IPSec ×××與SSL ×××技術對比
要了解SSL ×××與IPSec ×××到底有哪些聯繫與區別,首先仍是先來回顧一下傳統的IPSec ×××方案。
IPSec的英文全名爲「Internet Protocol Security」,中文名爲「因特網安全協議」,這個安全協議是×××的基本加密協議,它爲數據在經過公用網絡(如因特網)在網絡層進行傳輸時提供安全保障。通訊雙方要創建IPSec通道,首先要採用必定的方式創建通訊鏈接。由於IPSec協議支持幾種操做模式,因此通訊雙方先要肯定所要採用的安全策略和使用模式,這包括如加密運算法則和身份驗證方法類型等。在IPSec協議中,一旦IPSec通道創建,全部在網絡層之上的協議在通訊雙方都通過加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而無論這些通道構建時所採用的安全和加密方法如何。
1. IPSec的主要不足
(1)安全性能高,但通訊性能較低
由於IPSec安全協議是工做在網絡層的,不只全部網絡通道都是加密的,並且在用戶訪問全部公司資源時,就像採用專線方式與公司網絡直接物理鏈接同樣。你能夠或者不想讓你的合做夥伴或者遠程員工成爲您的網絡一部分,IPSec不只使你正在通訊的那一很小的部分通道加密,而是對全部通道進行加密。因此在在安全性方面比SSL ×××好,但總體通訊性能卻因安全性受到了影響,不過安全性方面始終高於性能的,這也是目前IPSec ×××仍爲主流的緣由之一。
(2)須要客戶端軟件
在IPSec ×××中須要在每一客戶端安裝特殊用途的客戶端軟件,用這些軟件來替換或者增長客戶系統的TCP/IP堆棧。在許多系統中,這就可能帶來了與其餘系統軟件之間兼容性問題的風險,例如***程序所帶來的安全性風險,特別是在這些客戶端軟件是從網站上下載,並且不是通過專門的IT人員安裝的狀況下。解決IPSec協議的這一兼容性問題目前還缺少一致的標準,幾乎全部的IPSec客戶端軟件都是專有的,不能與其它兼容。
在一些情形中,IPSec安全協議是在運行在網絡硬件應用中,在這種解決方案中大多數要求通訊雙方所採用的硬件是相同的,IPSec協議在硬件應用中一樣存在着兼容性方面的問題。
而且,IPSec客戶端軟件在膝上電腦或者桌面系統中的應用受到限制。這種限制限制了用戶使用的靈活性,在沒有裝載IPSec客戶端系統的遠程用戶中用戶不能與網絡進行×××鏈接。
(3)安裝和維護困難
IPSec安全協議方案須要大量的IT技術支持,包括在運行和長期維護兩個方面。在大的企業一般有幾個專門的員工爲經過IPSecI安全協議進行的×××遠程訪問提供服務。
(4)實際全面支持的系統比較少
雖然已有許多開發的操做系統提出對IPSec協議的支持,可是在實際應用是,IPSec安全協議客戶的計算機一般只運行基於Windows系統,不多有運行其它PC系統平臺的,如Mac、Linux、Solaris 等。
2. 爲何要用SSL,而不用IPSec ×××?
