socks5 ×××与IPSec ×××、ssl ***特点比较
×××标准分为三类:IPSec ×××、SSL ××× 、Socks5 ×××
IPSec ×××国家标准制定单位:深圳奥联科技、华为、深信服、中兴、无锡江南信息安全工程技术中心。
SSL ×××国家标准制定单位:深圳市奥联科技有限公司、华为技术有限公司、深圳市深信服电子科技有限公司、无锡江南信息安全工程技术中心、成都卫士通信息产业股份有限公司等十余家单位。
socks5 ×××与IPSec ×××、ssl ***特点比较
首先让我们从SSL ×××和IPSec ×××个阵营出发做一个比较。
1 SSL ×××相对于IPSec ×××的优势
1.1 SSL ×××比IPSec ×××部署、管理成本低
首先我们先认识一下IPSEC存在的不足之处:
在设计上,IPSec ×××是一种基础设施性质的安全技术。这类×××的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的×××远程访问提供服务。
IPSec ×××最大的难点在于客户端需要安装复杂的软件,而且当用户的×××策略稍微有所改变时,×××的管理难度将呈几何级数增长。SSL ×××则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。
其次我们再看看SSL的优势特点:
从概念角度来说,SSL ×××即指采用SSL (Security Socket Layer)协议来实现远程接入的一种新型×××技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被内置于IE等浏览器中,使用SSL 协议进行认证和数据加密的SSL ×××就可以免于安装客户端。相对于传统的IPSEC ×××而言,SSL ×××具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的×××之间的差别就类似C/S构架和B/S构架的区别。
一般而言,SSL ×××必须满足最基本的两个要求:
1. 使用SSL 协议进行认证和加密;没有采用SSL 协议的×××产品自然不能称为SSL ×××,其安全性也需要进一步考证。
2. 直接使用浏览器完成操作,无需安装独立的客户端;即使使用了SSL 协议,但仍然需要分发和安装独立的×××客户端 (如Open ×××)不能称为SSL ×××,否则就失去了SSL ×××易于部署,免维护的优点了。
SSL ×××避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁,目前对SSL ×××公认的三大好处是:
第一来自于它的简单性,它不需要配置,可以立即安装、立即生效;
第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;
第三个好处是兼容性好,传统的IPSec ×××对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL ×××则完全没有这样的麻烦。
综合分析可见:
1. SSL ×××强调的优势其实主要集中在×××客户端的部署和管理上,我们知道SSL ×××一再强调无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的×××建立;
2. 某些SSL ×××厂商如F5有类似IPSec ×××的“网络访问”方式,可以解决传统的C/S应用程序的问题,用户用浏览器登录SSL ×××设备后,拨通网络访问资源即可获得一个虚拟IP,即可以访问按照安全策略允许访问的内网地址和端口,和IPSec ×××不同的是,这种方式并非工作在网络层,所以不会有接入地点的限制;
1.2 SSL ×××比IPSec ×××更安全
IPSec ×××的安全性一直是一个弱点,由于IPSec ×××而引起的病毒、***、Web***一直是无法彻底解决的问题,而F5 FirePass可以很好的解决这个问题。
首先我们还是先认识一下IPSEC存在的不足之处:
1. 在通路本身安全性上,传统的IPSec ×××还是非常安全的,比如在公网中建立的通道,很难被人篡改。说其不安全,是从另一方面考虑的,就是在安全的通路两端,存在很多不安全的因素。比如总公司和子公司之间用IPsec ×××连接上了,总公司的安全措施很严密,但子公司可能存在很多安全隐患,这种隐患会通过IPsec ×××传递给总公司,这时,公司间的安全性就由安全性低的分公司来决定了。
2. 比如***想要***应用系统,如果远程用户以IPSec ×××的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,***都是可以侦测得到,这就提供了******的机会。
3. 比如应对病毒***,一般企业在Internet联机入口,都是采取适当的防毒侦测措施。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。
4. 不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯协议采用25和110端口,若是从远程电脑来联机Email服务器,就必须在防火墙上开放25和110端口,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec ×××联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯埠,就多一个******机会。
其次我们再看看SSL的优势特点:
1. SSL安全通道是在客户到所访问的资源之间建立的,确保点到点的真正安全。无论在内部网络还是在因特网上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密。
2. 若是采取SSL ×××来联机,因为是直接开启应用系统,并没在网络层上连接,***不易侦测出应用系统内部网络设置,同时******的也只是×××服务器,无法***到后台的应用服务器,***机会相对就减少。有的厂商如F5公司的产品,可以对客户端允许访问的地址、协议、端口都加以限制;可以对客户端做各种检查,如操作系统补丁、防病毒软件及病毒库更新时间、个人防火墙等等,不符合条件的客户端可以不允许其登录,这样就大大增加了整个系统的安全性。
3. 而对于SSL ×××的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL ×××连接,受外界病毒感染的可能性大大减小。有的厂商如F5公司的产品,自身带有防病毒软件,更可以通过标准协议连接防病毒软件,加强对于病毒的防治。
