IPsec VPN 与 SSL VPN

IPsec 和 SSL/TLS 在 OSI 模型的不同层运作,但两者都可用于 VPN。了解它们每一个的优缺点。

学习目标

阅读本文后,您将能够:

  • 了解 IPsec 和 SSL/TLS 之间的区别
  • 比较使用这些协议的 VPN
  • 了解 VPN 如何用于访问控制

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是 IPsec?

IPsec 可帮助在通过公共网络传输私有数据时确保其安全。更具体地说,IPsec 是一组协议,它们一起用于在 OSI 模型的第 3 层(网络层)的设备之间建立安全连接。IPsec 采用一个称为加密的过程加扰所有消息,以便只有授权方才能理解它们,从而实现上述目标。IPsec 常用于设置虚拟专用网络 (VPN)

VPN 是一种互联网安全服务,允许用户像他们连接到专用网络一样访问互联网。VPN 加密互联网通信并提供高度匿名性。VPN 通常用于允许远程员工安全地访问公司数据。同时,个人用户可能会选择使用 VPN 来保护他们的隐私。

什么是 SSL/TLS?

安全套接字层 (SSL) 是一种用于加密 HTTP 流量(例如用户设备和 Web 服务器之间的连接)的协议。使用 SSL 加密的网站在其 URL 中使用 https://,而不是 http://。SSL 在几年前被 Transport Layer Security (TLS) 所取代,但“SSL”这一术语仍被普遍用于指代该协议。

除了在 Web 浏览中加密客户端-服务器通信之外,SSL 还可以用于 VPN。

IPsec VPN 与 SSL VPN:有何区别?

OSI 模型层

SSL 和 IPsec 之间的主要区别之一是各自属于 OSI 模型的哪一层。OSI 模型是一种抽象表示,将使互联网工作的进程细分为“层”。

IPsec 协议套件在 OSI 模型的网络层运作。它直接在 IP(互联网协议)的上方运行,后者负责路由数据包。

同时,SSL 在 OSI 模型的应用程序层运作。它对 HTTP 流量进行加密,而不是直接对 IP 数据包进行加密。

实施

IPsec VPN 通常需要在将使用 VPN 的所有用户电脑上安装 VPN 软件。用户必须登录并运行该软件,才能连接到网络并访问其应用程序和数据。

相比之下,所有 Web 浏览器都已支持 SSL(而大多数设备并未自动配置为支持 IPsec VPN)。用户可以通过他们的浏览器而不是通过专用的 VPN 软件应用程序连接到 SSL VPN,而无需 IT 团队提供太多额外的支持。(但是,这意味着非浏览器的互联网活动不受 VPN 保护。)

访问控制

访问控制是一个安全术语,指用于限制用户访问信息、工具和软件的政策。正确实施访问控制可以确保只有适当的人能够访问敏感的内部数据以及查看和编辑这些数据的软件应用程序。VPN 通常用于访问控制,因为 VPN 外的人不能看到 VPN 内的数据。

许多大型组织需要设置不同级别的访问控制——例如,使个人贡献者不具备与高管相同级别的访问权限。使用 IPsec VPN,连接到网络的所有用户都是该网络的正式成员。他们可以看到 VPN 中包含的所有数据。因此,使用 IPsec VPN 的组织需要设置和配置多个 VPN 以允许不同级别的访问。有些用户可能需要登录多个 VPN 才能执行他们的工作。

相比之下,SSL VPN 更容易针对个性化的访问控制进行配置。IT 团队可以根据不同的应用程序授予用户访问权。

内部部署与云应用程序

传统的本地应用程序在组织的内部基础设施中运行,例如现场数据中心。IPsec VPN 通常最适合与这些应用程序搭配使用,因为用户通过内部网络而不是公共互联网访问它们,并且 IPsec 在网络层运作。

基于云的应用程序(也称为 SaaS(软件即服务)应用程序)通过公共互联网访问,并远程托管在中。SSL VPN 可以轻松与基于云的应用程序集成,但需要额外的配置才能与内部应用程序协同工作。

Cloudflare 用于访问控制的 VPN 替代方案是什么?

Cloudflare Access 使企业能够在不使用 VPN 的情况下控制和保护对内部应用程序的访问。Cloudflare Access 将应用程序置于 Cloudflare 的全球网络后方,帮助内部和云应用程序保持安全。