雖然目前並非全部,也不大多數用戶採用SSL代理方式進行×××通訊,可是使用SSL ×××的用戶數卻在不斷增長,有些是原來一直採用IPSec ×××的,緣由主要有如下幾個方面:
(1)不須要客戶端軟件和硬件需求
在SSL代理中的一個關鍵優點就是不須要在客戶端安裝另外的軟件,而只須要在服務器端安裝相應的軟件和硬件,而後經過服務器向客戶端發佈。SSL代理可使用於支持SSL技術的標準Web瀏覽器和email客戶中。
(2)容易使用,容易支持Web界面
在今天的工廠中,有許多Web瀏覽器和支持SSL的email客戶端,包括Windows、Macintosh、Linux/UNIX、PDAs,甚至到蜂窩電話均可以經過SSL協議進行通訊。由於這些都是人們已很是熟悉的,這樣就能夠大大節省培訓費用。
(3)端到端 vs. 端到邊緣安全
IPSec安全協議的一個主要優點就是隻須要在客戶和網絡資源邊緣處創建通道。僅保護從客戶到公司網絡邊緣鏈接的安全,無論怎樣,全部運行在內部網絡的數據是透明的,包括任何密碼和在傳輸中的敏感數據。SLL安全通道是在客戶到所訪問的資源之間創建的,確保端到端的真正安全。不管在內部網絡仍是在因特網上數據都不是透明的。客戶對資源的每一次操做都須要通過安全的身份驗證和加密。
這兩種×××方式的通道安全示意圖如圖1所示。
IPSec的英文全名爲「Internet Protocol Security」,中文名爲「因特網安全協議」,這個安全協議是×××的基本加密協議,它爲數據在經過公用網絡(如因特網)在網絡層進行傳輸時提供安全保障。通訊雙方要創建IPSec通道,首先要採用必定的方式創建通訊鏈接。由於IPSec協議支持幾種操做模式,因此通訊雙方先要肯定所要採用的安全策略和使用模式,這包括如加密運算法則和身份驗證方法類型等。在IPSec協議中,一旦IPSec通道創建,全部在網絡層之上的協議在通訊雙方都通過加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而無論這些通道構建時所採用的安全和加密方法如何。
1. IPSec的主要不足
(1)安全性能高,但通訊性能較低
由於IPSec安全協議是工做在網絡層的,不只全部網絡通道都是加密的,並且在用戶訪問全部公司資源時,就像採用專線方式與公司網絡直接物理鏈接同樣。你能夠或者不想讓你的合做夥伴或者遠程員工成爲您的網絡一部分,IPSec不只使你正在通訊的那一很小的部分通道加密,而是對全部通道進行加密。因此在在安全性方面比SSL ×××好,但總體通訊性能卻因安全性受到了影響,不過安全性方面始終高於性能的,這也是目前IPSec ×××仍爲主流的緣由之一。
(2)須要客戶端軟件
在IPSec ×××中須要在每一客戶端安裝特殊用途的客戶端軟件,用這些軟件來替換或者增長客戶系統的TCP/IP堆棧。在許多系統中,這就可能帶來了與其餘系統軟件之間兼容性問題的風險,例如***程序所帶來的安全性風險,特別是在這些客戶端軟件是從網站上下載,並且不是通過專門的IT人員安裝的狀況下。解決IPSec協議的這一兼容性問題目前還缺少一致的標準,幾乎全部的IPSec客戶端軟件都是專有的,不能與其它兼容。
在一些情形中,IPSec安全協議是在運行在網絡硬件應用中,在這種解決方案中大多數要求通訊雙方所採用的硬件是相同的,IPSec協議在硬件應用中一樣存在着兼容性方面的問題。
而且,IPSec客戶端軟件在膝上電腦或者桌面系統中的應用受到限制。這種限制限制了用戶使用的靈活性,在沒有裝載IPSec客戶端系統的遠程用戶中用戶不能與網絡進行×××鏈接。
(3)安裝和維護困難
IPSec安全協議方案須要大量的IT技術支持,包括在運行和長期維護兩個方面。在大的企業一般有幾個專門的員工爲經過IPSecI安全協議進行的×××遠程訪問提供服務。
(4)實際全面支持的系統比較少
雖然已有許多開發的操做系統提出對IPSec協議的支持,可是在實際應用是,IPSec安全協議客戶的計算機一般只運行基於Windows系統,不多有運行其它PC系統平臺的,如Mac、Linux、Solaris 等。
2. 爲何要用SSL,而不用IPSec ×××?
