一般来说IPSec使用加密算法有以下几种:DES(Data Encryption Standard),使用56bit的密钥对一个64bit的明文块进行加密;3DES(Triple Data Encryption Standard),使用三个56bit的DES密钥(共168bit密钥)对明文进行加密;AES(Advanced Encryption Standard),使用AES密钥对明文进行加密。密钥的长度分为128bit、192bit、256bit。
2.2 SSL vpn中的加密算法
SSLV2协议和SSLV3协议支持的加密算法包括RC4、RC2、IDEA和DES,而加密算法所用的密钥由消息散列函数MD5产生。
3 身份验证
SSL VPN提供单/双向/数字证书。在建立SSL连接之前,客户端和服务器之间需要进行身份认证,认证采用数字证书,可以是客户端对服务器的认证,也可以是双方进行双向认证。而IPSec VPN只提供双向数字证书身份认证。
4 安装
使用IPSec VPN,远程用户必须安装IPSec VPN客户端软件,并且在首次使用IPSec VPN之前,在客户端和服务器端都要手动配置一些比较复杂的网络参数和策略。而SSL VPN无需安装任何客户端软件,也无需进行任何手动配置,因为它是基于web浏览器加密的。如常见的IE、火狐、谷歌等浏览器都可以。用户只要给出用户名、密码和SSL网关的URL,即可实现与远程服务器的无逢连接。
5 数据安全
IPSEC VPN使用消息鉴别机制实现数据源认证服务.它的安全协议的特点是只需要在客户和网络资源边缘处建立通道。SSL的安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全.无论在内部网络还是在因特网上数据都不是透明的,即IPSEC VPN提供端到边缘的安全性,而SSL VPN提供端到端、用户到资源的安全性。另外,SSL VPN 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec VPN主要基于IP组对用户进行访问控制。
6 可访问性
IPSEC VPN只有已经定义好受控用户才能访问企业资源,适合于企业内部使用;而SSL VPN的用户可以实现在任何时间、任何地点访问企业资源,因此这种方式适用于企业的客户、合作伙伴、供应商访问企业资源。
7 费用
与IPSEC VPN客户端管理费用高的缺点对比,SSL VPN 通信基于标准TCP/UDP,不受NAT 限制,能够穿越防火墙,使用户在任何地方都能够通过SSL VPN 虚拟网关代理访问内网资源,使得远程安全接入更加灵活简单,大大降低了企业部署维护VPN 的费用。
