IPSec VPN占据主流

　　从目前的发展情况来看，IPSec VPN和SSL VPN势头较好。事实上，企业在采购和使用过程中，基于上述两种隧道协议的产品也是应用较多的。

　　从体系结构上分析，IPSec VPN通过选择特定的安全协议，在IP层提供安全服务，同时协议会确定服务所用的算法，为提供所需的业务增加加密密钥。IPSec能够在一对主机、一对安全网关或主机和安全网关之间保护一条或多条隧道。

　　本质上IPSec是为提供两个设备间的安全IP 通路而指定的一系列协议。因此王景辉的看法是，IPSec VPN是基于设备的，而不是基于网络的，企业用户无须对路由器进行额外的配置。IPSec VPN可以在主机或站点之间通过安全网关实现。

　　IPSec提供了两种不同的模式来传输加密数据:传输模式和隧道模式。一般传输模式只用于两台主机之间的安全通信。

　　相对而言，杨燕群认为隧道模式更适合企业使用。因为隧道模式用在网关到网关的会话或主机到网关的会话之中。它为会话提供唯一的加密通道，为整个IP包提供保护。IPSec整个协议在IP层上实现，上层应用可不必进行任何修改，并且由于IPSec在实现安全策略上的灵活性，使得对安全网络系统的管理变得简便灵活。然而，如果要一个大的点对点的企业网远程接入VPN，则其中的主机都必须被单独配置，这对企业应用VPN带来了巨大的压力，并且VPN的配置是相当复杂的，牵一发而动全身，小的失误也可能带来严重的后果。

　　企业用户需要注意的是，IPSec的安全性更多体现在原理本身。换句话说，相对于加密技术，攻击者可能更热衷于在用户和用户之间的VPN两端建立站点。另外，如何杜绝病毒在IPSec VPN内部跨网传播始终是一个挥之不去的问题。对此侠诺科技公司的技术总监张桢岩表示，IPSec接通的局域网就像是不同局域网一样，因此病毒的确有可能通过广播传送到跨网上。若要杜绝此类问题，只能有赖于防毒机制的设计了。

　　SSL VPN正值壮年

　　相对而言，SSL是对计算机之间整个会话进行加密的协议。SSL VPN采用当前广泛使用的工业级安全套接层协议SSL，无须安装客户端软件，授权用户能够从任何标准的Web浏览器和互联网连接安全地接入网络资源，包括PC、笔记本电脑和移动设备，从而安全可靠地获取信息。王景辉表示，由于安全与历史的原因，SSL在Internet上广泛用于处理ERP等较为敏感的信息。

　　在SSL中，采用了公开密钥和专有密钥两种加密模式。在建立连接过程中采用公开密钥，在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。通常服务器来完成对客户机的身份验证。

　　在每个SSL会话中，会要求服务器完成一次使用服务器专用密钥的操作和一次使用客户机公开密钥的操作。由于大部分系统都使用RSA加密法，每次操作都需要完成模数算法下的指数运算。通常选择的公开指数为小数，以减少要做的工作。因此，一次SSL会话只要一次加密运算即可。

　　对企业来说，将SSL技术与标准的VPN结合起来，可以让企业员工或者外部合作伙伴使用浏览器访问支持Web的数据。杨燕群指出，企业将SSL VPN作为一种服务对外提供，既不需要在服务器上安装SSL安全装置，也不用买SSL软件。 因此，企业可以利用SSL VPN降低成本，特别是其大规模部署很便宜。

　　一般来说，SSL VPN的使用者基本上不需要IT部门过多地支持，只要从其PC机上的浏览器向公司内网注册即可。而SSL连接本身也较IPSec更加稳定，不容易中断。

　　另外，张桢岩也认为，SSL VPN可依不同软件应用，帮助企业用户进行权限控管，因此只要配置适宜，企业内网的资源是可以得到更高程度的保护的。特别是目前的SSL VPN大多支持多重身份认证技术。对于用户而言，一种方式是只要单一身份签入，即可访问内部不同资源，VPN服务器可以负责解决权限的问题;另一种方式是不同资源必须要有不同身份认证，企业网管有很大的空间可以调适。这两种情况都会发生，以适应不同的用户需要。对于企业而言，SSL VPN先天具有的弹性，的确安全方便。

QQread.com 推出各大专业服务器评测 Linux服务器的安全性能 SUN服务器 HP服务器 DELL服务器 IBM服务器 联想服务器 浪潮服务器 曙光服务器 同方服务器 华硕服务器 宝德服务器

结构篇——IPSec对比SSL

　　作为目前最主流的两种VPN协议，IPSec与SSL的争论久矣，各自优劣与企业的需求相关联，用户不得不注意。

　　IPSec VPN占据主流

　　从目前的发展情况来看，IPSec VPN和SSL VPN势头较好。事实上，企业在采购和使用过程中，基于上述两种隧道协议的产品也是应用较多的。