网的任务设备进行连接，借助SSL隧道获得安全访问。这就需要在企业防火墙后面添加硬件，但只要企业管理一种设备，就不需要维护、升级和配置客户软件。

由于最终用户可以通过与互联网连接的任何设备访问企业的网络，SSL更容易满足大多数员工对移动连接的需求。然而，这种方案的问题是，SSL的加密级别通常不如IPSec。因此，虽然部署和支持成本相对较低，但SSL仍然有其缺点。同时，SSL也有一定的局限性，只能访问通过网络浏览器连接的资源。

SSL在不需要客户软件的运行环境中有其效率和优势，但在性能、应用覆盖等方面也存在问题。SSL可以解决操作系统的客户软件问题。客户软件维护问题，但绝对不能完全取代IPSec，因为他们想解决的是两个几乎没有重叠的不同问题。

对于大多数需要远程访问的公司来说，支持的应用应该包括公司为了尽可能提高效率、生产力和盈利能力所需的各种应用。SSL能支持的应用类型有限。

大部分SSL都是HTTP反向代理，非常适合具有Web功能的应用，只要通过任何Web浏览器就可以访问。HTTP反向代理支持其他查询/响应应用程序，如基本的电子邮件和许多企业的生产力工具，如ERP和CRM等客户机/服务器应用程序。为了访问这些类型的应用程序，SSL为远程连接提供了一个简单经济的解决方案。它属于即插即用型，不需要任何额外的客户端软件或硬件。

然而，同样的优势已经成为SSL最大的局限因素:用户只能访问所需的应用程序和数据资源的一小部分。SSL不能为远程访问应用提供全面的解决方案，因为它不能帮助访问内部开发的应用程序，也不能帮助访问需要多个渠道和动态端口以及使用各种协议等复杂应用程序。然而，这是公司和远程用户的关键需求。比如SSL没有架构支持即时消息传输、多播、数据反馈、视频会议、VoIP。

虽然SSL可以保护HTTP创建的TCP通道的安全性，但它并不适用于UDP通道。但是，现在企业对应用程序的支持要求是支持各种类型的应用程序：TCP和UDP.客户机/服务器和Web.现成和内部开发程序。IPSec才能胜任这个问题。

理想的应用是企业通过IPSec连接总部和各个分部，这样总部和分部的终端就可以包含在一个LAN中。为移动办公或出差人员提供的访问服务。充分利用IPSec的互补性，使企业的网络结构更加合理。

一般来说，IPSec和SSL在应用上各有优缺点。往往一方的缺点就是另一方的缺点。两种技术在应用上有很大的互补性。企业在购买产品时，可以根据这些优缺点，结合自身的应用，合理选择合适的产品。

微云网络&网络综合解决方案提供商帮助企业信息化建设、数字化转型和全球互联网。全球可以实现SD-WAN方案。加速访问，加速SaaS访问，加速海外视频，加速海外分支网络，有效提高国际沟通效率，帮助中国企业开拓国际市场。…热线：400-028-9798，欢迎来电咨询。