我國的接入網(wǎng)技術(shù)也是很先進(jìn)的，于是我研究了一下比較常見的兩種接入網(wǎng)技術(shù)IPSec VPN和SSL VPN，并且做了綜合的比較，在這里拿出來和大家分享一下，希望對大家有用。 

VPN該選哪種好 IPSec VPN還是SSL VPN

SSL VPN與IPSec VPN是目前流行的兩類Internet遠(yuǎn)程安全接入網(wǎng)技術(shù)，它們具有類似功能特性，但也存在很大不同。SSL的“零客戶端”解決方案被認(rèn)為是實(shí)現(xiàn)遠(yuǎn)程接入網(wǎng)技術(shù)的最大優(yōu)勢，這對缺乏維護(hù)大型IPSec配置資源的用戶來說的確如此。但SSL方案也有不足， 它僅支持以代理方式訪問基于Web或特定的客戶端/服務(wù)器的應(yīng)用。由服務(wù)器直接操縱的應(yīng)用，如Net Meeting以及一些客戶書寫的應(yīng)用程序，將無法進(jìn)行訪問。

IPSec方案安全級別高

基于Internet實(shí)現(xiàn)多專用網(wǎng)安全連接，IPSec VPN是比較理想的方案。IPSec工作于網(wǎng)絡(luò)層，對終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，而不管是哪類網(wǎng)絡(luò)應(yīng)用。它在事實(shí)上將遠(yuǎn)程客戶端“置于”企業(yè)內(nèi)部網(wǎng)，使遠(yuǎn)程客戶端擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。IPSec VPN要求在遠(yuǎn)程接入網(wǎng)技術(shù)客戶端適當(dāng)安裝和配置IPSec客戶端軟件和接入網(wǎng)技術(shù)設(shè)備，這大大提高了安全級別，因?yàn)樵L問受到特定的接入設(shè)備、軟件客戶端、用戶認(rèn)證機(jī)制和預(yù)定義安全規(guī)則的限制。

IPSec VPN還能減輕網(wǎng)管負(fù)擔(dān)。如今一些IPSec客戶端軟件能實(shí)現(xiàn)自動(dòng)安裝，不需要用戶參與。VPN服務(wù)器能夠?yàn)榻K端用戶接入設(shè)備自動(dòng)安裝和配置客戶端軟件包，因而無論對網(wǎng)管還是終端用戶，安裝過程都大為簡化。

IPSec VPN應(yīng)用優(yōu)勢

SSL用戶僅限于運(yùn)用Web瀏覽器接入，這對新型基于Web的商務(wù)應(yīng)用軟件比較合適，但它限制了非Web應(yīng)用訪問，使得一些文件操作功能難于實(shí)現(xiàn)，如文件共享、預(yù)定文件備份和自動(dòng)文件傳輸。用戶可以通過升級、增加補(bǔ)丁、安裝SSL網(wǎng)關(guān)或其它辦法來支持非Web應(yīng)用，但實(shí)現(xiàn)成本高且復(fù)雜，難以實(shí)現(xiàn)。IPSec VPN能順利實(shí)現(xiàn)企業(yè)網(wǎng)資源訪問，用戶不一定要采用Web接入網(wǎng)技術(shù)（可以是非Web方式），這對同時(shí)需要以兩種方式進(jìn)行自動(dòng)通信的應(yīng)用程序來說是最好的方案。

IPSec方案能實(shí)現(xiàn)網(wǎng)絡(luò)層連接，任何LAN應(yīng)用都能通過IPSec隧道進(jìn)行訪問，因而在用戶僅需要網(wǎng)絡(luò)層接入時(shí)，IPSec是理想方案。如今有的機(jī)構(gòu)同時(shí)采用IPSec和SSL遠(yuǎn)程接入網(wǎng)技術(shù)方案，IT主管利用IPSec VPN實(shí)現(xiàn)網(wǎng)絡(luò)層接入，進(jìn)行網(wǎng)絡(luò)管理，其他人員要訪問的資源有限，一般也就是電子郵件、傳真，以及接入網(wǎng)技術(shù)公司內(nèi)部網(wǎng)（Web瀏覽），因而采用SSL方案。這正是充分利用了IPSec的網(wǎng)絡(luò)層接入功能。

IPSec VPN與SSL VPN優(yōu)劣比較

IPSec VPN和SSL VPN各有優(yōu)缺點(diǎn)。IPSec VPN提供完整的網(wǎng)絡(luò)層連接功能，因而是實(shí)現(xiàn)多專用網(wǎng)安全連接的最佳選項(xiàng)；而SSL VPN的“零客戶端”架構(gòu)特別適合于遠(yuǎn)程用戶連接，用戶可通過任何Web瀏覽器訪問企業(yè)網(wǎng)Web應(yīng)用。SSL VPN存在一定安全風(fēng)險(xiǎn)，因?yàn)橛脩艨蛇\(yùn)用公眾Internet站點(diǎn)接入；IPSec VPN需要軟件客戶端支撐，不支持公共Internet站點(diǎn)接入網(wǎng)技術(shù)，但能實(shí)現(xiàn)Web或非Web類企業(yè)應(yīng)用訪問。

Meta Group認(rèn)為，不能簡單地給IPSec與SSL方案的優(yōu)劣下定論�？蛻粼陉P(guān)注應(yīng)用方案本身的同時(shí)，還應(yīng)考慮遠(yuǎn)程機(jī)器外圍設(shè)備的安全性，如是否配置有個(gè)人防火墻和反病毒防護(hù)系統(tǒng)。IT主管需要綜合評估商務(wù)應(yīng)用需求，以決定采納哪類VPN策略。