一文道盡SSL VPN 和 IPSEC VPN 的區(qū)別

今天浩道跟大家分享網(wǎng)絡(luò)通信中的硬核干貨知識(shí)，SSL VPN 和 IPSEC VPN 的區(qū)別！

IPSEC VPN 和SSL VPN是目前遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的兩種主要vpn隧道加密技術(shù)。那么二者有什么區(qū)別，企業(yè)如何根據(jù)自己的業(yè)務(wù)場(chǎng)景來(lái)選擇使用哪種vpn呢？

封裝位置：

IPSEC和SSL是兩個(gè)不同的加密協(xié)議，都是可以對(duì)數(shù)據(jù)包進(jìn)行加密保護(hù)，防止中間的黑客劫持?jǐn)?shù)據(jù)。但是二者加密的位置卻不一樣。

IPSEC工作在網(wǎng)絡(luò)層，即把原始數(shù)據(jù)包網(wǎng)絡(luò)層及以上的內(nèi)容進(jìn)行封裝：

SSL VPN工作在傳輸層，封裝的是應(yīng)用信息

IPSEC和SSL對(duì)比

通過(guò)對(duì)比能看出來(lái)，ssl vpn能對(duì)應(yīng)用做到精細(xì)化管控，可以對(duì)具體的應(yīng)用做保護(hù)。但是ipsec 是封裝原始的整個(gè)數(shù)據(jù)包，所有的流量都會(huì)走隧道。

遠(yuǎn)程用戶接入方式：

遠(yuǎn)程用戶接入公司內(nèi)部網(wǎng)絡(luò)用Ipsec 一般都需要單獨(dú)布置客戶端。但是ssl vpn用瀏覽器就可以，因?yàn)闉g覽器基本都內(nèi)置了ssl協(xié)議。

比如一般對(duì)于校園網(wǎng)的訪問用的都是登錄網(wǎng)頁(yè)然后輸入賬號(hào)密碼的方式，這種vpn登錄方式都是ssl vpn。

布置方式：

Ipsec 一般用于“網(wǎng)到網(wǎng)”的連接方式。比如分公司內(nèi)的主機(jī)和總公司內(nèi)的主機(jī)有通信需求，這時(shí)候可以用ipsec vpn在兩個(gè)公司之間建立隧道。把兩個(gè)站點(diǎn)的本地要通過(guò)vpn進(jìn)行互訪的網(wǎng)段進(jìn)行配置。那么13.13.13.1和2.2.2.1互訪的時(shí)候就會(huì)進(jìn)入vpn隧道。

Ssl vpn一般用于企業(yè)用戶遠(yuǎn)程辦公的場(chǎng)景比較多，即“移動(dòng)用戶-網(wǎng)”的連接。企業(yè)總部一般會(huì)布置oa系統(tǒng)，郵件系統(tǒng)等。員工在家辦公或者其他分支機(jī)構(gòu)的員工訪問總部的這些應(yīng)用系統(tǒng)的時(shí)候，可以使用ssl vpn進(jìn)行布置。

因此對(duì)于兩個(gè)機(jī)構(gòu)之間形成一個(gè)局域網(wǎng)進(jìn)行通信，只能用ipsec。但是隨著站點(diǎn)的增加，運(yùn)維壓力和布置成本也會(huì)相應(yīng)上升。

而遠(yuǎn)程辦公或遠(yuǎn)程接入的情景，用戶不用裝客戶端，隨便找個(gè)有瀏覽器能上網(wǎng)的電腦就可以接入公司，接入方式更靈活，辦公更高效。這種情況用ssl vpn更好。

審核編輯 ：李倩