大白話說 SSL VPN 和 IPSEC VPN 的區(qū)別

IPSEC VPN 和SSL VPN是目前遠程用戶訪問內(nèi)網(wǎng)的兩種主要vpn隧道加密技術(shù)。那么二者有什么區(qū)別，企業(yè)如何根據(jù)自己的業(yè)務(wù)場景來選擇使用哪種vpn呢？

封裝位置：

IPSEC和SSL是兩個不同的加密協(xié)議，都是可以對數(shù)據(jù)包進行加密保護，防止中間的黑客劫持數(shù)據(jù)。但是二者加密的位置卻不一樣。

IPSEC工作在網(wǎng)絡(luò)層，即把原始數(shù)據(jù)包網(wǎng)絡(luò)層及以上的內(nèi)容進行封裝：

SSL VPN工作在傳輸層，封裝的是應(yīng)用信息

IPSEC和SSL對比

通過對比能看出來，ssl vpn能對應(yīng)用做到精細化管控，可以對具體的應(yīng)用做保護。但是ipsec 是封裝原始的整個數(shù)據(jù)包，所有的流量都會走隧道。

遠程用戶接入方式：

遠程用戶接入公司內(nèi)部網(wǎng)絡(luò)用Ipsec 一般都需要單獨布置客戶端。但是ssl vpn用瀏覽器就可以，因為瀏覽器基本都內(nèi)置了ssl協(xié)議。

比如一般對于校園網(wǎng)的訪問用的都是登錄網(wǎng)頁然后輸入賬號密碼的方式，這種vpn登錄方式都是ssl vpn。

布置方式：

Ipsec 一般用于“網(wǎng)到網(wǎng)”的連接方式。比如分公司內(nèi)的主機和總公司內(nèi)的主機有通信需求，這時候可以用ipsec vpn在兩個公司之間建立隧道。把兩個站點的本地要通過vpn進行互訪的網(wǎng)段進行配置。那么13.13.13.1和2.2.2.1互訪的時候就會進入vpn隧道。

Ssl vpn一般用于企業(yè)用戶遠程辦公的場景比較多，即“移動用戶-網(wǎng)”的連接。企業(yè)總部一般會布置oa系統(tǒng)，郵件系統(tǒng)等。員工在家辦公或者其他分支機構(gòu)的員工訪問總部的這些應(yīng)用系統(tǒng)的時候，可以使用ssl vpn進行布置。

因此對于兩個機構(gòu)之間形成一個局域網(wǎng)進行通信，只能用ipsec。但是隨著站點的增加，運維壓力和布置成本也會相應(yīng)上升。

而遠程辦公或遠程接入的情景，用戶不用裝客戶端，隨便找個有瀏覽器能上網(wǎng)的電腦就可以接入公司，接入方式更靈活，辦公更高效。這種情況用ssl vpn更好。

推薦閱讀