前提
随着VPN的不断普及,传统基于IPSEC的VPN在点接入端的环境下遇到越来越多的问题:
- 远端必须安装客户端软件,客户端和机器的操作系统紧密相关,在大型网络里面配置很困难。
- 客户端软件的配置方法复杂,使用麻烦,一般用户难以掌握,培训成本也很高。
- IPSEC对NAT和FIREWALL的穿透能力很弱,目前能穿透的NAT的IPSEC VPN都是对标准的IPSEC协议做了一定修改,使其安全性降低,兼容性更差。
- IPSEC VPN由于需要在网关和服务器端同时部署和维护,成本非常高。
- IPSEC VPN一定允许远端访问,远端用户就可以完全进入公司内部网络,无法控制其对网络的访问权限,容易传播病毒等。
SSL VPN技术
基于这种情况,目前最新的VPN方案采用了SSL技术,通过工业标准的SSL加密算法保障安全性,安全性和IPSec VPN完全一致。通过SSL VPN,我们可以做到:
- 零客户端,只用浏览器就可以轻松访问到公司内部网络。对客户端的操作系统没有任何限制。
- 部署方便,只要配置好SSL VPN网关就可以立刻投入运行。
- 支持各种B/S,C/S的网络应用,包括:OA、财务、ERP、电子邮件等。
- 支持各种NAT协议,网络适应性很强。
- 支持多种身份认证方式,并能对不同用户设定访问权限。
SSL VPN和IPSEC VPN比较
| 比较内容 | IPSEC VPN | SSL VPN |
| 应用支持 | ||
| C/S支持 | Y | Y |
| 遗留系统 | Y | Y |
| HTTP应用 | Y | Y |
| 文件共享 | Y | Y |
| 大型机应用 | Y | Y |
| 终端服务 | Y | Y |
| 桌面环境 | ||
| 无客户端软件的访问 | N | Y |
| 支持无线设备 | Y | Y |
| 由对话启动和终止JAVA小应用 | Y | Y |
| 支持环境 | ||
| 企业PC | Y | Y |
| 家用和旅馆宽带 | 不确定 | Y |
| 在其他防公司的防火墙后 | 不确定 | Y |
| 在家和他人PC上 | 不确定 | Y |
| 公用的商务中心和PC | 需要安装客户端软件 | Y |
| 标准PC和无线局域网 | N | N |
| 无线PDA | Y | Y |
| 安全模式 | ||
| 强用户认证 | 私有 | Y |
| 强集中认证 | 私有 | Y |
| 单一WEB认证 | N | Y |
| URL级的细粒度级访问 | N | Y |
| DNS命名和IP地址保护 | 通过隧道任何人可见 | Y |
| 其他关键属性 | ||
| 部署、配置和支持有效性 | N | Y |
| 易用,在其他网络不需重新配置 | N | Y |
| NAT和防火墙穿越 | N | Y |
| 结论 | 使用站点到站点的连接,和可信的部门共享全部网络资源 | 和远程的雇员、商业伙伴、供应商和移动用户共享WEB应用、遗留系统、定制应用等 |
选择证书
我们推荐您使用全球信SSL专业版(QuickSSL Premium),这是因为:
- 动态签章技术: 通过GeoTrust专有动态签章技术,保证网站身份不能被复制和假冒。
- 申请便捷: 通过GeoTrust专有的在线申请技术,和迅通诚信的在线平台,不需要提供书面证明,可在10分钟内获得证书签发。
- 兼容性强 兼容99%以上的浏览器和SSL VPN网关。
文档编写日期:2016年08月16日