IPsec VPN vs. SSL VPN

IPsec 確保站對站間通道；SSL提供良好便利性

早期想要建立企業內部網路與外界聯繫的安全通道時，僅僅只有IPsecVPN一種選擇，但是由於各家設備與連線規範的不同，往往造成相當高的封閉性，要連接到不同設備時，就需要使用不同的連線軟體，既麻煩又容易造成設定上的困擾，雖然IPsec VPN可以提供良好的安全性，卻相當的不便。

當SSL VPN逐漸成為成熟的技術之後，許多人便開始探討SSL VPN是否能夠完全取代IPsec VPN成為企業新的安全連線方式。雖然在大多數日常使用中，透過SSL VPN的確能夠獲得比IPsec VPN更好的機動性與使用彈性，但是對於整體企業應用來說，IPsec VPN依然有其無法取代的優勢，我們能從以下4種比較項目中得知一二：適用區域、支援功能、安全政策控管、客戶端便利性。Site-to-Site vs.Server-to-Client

隨著企業規模不斷的擴張，必須另行延伸據點，但是僅依賴著網際網路傳遞資訊，傳輸時便利性與安全性也隨著降低，並且有許多內部專用應用服務也無法使用，因此企業需要連接兩個以上的據點時，就利用專線連接的方式，由實體線路層連接兩端，具有絕佳的安全性，可以有效避免外界的入侵，但是卻無法提供個別的網際網路連線，以獲得較好的資訊傳遞功能。

使用專線雖然具有高度的安全保障且快速，但是所需要的建置成本及維護費用相當的高，除了需要高度安全連線的機構，如金融事業、軍警系統等，目前幾乎已經無人使用了。

由於IP網路的發展，目前的作法都是使用網際網路連線搭配IPsec VPN閘道器，透過兩臺設備建立起兩端間的安全通道。平常使用時可以直接存取網際網路上的資源，可以降低網路連線的負荷；而在需要安全通道時，則可以藉由路由設定經過IPsec VPN閘道器與另一端連接，避免外界入侵。因此，透過兩臺IPsec VPN設備的協助，就可以讓兩端間的資訊封包自由的傳遞而不必擔心受到網際網路上駭客的竊聽與破壞，有效保全企業內部間的重要資訊傳遞。

以用戶端連線來說，IPsec VPN雖然是透過網際網路連線，但是專用連線軟體可以模擬出一張虛擬網路卡，並且藉著L2TP、PPTP等協定建立基於數據鏈結層上的網路連線，並且透過遠端的設備配發一組IP位址，藉著這組IP位址與另一端的內部網路連線。雖然在網路拓樸中沒有使用實體線路連接，但透過虛擬實體層的方式，在需要存取另一端網路上的共享資源時，就如同存取本地端內部網路一樣簡單。

而SSL VPN與IPsec VPN的服務區域則不盡相同。用戶端使用瀏覽器與SSL VPN連線，透過HTTPS協定建立出兩端間的安全連線通道，因此SSL VPN設備中就必須具有Web伺服器的功能，與用戶端之間的關係則為Server-to-Client的連線關係，能夠有效支援一對多的模式，但是在多對多的狀況下支援度較差，較不適用於Site-to-Site的環境。雖然有部分設備可以透過類似IPsec VPN的建置方式建置Site-to-Site的環境，但使用上有其先天限制，在傳輸效能表現上較差。

對用戶端來說，使用IPsec VPN連線時，必須要使用專用的連線軟體或是撥號程式，設定上較為複雜，並且在不同的連線環境中，往往會出現無法連線或不穩定的狀況，特別是使用撥接網路的行動用戶。使用SSL VPN連線時，行動用戶端僅需要透過可支援SSL加密協定的瀏覽器，就可以存取內部網路上的資源及程式，可以有效突破防火牆、NAT甚至是Proxy Cache等網路安全設備的連線限制，並且能夠支援如PDA、GPRS手機、kiosk、甚至是公用電腦等多種設備，使用上相當具有彈性，只要有網際網路連線的環境，行動使用者不需搭配專用軟硬體，也可以安全的連回企業內部網路。全方位支援 vs. IP網路為主

