SSL ×××
的强劲发展势头似乎表明,它将取代
IPSec ×××
,
不过仔细分析你会发现,二者并不矛盾
选购理想的虚拟专用网对企业用户来说相当困难,当前盛行的说法是:风头渐劲的 SSL ××× 将迅速赶超并有可能替代传统的 IPSec ××× ,这更加大了选购决策的难度。当然,有人坚持认为 :SSL ××× 这个灰姑娘很快会大放光彩, IPSec ××× 将随之黯然失色。这更是为近期业界的喧闹加了一把火。
业内人士认为, IPSec 被淘汰的传闻说得过早了,但在远程访问领域,无疑出现了非常明显的一股潮流 —— 远离 IPSec ,这股潮流源于一些非常实际的原因。
稳步发展
Infonetics Research 是一家国际市场调研和咨询公司,也是 ××× 领域的主要专业公司。它称, SSL ××× 取得了长足发展,以至 2003 年许多 IPSec ××× 厂商将继续宣布推出基于 SSL 的产品。这一幕现在已经呈现在世人面前,诺基亚、思科及其它大玩家纷纷推出了围绕 SSL 产品的解决方案。
尽管如此, SSL 仍旧不会取代 IPSec , Infonetics 如此认为。因为站点到站点连接缺少理想的 SSL 解决方案,而说到远程访问,许多公司考虑之后,可能为了不同的远程访问而同时部署 SSL 和 IPSec ,但在近期,这种情况不太可能成为主导性潮流。
据 Infonetics 最近发表的报告表明, IPSec 对 ××× 而言仍是主导性的隧道和加密技术。不过同时, SSL 将不断获得吸引力。到 2005 年, 74% 的移动员工将依赖 ××× (比 2003 年增加 15% ),预计增长率主要来自 SSL ,这种 IPSec 以外的替代方案避开了部署及管理必要客户软件的复杂性和人力需求。
现在的问题在于,在这个市场的早期阶段,许多厂商在如何给基于 SSL 的产品定位上似乎没有明确态度。到底把 SSL ××× (又叫做应用层 ××× 网关产品)视为与 IPSec 竞争还是互补?这还是个营销难题。
Infonetics 认为, SSL 产品最终的定位最好与 IPSec 互补。大多数 IPSec 厂商将开发或购进应用层 ××× 技术,添加到自己的产品线当中。这种互补性定位对市场能否成功至关重要。如果在今后 12 个月,在该领域领先市场的厂商决定在 SSL 和 IPSec 之间挑起竞争,那么整个市场将会遭殃。
区别何在
在设计上, IPSec ××× 是一种基础设施性质的安全技术。这类 ××× 的真正价值在于,它们尽量提高 IP 环境的安全性。可问题在于,部署 IPSec 需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。就这点而言, IPSec 仍是站点到站点连接的不二选择,但用于其它远程访问活动的 SSL ××× 也引起了人们的兴趣。
不过,首次登台亮相时, IPSec ××× 被认为与其它远程访问解决方案相比有一大优势。 IPSec ××× 的诱人之处包括,它采用了集中式安全和策略管理部件,从而大大缓解了维护需求。
然而,近期传统的 IPSec ××× 出现了两个主要问题:首先,客户软件带来了人力开销,而许多公司希望能够避免;其次,某些安全问题也已暴露出来,这些问题主要与建立开放式网络层连接有关。
首选方案
许多专家认为,就通常的企业高级用户( Power User )和 LAN-to-LAN 连接所需要的直接访问企业网络功能而言, IPSec 无可比拟。然而,典型的 SSL ××× 被认为最适合于普通远程员工访问基于 Web 的应用。因而,如果需要更全面的、面向基于浏览器应用的访问,以及面向远程员工、把所有办公室连接起来, IPSec 无疑是首选。
另一方面, SSL ××× 不需要在最终用户的 PC 和便携式电脑上装入另外的客户软件。有些公司之所以选择 SSL 而不是 IPSec ,这项不需要客户软件的功能正是一个重要因素。
除此之外, SSL ××× 还有其它经常被提到的特性,包括降低部署成本、减小对日常性支持和管理的需求。此外,因为所有内外部流量通常都经过单一的硬件设备,这样就可以控制对资源和 URL 的访问。
厂商推出这类不需要客户软件的 ××× 产品后,用户就能通过与因特网连接的任务设备实现连接,并借助于 SSL 隧道获得安全访问。这需要在企业防火墙后面增添硬件,但企业只要管理一种设备,不必维护、升级及配置客户软件。