雖然目前並非全部,也不大多數用戶採用SSL代理方式進行×××通訊,可是使用SSL ×××的用戶數卻在不斷增長,有些是原來一直採用IPSec ×××的,緣由主要有如下幾個方面:
(1)不須要客戶端軟件和硬件需求
在SSL代理中的一個關鍵優點就是不須要在客戶端安裝另外的軟件,而只須要在服務器端安裝相應的軟件和硬件,而後經過服務器向客戶端發佈。SSL代理可使用於支持SSL技術的標準Web瀏覽器和email客戶中。
(2)容易使用,容易支持Web界面
在今天的工廠中,有許多Web瀏覽器和支持SSL的email客戶端,包括Windows、Macintosh、Linux/UNIX、PDAs,甚至到蜂窩電話均可以經過SSL協議進行通訊。由於這些都是人們已很是熟悉的,這樣就能夠大大節省培訓費用。
(3)端到端 vs. 端到邊緣安全
IPSec安全協議的一個主要優點就是隻須要在客戶和網絡資源邊緣處創建通道。僅保護從客戶到公司網絡邊緣鏈接的安全,無論怎樣,全部運行在內部網絡的數據是透明的,包括任何密碼和在傳輸中的敏感數據。SLL安全通道是在客戶到所訪問的資源之間創建的,確保端到端的真正安全。不管在內部網絡仍是在因特網上數據都不是透明的。客戶對資源的每一次操做都須要通過安全的身份驗證和加密。
這兩種×××方式的通道安全示意圖如圖1所示。
圖1
(4)90%以上的通訊是基於Web和Email的
近呼90%的企業利用×××進行的內部網和外部網的聯接都只是用來進行因特網訪問和電子郵件通訊,另外10%的用戶是利用諸如x十一、聊天協議和其它私有客戶端應用,屬非因特網應用。
3. SSL ×××與IPSec ×××的比較列表
下表是SSL ×××與IPSec ×××主要性能比較,從表中能夠看出各自的主要優點與不足。
相關文章
- 1. IPSec ×××與SSL ××× 比較
- 2. IPSEC 與 SSL
- 3. NB-IoT技術與Lora技術對比
- 4. FIBOS 與 Ethereum 技術對比
- 5. 5G 技術與4G對比
- 6. 網絡安全技術-IPSec
- 7. IPSec NAT-T穿越技術
- 8. GRE-over-IPSec技術原理
- 9. 定位技術:WIFI與LORa的對比
- 10. 5G與WiFi6空口技術對比
- 更多相關文章...
- • XML 相關技術 - XML 教程
- • Hibernate的快照技術 - Hibernate教程
- • Docker容器實戰(一) - 封神Server端技術
- • ☆技術問答集錦(13)Java Instrument原理
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. Duang!超快Wi-Fi來襲
- 2. 機器學習-補充03 神經網絡之**函數(Activation Function)
- 3. git上開源maven項目部署 多module maven項目(多module maven+redis+tomcat+mysql)後臺部署流程學習記錄
- 4. ecliple-tomcat部署maven項目方式之一
- 5. eclipse新導入的項目經常可以看到「XX cannot be resolved to a type」的報錯信息
- 6. Spark RDD的依賴於DAG的工作原理
- 7. VMware安裝CentOS-8教程詳解
- 8. YDOOK:Java 項目 Spring 項目導入基本四大 jar 包 導入依賴,怎樣在 IDEA 的項目結構中導入 jar 包 導入依賴
- 9. 簡單方法使得putty(windows10上)可以免密登錄樹莓派
- 10. idea怎麼用本地maven
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. IPSec ×××與SSL ××× 比較
- 2. IPSEC 與 SSL
- 3. NB-IoT技術與Lora技術對比
- 4. FIBOS 與 Ethereum 技術對比
- 5. 5G 技術與4G對比
- 6. 網絡安全技術-IPSec
- 7. IPSec NAT-T穿越技術
- 8. GRE-over-IPSec技術原理
- 9. 定位技術:WIFI與LORa的對比
- 10. 5G與WiFi6空口技術對比