随着SSL VPN应用的逐渐加温，越来越多的企业开始采纳SSL VPN的网络架构，来解决企业的远程访问需求。但是自然有许多的观望者，质疑SSL VPN的安全性和网络的兼容性。对于网络的兼容性，由于IPSec和SSL采取Internet网络中的不同网络层来进行安全加密处理，以建立网络安全通道，因此在网络的安全管理等级上，各有所长。以下，我们分别从不同的角度来探讨这两种VPN应用的安全区别。

   1. 安全通道(Secure Tunnel)－IPSec和SSL这两种安全协议，都有采用对称式(Symmetric)和非对称式(Asymmetric)的加密算法来执行加密作业。在安全的通道比较上，并没有谁好谁坏之差，仅在于应用上的不同。以下批注来自美国纽约州水牛城Catholic Health系统公司的网络和技术服务总监，“这不是谁对谁错的问题，而是何者可以满足不同的需求”。Catholic Health系统公司提供四所医院相关医疗单位的网络系统和技术服务。最近他们采用了SSL VPN系统给500位医生和诊所，可以从远程来执行医疗操作系统，查询和更新病人的所有数据，但是他们仍然采用IPSec VPN来连结医院之间点对点的网络。

   2. 认证和权限控管－IPSec采取Internet Key Exchange(IKE)方式，使用数字凭证(Digital Certificate) 或是一组Secret Key来做认证，而SSL仅能使用数字凭证，如果都是采取数字凭证来认证，两者在认证的安全等级上就没有太大的差别。SSL的认证，大多数的厂商都会建置硬件的token，来提升认证的安全性。对于使用权限的控管，IPSec可以支持「Selectors」，让网络封包过滤喊阻隔某些特定的主机货应用系统。但是实际作业上，大多数人都是开发整个网段(Subset)，以避免太多的设定所造成的麻烦。SSL可以设定不同的使用者，执行不同的应用系统，它在管理和设定上比IPSec简单方便许多。

   3. 安全测试－IPSec VPN已经有多年的发展，有许多的学术和非营利实验室，提供各种的测试准则和服务，其中以ICSA Labs是最常见的认证实验室，大多数的防火墙，VPN厂商，都会以通过它的测试及认证为重要的基准。但SSL VPN在这方面，则尚未有一个公正的测试准则，但是ICSA Labs实验室也开始着手SSL/TLC的认证计划，预计在今年底可以完成第一阶段的Crypto运算建置及基础功能测试程序。

   4. 应用系统的攻击－远程用户以IPSec VPN的方式与公司内部网络建立联机之后，内部网络所连接的应用系统，都是可以侦测得到，这就提供了黑客攻击的机会。若是采取SSL-VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络物制，所受到的威胁也仅是所联机的这个应用系统，攻击机会相对就减少。

   5. 病毒入侵－一般企业在Internet联机入口，都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机，对于入口的病毒侦测效果是相同的，但是比较从远程客户端入侵的可能性，就会有所差别。采用IPSec联机，若是客户端电脑遭到病毒感染，这个病毒就有机会感染到内部网络所连接的每台电脑。相对于SSL VPN的联机，所感染的可能性，会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。

   6. 防火墙上的通讯埠(port)－在TCP/IP的网络架构上，各式各样的应用系统会采取不同的通讯协议，并且通过不同的通讯埠来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说，发信和收信一般都是采取SMTP和POP3通讯协议，而且两种通讯埠是采用port 25，若是从远程电脑来联机Email服务器，就必须在防火墙上开放port 25，否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec VPN联机就会有这个困扰和安全顾虑。在防火墙上，每开启一个通讯埠，就多一个黑客攻击机会。反观之，SSL VPN就没有这方面的困扰。因为在远程主机与SSL VPN Gateway之间，采用SSL通讯埠(port 443)来作为传输通道，这个通讯埠，一般是作为Web Server对外的数据传输通道，因此，不需在防火墙上做任何修改，也不会因为不同应用系统的需求，而来修改防火墙上的设定，减少IT管理者的困扰。

   IPSec VPN 和SSL VPN这两种VPN架构，从整体的安全等级来看，两种都能够提供安全的远程登入存取联机。但综观上述，SSL VPN在其易于使用性及安全层级，都比IPSec VPN高。我们都知道，由于Internet的迅速扩展，针对远程安全登入的需求也日益提升。对于使用者而言，方便安全的解决方案，才能真正符合需求。

Psec和SSL是部署VPN时最常用的两种技术，它们都有加密和验证机制保证用户远程接入的安全性。从以下几个方面对IPsec VPN和SSL VPN进行对比：

• OSI参考模型工作层级

  OSI定义了网络互连的七层框架：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。IPsec工作在网络层，它直接运行在IP（Internet Protocol，互联网协议）之上。而SSL工作在应用层，是一种应用层协议，它加密的是HTTP流量，而不是直接加密IP数据包。

