VPN（虛擬專用網）技術可以擴展企業(yè)的內部網絡，允許企業(yè)的員工、客戶以及合作伙伴利用Internet訪問企業(yè)網，而成本遠遠低于傳統(tǒng)的專線接入。IPSec VPN和SSL VPN是兩種不同的技術手段，可以實現(xiàn)大量數(shù)據(jù)的遠程訪問，為人們提供了一種低運行成本、高生產效率的遠程訪問方式，根據(jù)企業(yè)不同特點，選擇不同的VPN技術，用好VPN，將為企業(yè)的通信效率、業(yè)務運轉帶來很大提升。

VPN主要應用于虛擬連接網絡，它可以確保數(shù)據(jù)的機密性并且具有一定的訪問控制功能，可以擴展企業(yè)的內部網絡，使在外工作的員工或合作伙伴通過因特網訪問他們的內部網絡。VPN技術中包括許多加密和安全協(xié)議，IPSec VPN與SSL VPN是在兩種不同的安全協(xié)議下實現(xiàn)VPN通信的解決方案。

遠程分支機構用什么？

IPSec（Internet Protocol Security），即因特網安全協(xié)議，是VPN的基本加密協(xié)議，它為數(shù)據(jù)在公用網絡的網絡層進行傳輸時提供安全保障。通信雙方為建立IPSec通道，采用一定方式建立通信連接。因為IPSec協(xié)議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，這包括加密運算法則和身份驗證方法類型等。

在IPSec協(xié)議中，一旦IPSec通道建立，所有在網絡層之上的協(xié)議的通信雙方都經過加密，如TCP、UDP 、SNMP、HTTP、POP等，而不管這些通道構建時所采用的安全和加密方法。IPSec VPN是工作在網絡層的，提供所有在網絡層上的數(shù)據(jù)保護和透明的安全通信，是被設計用于連接和保護在信任網絡中的數(shù)據(jù)流，因此更適合為不同的網絡提供通信安全保障，該技術被越來越多的企業(yè)用來連接遠程分支機構。

分散用戶的VPN

SSL（Secure Sockets Layer），即安全套接協(xié)議層，它是一種基于Web應用的安全協(xié)議,在Http、FTP、Telnet等應用協(xié)議和TCP/IP協(xié)議之間提供一種數(shù)據(jù)安全分層機制.該協(xié)議支持多種認證機制，如數(shù)字證書、智能卡、令牌等。SSL協(xié)議只對通信雙方所使用的應用通道進行加密，并不會對通信雙方的整個通道進行加密。結合了SSL 協(xié)議的VPN技術更適用于遠程分散用戶的安全接入。

SSL VPN相對于IPSec VPN,具有以下優(yōu)點:

1. 支持維護簡單

基于SSL協(xié)議的遠程訪問不需要安裝客戶端，通過標準的Web瀏覽器就可以訪問企業(yè)內部的網絡資源;而IPSec VPN需要在遠程終端安裝客戶端軟件，以建立安全隧道。

2. 安全性能高

IPSec VPN通過在兩站點間創(chuàng)建安全隧道提供直接接入，實現(xiàn)對整個網絡的透明訪問; 一旦隧道創(chuàng)建，用戶終端就如同物理地處于企業(yè)內部局域網中，接入用戶權限過大時會帶來很多安全風險。所有運行在內部網絡的數(shù)據(jù)是透明的，包括任何密碼和在傳輸中的敏感數(shù)據(jù)。SSL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內部網絡還是在因特網上數(shù)據(jù)都不是透明的?？蛻魧Y源的每一次操作都需要經過安全的身份驗證和加密。

3. 細粒度訪問控制

SSL VPN能夠對應用層加密隧道進行細分，可以在控制接入、用戶授權、安全策略等方面細化，可以控制終端用戶對內部企業(yè)重要資源的訪問。而IPSec VPN無法做到這樣細粒度的訪問控制。

但是，SSL VPN技術只支持基于Web方式的應用，不能像IPSec VPN那樣幾乎可以支持所有的應用; 由于SSL VPN是對應用通道進行加密，對系統(tǒng)性能有較大的影響; 此外，SSL VPN適用于點到點的通信，對大量分散在外地的個人提供了便利的訪問企業(yè)內網資源的手段，無法完成分支機構或駐外單位網絡到企業(yè)網絡的安全連接，那樣的連接只能考慮采用IPSec VPN。

伴隨企業(yè)信息化程度的加深，遠程安全訪問、協(xié)同工作的需求會日益明顯，SSL VPN和IPSec VPN已經成為企業(yè)用戶遠程安全接入的主要方式，為企業(yè)提供了安全的遠程接入平臺。

【編輯推薦】

1. VPN遠程訪問安全控制 煙草專賣局應用案例
2. 直擊故障現(xiàn)場：頑固的VPN訪問故障