IPSec VPN和SSL VPN介绍

虚拟专用网(Virtual Private Network，VPN)是指在公共网络(如互联网)上构建临时安全逻辑网络的技术。在世界各地都有组织的公司，尤其是跨国公司，可以通过VPN访问总部网络。VPN利用了现有的公网资源，节省了公司租用运营商跨省跨海专线的费用。分支网络通过VPN接入总部后，就如同接入了与总部网络相同的局域网，可以接入总部网络可以接入的所有资源。另外，为了保证网络(尤其是公网)上的数据不会被窃取，通过VPN技术实现数据加密传输。需要澄清的是，VPN技术很多，并不是所有的VPN标准都具有很高的安全性。

主流开源VPN技术:

IPSec VPN

IPSec(IPSECURITY)是实现VPN功能最常用的协议。VPN可以通过相应的隧道技术来实现。IPSec有两种模式:隧道模式和传输模式。IPSec不是一个单独的协议，它给出了一套完整的应用于IP层网络数据安全的体系结构。该体系结构包括认证头协议(AuthenticationHeader，简称为AH)、封装安全负载协议(Encapsulating Security Payload，简称为ESP)、密钥管理协议(InternetKeyExchange，简称为IKE)和用于网络认证及加密的一些算法等。IPSec指定如何选择安全协议、确定安全算法和在对等方之间交换密钥，并提供访问控制、数据源身份验证和数据加密等网络安全服务。

在具体使用中，Linux实现中用于IPSec的软件是:frees/wanhttp://www.freeswan.org/。自由/广域网不支持加密信道通信的网络地址转换和IP地址伪装。

SSL VPN

IPSec VPN和SSL VPN是两种不同的VPN架构。IPSec VPN工作在网络层，在网络层提供所有的数据保护和透明的安全通信，而SSL VPN工作在应用层(基于HTTP协议)和TCP层之间。从整体安全级别来看，两者都可以提供安全的远程访问。而IPSec VPN技术是为了连接和保护可信网络中的数据流而设计的，因此更适合为不同网络提供通信安全，而SSL VPN更适合远程分布式移动用户的安全访问。

一般来说，SSL VPN的部署和实现都比后者便宜。IPSec VPN在设计上是一种基础设施安全技术。这些VPN的真正价值在于，它们试图提高IP环境的安全性。然而，问题是部署IPSec需要对远程访问的基础架构进行重大改造。好处是有的，但是管理成本高。IPSec安全协议方案需要大量的it技术支持，包括运营和长期维护。在大型企业中，通常有几个专门的员工通过IPSec安全协议为VPN远程访问提供服务。IPSec VPN最大的困难是客户端需要安装复杂的软件，当用户的VPN策略稍有变化，VPN的管理难度就会呈几何级数增长。相反，SSL VPN可以通过简单的SSL安全加密协议安全地访问网络中的信息，而不需要安装任何软件或硬件。SSL VPN避免了部署和管理必要的客户端软件的复杂性和人力需求；SSL在网络的易用性和安全性之间架起了一座桥梁。目前，社会保障低收入家庭网公认的好处是:

简单不需要配置，可以立即安装，立即生效。客户端不需要麻烦的安装，直接使用浏览器内嵌的SSL协议；

兼容性。传统的IPSec VPN对客户端采用的操作系统版本要求很高。不同的终端操作系统需要不同的客户端软件，而SSL VPN完全没有这样的麻烦。

所以SSL VPN强调的优势主要集中在VPN客户端的部署和管理上。我们知道SSL VPN一再强调不需要安装客户端，主要是因为浏览器内嵌了SSL协议，也就是说当业务基于B/S结构时，可以直接使用浏览器完成SSL VPN的建立。

OpenVPN是基于OpenSSL库的应用层VPN实现。OpenVPN的优势是支持很多常见的应用系统。当前版本支持Linux。Windows2000/XPandhigher.OpenBSD.FreeBSD.NetBSD.MacOSX.和极化.支持多种客户端连接模式。OpenVPN可以通过GUI方便操作，OSIlayer2或3使用标准的SSL/TLS协议。它可以通过证书或智能卡进行认证。加密强度高，不易在传输路径上被劫持破解。OpenVPN的缺点是使用SSL应用层加密，传输效率低于IPSec传输VPN软件。