  
  IPsec和SSL的工作层级
• 配置部署

  IPsec VPN通常适用于Site to Site（站点到站点）的组网，要求站点分别部署VPN网关或远程用户安装专用的VPN客户端，因此配置部署复杂度和维护成本都比较高。但SSL VPN通常适用于Client to Site（客户端到站点）的组网，只要求远程用户使用支持SSL的标准浏览器安装指定插件即可进行访问，通过数据中心部署VPN网关进行集中管理和维护，因此配置部署更简单，维护成本相对较低。

  
  IPsec VPN
  
  SSL VPN
• 安全性

  IPSec工作在网络层，对站点间传输的所有数据进行保护。IPSec VPN要求远程用户安装专用的VPN客户端或在站点部署VPN网关设备，用户访问会受到客户端或网关在用户认证规则、安全策略规则或内容安全过滤方面的检查，因此安全性更高。而SSL VPN不要求安装专用客户端或接入站点部署网关设备，更容易受到安全威胁的影响。

• IPsec安全联盟

  IPsec安全传输数据的前提是在IPsec对等体（即运行IPsec协议的两个端点）之间成功建立IPsec安全联盟（简称IPsec SA）。通过该安全联盟，可以在IPsec对等体间形成一个安全互通的IPsec隧道。

  安全联盟（Security Association，SA）是通信对等体间对某些协商要素的约定，它描述了对等体间如何利用安全服务（例如数据加密服务）进行安全的通信。这些协商要素包括对等体间使用的安全协议、需要保护的数据流特征、数据传输采用的封装模式、协议采用的加密和验证算法，以及用于数据安全转换、传输的密钥和SA的生存周期等。

  IPsec SA通过IKE协议自动协商建立，需要保护的数据流需要被引入IPsec隧道中，在隧道两端的对等体中通过安全协议进行加密和验证，实现数据跨Internet安全传输。

  IPsec SA由一个三元组来唯一标识，这个三元组包括安全参数索引（Security Parameter Index，SPI）、目的IP地址和安全协议（AH或ESP）。其中，SPI是为唯一标识SA而生成的一个32比特的数值，它被封装在AH和ESP头中传输。IPsec SA是单向的逻辑连接，通常成对建立（Inbound和Outbound）。因此，为实现两个IPsec对等体之间的双向通信，至少需要建立一对IPsec SA形成一个双向互通的IPsec隧道，分别对两个方向的数据流进行安全保护，如图1所示。

  图1 IPsec安全联盟
  

  另外，IPsec SA的个数还与安全协议相关。如果仅使用AH或ESP中的某一种安全协议来保护两个对等体之间的流量，则对等体之间仅需要建立两个IPsec SA（每个方向上各有一个）即可。如果对等体同时使用了AH和ESP两种安全协议，则对等体之间需要四个IPsec SA（每个方向上各有两个，分别对应AH和ESP）。因此不能将一个IPsec SA等同于一个“连接”。

• 访问控制

  IPsec工作在网络层，不能基于应用进行细粒度的访问控制。而SSL VPN在精细化访问控制上更灵活，网络管理员可以将网络资源根据不同的应用类型划分为不同的资源类型，每一类资源的访问权限不同。

• IPsec协议框架

  IETF RFC中定义了IPsec的框架标准，如图1所示。

  图1 IPsec协议框架
  

  • IPsec通过AH（Authentication Header，验证头）和ESP（Encapsulating Security Payload，封装安全载荷）两个安全协议实现IP报文的封装/解封装。其中，AH是报文头验证协议，主要提供数据源验证、数据完整性验证和防报文重放功能，不提供加密功能；ESP是封装安全载荷协议，主要提供加密、数据源验证、数据完整性验证和防报文重放功能。具体介绍可参见了解IPsec安全协议和了解IPsec封装模式。
  • AH和ESP协议提供的安全功能依赖于协议采用的加密、验证算法。其中，只有ESP能够对原IP报文内容进行加密，使用的加密算法为对称加密算法；AH和ESP都能够提供数据源验证和数据完整性验证。具体介绍可参见了解IPsec加密与验证。
  • 加密和验证算法所使用的密钥是动态协商出来的。为了提升密钥的安全性，降低管理复杂度，IPsec协议框架中引入因特网密钥交换（Internet Key Exchange，IKE）协议实现安全联盟的动态协商和密钥的管理功能。IKE协议建立在Internet安全联盟和密钥管理协议（Internet Security Association and Key Management Protocol，ISAKMP）框架之上，采用DH（Diffie-Hellman）算法在不安全的网络上安全地分发密钥、验证身份，以保证数据传输的安全性。具体介绍可参见了解密钥交换。