IPsec VPN透過鏈結層的連線方式溝通兩端，能夠有效支援不同類型的多種網路架構，不論是常用的TCP/IP網路，或是如Novell Netware等非TCP/IP網路架構，只要是內部網路上可供分享使用的應用程式，透過IPsec VPN之後也可以讓身處外部網路的用戶使用，能夠提供全方位的應用程式支援，不會有位置及相容性的問題，也不用擔心會有設定上錯誤的狀況，只要IPsec VPN能夠穩定執行，就可以正常運作。

兩種VPN產品能夠支援的應用程式具有相當明顯的差異。對SSL VPN來說，主要支援的應用服務是以HTTPS，也就是Web類的應用程式為主，對企業使用來說雖然略有不足，但對於行動使用者經常使用的功能來說已經足夠。不過隨著企業e化程度的提升，許多企業內部都有建置CRM、ERP等管理系統，目前在大多數的系統中，都會使用網站或是部分功能網頁的方式提供服務，使用SSL VPN時也可以很容易的支援這些系統，而不至於造成使用上的困擾。

SSL VPN雖然使用方便，但是依然有其盲點存在。對於其他可支援SSL的協定、資料庫存取、終端機伺服器等多種非Web類應用程式，就沒有辦法直接支援，而必須透過轉接器將這些封包轉換或封裝成HTTPS封包，才能透過SSL VPN建立起的安全通道傳輸。

這些轉接器大多是使用Java或ActiveX語言編寫而成，用戶端電腦需要從SSL VPN的網頁下載相關的Jave Applet才能建立起安全通道，這個步驟是自動的，使用者不需要作任何的設定，相關的設定值是在管理者選擇分享相關資源時，於SSL VPN設備上就先行設定應用程式所需的一切資訊。對使用者來說，就跟登入一般網站一樣容易。

不過以目前的應用服務來說，SSL VPN的適用範圍都有一定限制，能夠支援的應用程式必須透過IP網路傳遞，並且必須採用固定的網路服務埠，如果採用的是動態服務埠，就無法提供服務，對於服務的支援度較差。不過有部分廠商已經開始著手將SSL VPN的連線通道往下延伸到鏈結層，結合IPsec VPN的優點，藉以提供較好的服務支援與連線通透性。自由存取 vs. 權限控管

根據前述的連線方式與應用程式支援的項目，我們可以很明顯地發現IPsec VPN在用戶端連線之後，就能夠提供使用者自由存取內部網路上所有共享資源的權力。除了原先內部網路所設定的政策控管之外，並沒有辦法根據用戶端電腦位於內部或外部而給予不同的權限。對於IPsec VPN來說，所有的客戶端網路，不論內部或外部都是受到信任的，如果使用者無意間讓受到感染的電腦透過IPsec VPN連接到內部網路上的話，只要沒有作好內部網路的安全防護，就會造成病毒肆虐的危險。

相對於IPsec VPN，SSL VPN的預設概念就是所有用戶端電腦不受企業安全政策管理，因此不該受到信任，因此SSL VPN的權限控管並非完全繼承企業內部網路中所設定的權限。雖然可以支援SSO（Single Sign-On）功能，但還是必須由SSL VPN另外依據使用者帳號或群組，賦予連線者特殊的權限，藉以控制能夠使用的應用程式與服務，避免遠端使用者無意中讀取僅供內部網路使用的資源或危害到內部網路安全。群組越大則使用IPsec VPN，距離越遠則使用SSL VPN

根據IPsec與SSL VPN各自具備的優勢與缺點，其實我們不難看出兩種VPN類型所適用的條件。在Site-to-Site需要同時支援多臺電腦及伺服器彼此連線，且地點固定的企業環境中，使用IPsec VPN可以得到相當良好的管理及安全保障機制，除了可以確保固定兩端的安全通道之外，透過企業安全政策也能夠保證所有用戶端電腦傳遞的資訊是安全無虞的。

而SSL VPN則具備著高度的使用彈性，不論距離再遠、使用非自有電腦或是其他連線裝置，只要能夠讀取網頁，就算是PDA、GPRS手機都可以很順利的讀取到內部網路開放的資源，可以隨時隨地取得想要的資料，達到良好的便利性。文⊙羅健豪