安全套接字层(Secure Sockets Layer)远程访问设备在一些业务中正在胜过IPSec,因为使用基于浏览器的SSL技术可以节省成本、简化管理并更容易与合作伙伴建立连接。
安全套接字层远程访问设备正在胜出IPSec因为使用基于浏览器的SSL技术可以节省成本、简化管理和更容易与合作伙伴建立连接。
位于新泽西州霍博肯(Hoboken)的全国性股票交易公司Assent的网络主管潘卡吉?钱德霍克(Pankaj Chandhok)说,该公司失去了潜在的业务,因为它通过IPSec vpn将客户连接到Assent的服务器上。Chandhok说,许多潜在客户的安全策略禁止通过防火墙进行第三层访问,这是IPSec的一个要求。
SSL技术在第7层运行,这使得限制远程用户可以连接的资源变得更简单,因此更容易阻止远程用户访问敏感材料。Chandhok表示,大多数禁止IPSec通信的公司都接受SSL,这促使Assent采用北电SSL设备,逐步淘汰IPSec,以此扩大客户基础。
Assent是越来越多更喜欢SSL而不是IPSec的公司之一。根据Frost & Sullivan的一项研究,去年IPSec远程接入设备的全球营收为20亿美元。SSL vpn的收入为8970万美元,不到IPSec收入的5%。但该公司表示,预计到2008年,SSL设备的收入将增长到IPSec收入的25%。
这种增长是值得注意的,因为SSL设备只有一个功能:远程访问。Frost & Sullivan公司的分析师詹森·赖特(Jason Wright)表示,用于远程访问的IPSec设备几乎总是包括防火墙,还可以包括入侵检测、病毒和内容扫描、网络过滤和其他安全应用程序。客户可能有很多理由购买IPSec设备,但只有一个理由购买SSL。
虽然许多购买SSL的公司已经有了IPSec,但他们发现SSL满足了他们的大多数需求。在欧洲,价值465亿美元的能源公司意昂(E.On)正迅速从IPSec转向SSL,该公司应用开发主管加里·库珀(Gary Cooper)说。
E. On已经使用IPSec设备三年了,但是去年增加了SSL, Cooper说。目前大约有600个用户使用SSL, 1000个用户使用IPSec,也就是说只有通过SSL可以使用电子邮件,这是大多数用户远程访问的唯一需求。他预计,随着公司启用思杰的Whale Communications SSL设备,天平将急剧向SSL倾斜。
Cooper说:“我们仍然不清楚谁需要SSL,谁需要IPSec。”
SSL的一个缺点是不使用Java或Active X下载,它只支持Web应用程序或定制的应用程序(有人说是Web化的),以便通过浏览器访问。不是所有的SSL供应商都支持所有的应用程序,所以客户应该检查他们需要的支持。一个供应商对特定应用程序的支持可能比另一个供应商的更完整。库珀说,Whale gear有一个支持Citrix的下载包,意昂一直在测试,以确保它支持的应用程序足够好,可以投入生产。
IPSec没有这样的问题。通过IPSec隧道连接使远程机器成为公司网络的一个节点,使用户获得与计算机直接连接到局域网时相同的访问权限。尽管SSL并不将远程机器视为公司节点,即使没有Java或Active X代理,但在许多情况下,它允许访问足够多的应用程序,以满足大量用户的需求。
国际律师事务所亨通威廉姆斯(Hunton & Williams)的高级技术分析师纳尔逊(Pete Nelson)说,该事务所将SSL作为其800名旅行律师的默认远程访问方式,尽管他们所有的笔记本电脑都配备了IPSec客户端。Hunton & Williams在其笔记本电脑上安装了可选的av限定客户端软件,当用户试图访问该公司网络中的资源时,该软件可以自动与公司网站建立连接。
用户不必手动启动会话,只要在提示时登录即可。尼尔森说,这减少了求助电话的数量。
他说:“律师使用这些工具的时候,事情必须非常简单。”使用av限定SSL设备,律师可以从客户网站、酒店和其他不受律师事务所控制的地点的防火墙后访问他们需要的所有资源——文件、电子邮件、公司信息。
SSL不受网络地址转换问题的影响,当IPSec设备试图通过防火墙建立隧道(将私有IP地址更改为公共IP地址)时,网络地址转换问题就会困扰IPSec设备。SSL流量通过防火墙TCP Port 443,该端口几乎总是开放的,因此不需要特殊的防火墙配置,就像使用IPSec一样。
Wright说,虽然这两种技术有相似之处,但在很多情况下,不同之处给SSL带来了优势。IPSec和SSL通过Internet将远程用户通过安全的IP隧道连接到企业网络。
IPSec需要在远端pc上安装客户端软件,建立到公司防火墙后的IPSec网关的隧道。另一方面,SSL将Web浏览器中的SSL支持用作远程客户机。不需要维护远程访问客户端,因此可以降低管理成本。
无处不在的浏览器也让用户可以灵活地使用任何与internet连接的PC和浏览器作为远程机器,而不是像IPSec那样需要公司管理的机器。
库珀说,许多E.On的远程用户从自己的电脑上通过SSL进入公司电子邮件。他表示:“如果个人电脑坏了,公司没有责任去解决任何问题。”“这是为了节约成本——我们避免购买只用于收发电子邮件的笔记本电脑。”
这种远程机器的广泛选择有一个缺点。下载到不安全的计算机上的资料,例如在因特网kiosk上的计算机,可以供以后的用户使用。许多SSL远程访问供应商都添加了清除下载文件和密码记录的功能,但这些功能的完整性可能有所不同。一些厂商正在添加一个虚拟桌面或沙箱,在其中进行安全的SSL会话,当会话结束时,虚拟桌面将被清除。
不安全的机器也可能藏有恶意代码,这些代码可能会被传递到企业网络中,因此许多SSL供应商提供软件,评估远程机器的杀毒软件和操作系统是否打了适当的补丁。如果机器出现故障,用户可以被拒绝访问或允许进行低级访问,以防止机器传播感染。并非所有的SSL供应商都提供此选项。
SSL进入一些公司的一个原因是它更容易添加用户。Wright说:“IPSec vpn的部署是有限的,因为它是一个棘手的问题。”“SSL因为其简单性,可以推广到更多的人。让更多的人使用它更容易。”
话虽如此,许多企业仍然需要IPSec。尼尔森说,一个大客户要求亨通威廉姆斯的律师使用IPSec连接其网络。IDC分析师史蒂夫•哈里斯(Steve Harris)表示,也许是因为SSL比较年轻,一些用户认为它不安全。“我们问他们是否知道它为什么不安全,他们说不知道,”他在谈到他调查的企业用户时说。
“我们的It安全人员只是觉得IPSec更安全。他们更喜欢在安全的笔记本电脑和加密磁盘上使用IPSec,而不是在不安全的PC上使用。
然而,安装、管理和维护IPSec客户端以及配置VPN路由对很多IT部门来说都是一个负担。因此,对于不需要完全网络访问的用户,公司将更多地依赖SSL,而公司总是会有需要这种访问方式的高级用户,哈里斯说。
“SSL将会增长,”哈里斯说,“但我丝毫不相信IPSec会消亡。”