因为最终用户避免了携带便携式电脑,通过与因特网连接的任何设备就能获得访问, SSL 更容易满足大多数员工对移动连接的需求。不过这种方案的问题在于, SSL ××× 的加密级别通常不如 IPSec ××× 高。所以,尽管部署和支持成本比较低,并且使组织可以为使用台式电脑、便携式电脑或其它方式的员工提供使用电子邮件的功能,甚至迅速、便捷地为合作伙伴提供访问外联网的功能,但 SSL ××× 仍有其缺点。
业内人士认为,这些缺点通常涉及客户端安全和性能等问题。对 E-mail 和 Intranet 而言, SSL ××× 是很好;但对需要较高安全级别、较为复杂的应用而言,就需要 IPSec ××× 。
连接企业
尽管有人认为 SSL 其实只适用于访问基于 Web 的应用,而不是直接访问企业网,它更适合不大懂技术的用户,而不是高级用户,但现在出现了一种新趋势 ——SSL 趋向于被用作基础设施技术,而不是仅仅成为与 Web 应用服务器相关联、部署于网络基础设施的其它构件等设备的一项技术。
此外,现在市面上的一些 SSL 技术已经允许可信的高级用户通过固定设备进行远程连接,而固定设备这端配有可信的 PC 、防火墙和防病毒及其它保护措施。简而言之,它只是一种可以为所有用户提供各种所需特性的 ××× 而已,与 IPSec ××× 的根本区别在于,流量是通过 SSL 来传输的。
不过,许多组织同时使用 SSL 和 IPSec ××× 一定有其理由。但业内专家认为,没有理由为了远程访问而同时使用两者。而眼下 IT 组织并不赞同这种观点,也就是说,在网络内部,它们把 IPSec 技术运用于 LAN-to-LAN , SSL ××× 则专门用于日常性的远程访问工作。
无论有关 SSL ××× 的说法如何,公司应该牢记:这类技术不可能为每个人解决所有问题。有关 SSL ××× 的种种说法只是一种市场指标,表明它是解决某几类问题的另一种方法:解决的不是所有问题,而是某几类。
客户软件是关键
因此,有人坚定地认为, IPSec 是提供站点到站点连接的首要工具,通过这种连接,你可以在广域网( WAN )上实现基础设施到基础设施的通信。而 SSL ××× 不需要客户软件的特性有助于降低成本、减缓远程桌面维护方面的担忧。
但是, SSL 的局限性在于,只能访问通过网络浏览器连接的资产。所以,这要求某些应用要有小应用程序,这样才能够有效地访问。如果企业资产或应用没有小应用程序,要想连接到它们就比较困难。因而,你无法在没有客户软件的环境下运行,因为这需要某种客户软件丰富( Client-Rich )的交互系统。
不需要客户软件的运行环境肯定有其效率和好处,但在性能、应用覆盖和兼容性等方面也存在问题。这样一来,完全采用这种方案显得更具挑战性。 SSL 这种方案可以解决 OS 客户软件问题、客户软件维护问题,但肯定不能完全替代 IPSec ××× ,因为各自所要解决的是几乎没多少重叠的两种不同问题。
SSL 与应用安全
对需要远程访问的大多数公司而言,所支持的应用应当包括公司为尽量提高效率、生产力和盈利能力所需要的各种应用。尽管应用安全提供了这种覆盖宽度,但 SSL ××× 能支持的应用种类非常有限。
大多数 SSL ××× 都是 HTTP 反向代理,这样它们非常适合于具有 Web 功能的应用,只要通过任何 Web 浏览器即可访问。 HTTP 反向代理支持其它的查询 / 应答应用,譬如基本的电子邮件及许多企业的生产力工具,譬如 ERP 和 CRM 等客户机 / 服务器应用。为了访问这些类型的应用, SSL ××× 为远程连接提供了简单、经济的一种方案。它属于即插即用型的,不需要任何附加的客户端软件或硬件。
然而,同样这个优点偏偏成了 SSL ××× 的最大局限因素:用户只能访问所需要的应用和数据资源当中的一小部分。 SSL ××× 无法为远程访问应用提供全面的解决方案,因为它并不有助于访问内部开发的应用,也不有助于访问要求多个渠道和动态端口以及使用多种协议这类复杂的应用。不过这对公司及远程用户来说却是一个关键需求。譬如说, SSL ××× 没有架构来支持即时消息传送、多播、数据馈送、视频会议及 VoIP 。
尽管 SSL 能够保护由 HTTP 创建的 TCP 通道的安全,但它并不适用于 UDP 通道。然而,如今企业对应用的支持要求支持各种类型的应用: TCP 和 UDP 、客户机 / 服务器和 Web 、现成和内部开发的程序。
应用独立的安全解决方案应该具备支持各种标准的 TCP 或 UDP 。应用安全技术支持使用物理网络的各种解决方案。除了支持如今各种程序外,应用安全还将支持未来的各种方案,不管是哪种协议或是设计。
不过仔细分析你会发现,二者并不矛盾