4. SSL ×××就没有这方面的困扰。因为在远程主机与SSL××× 之间,采用SSL通讯端口443来作为传输通道,这个通讯端口,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。如果所有后台系统都通过SSL ×××的保护,那么在日常办公中防火墙只开启一个443端口就可以,因此大大增强内部网络受外部******的可能性。
1.3 SSL ×××相比IPSec ×××有更好可扩展性
对于SSL ×××的性能,一向是IPSec ×××阵营***SSL ×××的有力武器。确实,SSL ×××单台的性能是无法与最高端的IPSec ×××相抗衡的,但是由于F5的FirePass可以通过自由堆叠来扩展,反而可以提供更高的性能。
首先我们还是先认识一下IPSec ×××存在的不足之处:
IPSec ×××在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec ×××就要重新部署,因此造成IPSec ×××的可扩展性比较差。
其次我们再看看SSL ×××的优势特点:
SSL ×××就有所不同,它一般部署在内网中任一节点处即可,可以随时根据需要,添加需要×××保护的服务器,因此无需影响原有网络结构。
1.4 在访问控制方面比IPSec ×××更细致
为什么最终用户要部署×××,究其根本原因,还是要保护网络中重要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门的项目信息,生产部门的产品配方等等。
首先我们还是先认识一下IPSEC存在的不足之处:
由于IPSec ×××部署在网络层,因此,内部网络对于通过×××的使用者来说是透明的,只要是通过了IPSec ×××网关,他可以在内部为所欲为。因此,IPSec ×××的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以IPSec ×××又被称为网络安全设备。
其次我们再看看SSL的优势特点:
在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec ×××只搭建虚拟传输网络不同的是,SSL ×××重点在于保护具体的敏感数据,比如SSL ×××可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
1.5 SSL ×××比IPSec ×××也具有更好的经济性
假设一个公司有1000个用户需要进行远程访问,那么如果购买IPSec ×××,那么就需要购买1000个客户端许可,而如果购买SSL ×××,因为这1000个用户并不同时进行远程访问,按照统计学原理,假定只有100个用户会同时进行远程访问,只需要购买100个客户端许可即可。
1.6 SSL和IPSec各实现在哪一层的优劣
SSL协议是高层协议,实现在第四层。IPSec实现在第三层。
许多TCP/IP协议栈是这样实现的: TCP、IP 以及IP以下的协议实现在操作系统中,而TCP之上的协议实现在用户进程中(应用程序)。SSL协议的设计思想是在不改变操作系统的情况下部署实现,因此实现在TCP之上,SSL协议要求与应用程序接口(安全套结字API)而不是与TCP接口,也就不与操作系统接口。与SSL协议的设计思想不同,IPSec是在操作系统内部实现安全功能,从而自动地对应用系统实现保护。
SSL实现在TCP之上的安全协议存在一个问题,因为TCP协议本身没有密码的保护,所以只要恶意的代码插入数据包并通过TCP的校验,TCP数据包就不能够觉察到恶意代码的存在,TCP会将这些数据包转发给 SSL,而SSL会接受这些数据包,然后进行完整性验证,最后丢弃这些数据包;但是当真实的数据包到达时,TCP会以为这是重复的数据包,从而丢弃,因为丢弃的包和前一个包有着相同的序列号。SSL别无选择,只好关闭。
同样,IPSec不能对应用程序进行修改就可以运行也有安全问题,因为IPSec可以对源IP地址进行认证,但却无法告诉应用程序真正用户的身份。许多情况下,通信实体往往从不同的地址登录,并被允许访问网络。大多数应用程序需要区分不同的用户,如果IPSec已经认证了用户的身份,那么理论上它应该把用户的身份告诉给应用程序,但这样就要修改API和应用程序。最大可能就是基于公钥的认证方法,并建立IP地址与用户名的关联方法。
1.7 Socks5 ×××与IPSec ×××和SSL ×××比较
Socks5 ×××功能是对传统的IPSec ×××和SSL ×××的革新,是在总结了IPSec ×××和SSL ×××的优缺点以后,提出的一种全新的解决方案。
Socks5 ×××运行在会话层,并且提供了对应用数据和应用协议的可见性,使网络管理员能够对用户远程访问实施细粒度的安全策略检查。基于会话层实现Socks5 ×××的核心是会话层代理,通过代理可以将用户实际的网络请求转发给应用服务器,从而实现远程访问的能力。
在实现上,通过在用户机器上安装Socks5 ×××瘦客户端,由瘦客户端监控用户的远程访问请求,并将这些请求转化成代理协议可以识别的请求并发送给Socks5 ×××服务器进行处理,Socks5 ×××服务器则根据发送者的身份执行相应的身份认证和访问控制策略。在这种方式上,Socks5 ×××客户端和Socks5 ×××服务器扮演了中间代理的角色,可以在用户访问远程资源之前执行相应的身份认证和访问控制,只有通过检查的合法数据才允许流进应用服务器,从而有力保护了组织的内部专用网络。
Socks5 ×××与传统的L2TP、IPSec 等×××相比:
有效地避免了***和病毒通过×××隧道传播的风险,而这些风险是防火墙和防病毒难以克服的,因为他们已经把×××来访作为安全的授信用户。
基于会话层实现的×××优化了访问应用和资源提供细粒度的访问控制。
基于代理模式的会话层数据转发减少了隧道传输过程中的数据冗余,从而取得了传统×××无法媲美的传输效率。
Socks5 ×××同时又保证了对应用的兼容性,避免SSL ×××的以下三大难题:
因为运行在会话层,非应用层,支持传输层以上的所有网络应用程序的访问请求,支持所有TCP应用,无须如SSL ×××那样通过复杂的协议转换来支持各种不同应用所导致的效率损失和很多应用不兼容的两大难题。
还克服了SSL ×××只能组建单向星状网络的尴尬局面,满足了双向互访、多向网状、星状访问的复杂网络环境。
转载于:https://blog.51cto.com/yueyang/606701
2291
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