选购理想的虚拟专用网对企业用户来说相当困难,当前盛行的说法是:风头渐劲的 SSL ××× 将迅速赶超并有可能替代传统的 IPSec ××× ,这更加大了选购决策的难度。当然,有人坚持认为 :SSL ××× 这个灰姑娘很快会大放光彩, IPSec ××× 将随之黯然失色。这更是为近期业界的喧闹加了一把火。
业内人士认为, IPSec 被淘汰的传闻说得过早了,但在远程访问领域,无疑出现了非常明显的一股潮流 —— 远离 IPSec ,这股潮流源于一些非常实际的原因。
稳步发展
Infonetics Research 是一家国际市场调研和咨询公司,也是 ××× 领域的主要专业公司。它称, SSL ××× 取得了长足发展,以至 2003 年许多 IPSec ××× 厂商将继续宣布推出基于 SSL 的产品。这一幕现在已经呈现在世人面前,诺基亚、思科及其它大玩家纷纷推出了围绕 SSL 产品的解决方案。
尽管如此, SSL 仍旧不会取代 IPSec , Infonetics 如此认为。因为站点到站点连接缺少理想的 SSL 解决方案,而说到远程访问,许多公司考虑之后,可能为了不同的远程访问而同时部署 SSL 和 IPSec ,但在近期,这种情况不太可能成为主导性潮流。
据 Infonetics 最近发表的报告表明, IPSec 对 ××× 而言仍是主导性的隧道和加密技术。不过同时, SSL 将不断获得吸引力。到 2005 年, 74% 的移动员工将依赖 ××× (比 2003 年增加 15% ),预计增长率主要来自 SSL ,这种 IPSec 以外的替代方案避开了部署及管理必要客户软件的复杂性和人力需求。
现在的问题在于,在这个市场的早期阶段,许多厂商在如何给基于 SSL 的产品定位上似乎没有明确态度。到底把 SSL ××× (又叫做应用层 ××× 网关产品)视为与 IPSec 竞争还是互补?这还是个营销难题。
Infonetics 认为, SSL 产品最终的定位最好与 IPSec 互补。大多数 IPSec 厂商将开发或购进应用层 ××× 技术,添加到自己的产品线当中。这种互补性定位对市场能否成功至关重要。如果在今后 12 个月,在该领域领先市场的厂商决定在 SSL 和 IPSec 之间挑起竞争,那么整个市场将会遭殃。
区别何在
在设计上, IPSec ××× 是一种基础设施性质的安全技术。这类 ××× 的真正价值在于,它们尽量提高 IP 环境的安全性。可问题在于,部署 IPSec 需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。就这点而言, IPSec 仍是站点到站点连接的不二选择,但用于其它远程访问活动的 SSL ××× 也引起了人们的兴趣。
不过,首次登台亮相时, IPSec ××× 被认为与其它远程访问解决方案相比有一大优势。 IPSec ××× 的诱人之处包括,它采用了集中式安全和策略管理部件,从而大大缓解了维护需求。
然而,近期传统的 IPSec ××× 出现了两个主要问题:首先,客户软件带来了人力开销,而许多公司希望能够避免;其次,某些安全问题也已暴露出来,这些问题主要与建立开放式网络层连接有关。
首选方案
许多专家认为,就通常的企业高级用户( Power User )和 LAN-to-LAN 连接所需要的直接访问企业网络功能而言, IPSec 无可比拟。然而,典型的 SSL ××× 被认为最适合于普通远程员工访问基于 Web 的应用。因而,如果需要更全面的、面向基于浏览器应用的访问,以及面向远程员工、把所有办公室连接起来, IPSec 无疑是首选。
另一方面, SSL ××× 不需要在最终用户的 PC 和便携式电脑上装入另外的客户软件。有些公司之所以选择 SSL 而不是 IPSec ,这项不需要客户软件的功能正是一个重要因素。
除此之外, SSL ××× 还有其它经常被提到的特性,包括降低部署成本、减小对日常性支持和管理的需求。此外,因为所有内外部流量通常都经过单一的硬件设备,这样就可以控制对资源和 URL 的访问。
厂商推出这类不需要客户软件的 ××× 产品后,用户就能通过与因特网连接的任务设备实现连接,并借助于 SSL 隧道获得安全访问。这需要在企业防火墙后面增添硬件,但企业只要管理一种设备,不必维护、升级及配置客户软件。
因为最终用户避免了携带便携式电脑,通过与因特网连接的任何设备就能获得访问, SSL 更容易满足大多数员工对移动连接的需求。不过这种方案的问题在于, SSL ××× 的加密级别通常不如 IPSec ××× 高。所以,尽管部署和支持成本比较低,并且使组织可以为使用台式电脑、便携式电脑或其它方式的员工提供使用电子邮件的功能,甚至迅速、便捷地为合作伙伴提供访问外联网的功能,但 SSL ××× 仍有其缺点。
业内人士认为,这些缺点通常涉及客户端安全和性能等问题。对 E-mail 和 Intranet 而言, SSL ××× 是很好;但对需要较高安全级别、较为复杂的应用而言,就需要 IPSec ××× 。
连接企业
尽管有人认为 SSL 其实只适用于访问基于 Web 的应用,而不是直接访问企业网,它更适合不大懂技术的用户,而不是高级用户,但现在出现了一种新趋势 ——SSL 趋向于被用作基础设施技术,而不是仅仅成为与 Web 应用服务器相关联、部署于网络基础设施的其它构件等设备的一项技术。
此外,现在市面上的一些 SSL 技术已经允许可信的高级用户通过固定设备进行远程连接,而固定设备这端配有可信的 PC 、防火墙和防病毒及其它保护措施。简而言之,它只是一种可以为所有用户提供各种所需特性的 ××× 而已,与 IPSec ××× 的根本区别在于,流量是通过 SSL 来传输的。
不过,许多组织同时使用 SSL 和 IPSec ××× 一定有其理由。但业内专家认为,没有理由为了远程访问而同时使用两者。而眼下 IT 组织并不赞同这种观点,也就是说,在网络内部,它们把 IPSec 技术运用于 LAN-to-LAN , SSL ××× 则专门用于日常性的远程访问工作。
无论有关 SSL ××× 的说法如何,公司应该牢记:这类技术不可能为每个人解决所有问题。有关 SSL ××× 的种种说法只是一种市场指标,表明它是解决某几类问题的另一种方法:解决的不是所有问题,而是某几类。
客户软件是关键
因此,有人坚定地认为, IPSec 是提供站点到站点连接的首要工具,通过这种连接,你可以在广域网( WAN )上实现基础设施到基础设施的通信。而 SSL ××× 不需要客户软件的特性有助于降低成本、减缓远程桌面维护方面的担忧。
但是, SSL 的局限性在于,只能访问通过网络浏览器连接的资产。所以,这要求某些应用要有小应用程序,这样才能够有效地访问。如果企业资产或应用没有小应用程序,要想连接到它们就比较困难。因而,你无法在没有客户软件的环境下运行,因为这需要某种客户软件丰富( Client-Rich )的交互系统。
不需要客户软件的运行环境肯定有其效率和好处,但在性能、应用覆盖和兼容性等方面也存在问题。这样一来,完全采用这种方案显得更具挑战性。 SSL 这种方案可以解决 OS 客户软件问题、客户软件维护问题,但肯定不能完全替代 IPSec ××× ,因为各自所要解决的是几乎没多少重叠的两种不同问题。
SSL 与应用安全
对需要远程访问的大多数公司而言,所支持的应用应当包括公司为尽量提高效率、生产力和盈利能力所需要的各种应用。尽管应用安全提供了这种覆盖宽度,但 SSL ××× 能支持的应用种类非常有限。
大多数 SSL ××× 都是 HTTP 反向代理,这样它们非常适合于具有 Web 功能的应用,只要通过任何 Web 浏览器即可访问。 HTTP 反向代理支持其它的查询 / 应答应用,譬如基本的电子邮件及许多企业的生产力工具,譬如 ERP 和 CRM 等客户机 / 服务器应用。为了访问这些类型的应用, SSL ××× 为远程连接提供了简单、经济的一种方案。它属于即插即用型的,不需要任何附加的客户端软件或硬件。
然而,同样这个优点偏偏成了 SSL ××× 的最大局限因素:用户只能访问所需要的应用和数据资源当中的一小部分。 SSL ××× 无法为远程访问应用提供全面的解决方案,因为它并不有助于访问内部开发的应用,也不有助于访问要求多个渠道和动态端口以及使用多种协议这类复杂的应用。不过这对公司及远程用户来说却是一个关键需求。譬如说, SSL ××× 没有架构来支持即时消息传送、多播、数据馈送、视频会议及 VoIP 。
尽管 SSL 能够保护由 HTTP 创建的 TCP 通道的安全,但它并不适用于 UDP 通道。然而,如今企业对应用的支持要求支持各种类型的应用: TCP 和 UDP 、客户机 / 服务器和 Web 、现成和内部开发的程序。
应用独立的安全解决方案应该具备支持各种标准的 TCP 或 UDP 。应用安全技术支持使用物理网络的各种解决方案。除了支持如今各种程序外,应用安全还将支持未来的各种方案,不管是哪种协议或是设计。
转载于:https://blog.51cto.com/287485/51948
扫一扫
11万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
