项目经验谈：校园网VPN方案剖析

  
    二、选择IPSec VPN还是SSL VPN？

　　校园网VPN方案可以通过公众IP网络建立了私有数据传输通道，将远程或分校的分支办公室、合作伙伴、移动办公人员等连接起来，减轻了校园网的远程访问费用负担，节省电话费用开支，不过对于端到端的安全数据通讯，还需要根据实际情况采取不同的架构。一般而言，IPsec VPN和SSL VPN是目前校园网VPN方案采用最为广泛的安全技术，但它们之间有很大的区别，总体来说，IPSEC VPN是提供站点与站点之间的连接，比较适合校园网内分校与分校的连接；而SSL VPN则提供远程接入校园网服务，比如适合校园网与外网的连接。

　　图3，VPN可实现多校区资源共享

    
    从VPN技术架构来看，IPSec VPN是比较理想的校园网接入方案，由于它工作在网络层，可以对终端站点间所有传输数据进行保护，可以实现Internet多专用网安全连接，而不管是哪类网络应用，它将远程客户端"置于"校园内部网，使远程客户端拥有内部网用户一样的权限和操作功能。IPSec VPN还要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。而且这些IPSec客户端软件能实现自动安装，不需要用户参与，因而无论对网管还是终端用户，都可以减轻安装和维护上的负担。

　　图4，IPSec VPN实现数据访问的原理

    
    与IPSec VPN不同的是，SSL VPN是工作在应用层(基于HTTP协议)和TCP层之间，因而SSL VPN的"零客户端"架构特别适合于远程用户连接，用户可通过任何Web浏览器访问校园网Web应用，因而SSL VPN存在一定安全风险。而IPSec VPN需要软件客户端支撑，不支持公共Internet站点接入，所以安全性更高一些。但不可否认，SSL VPN依然更加适合大多数校园网，因为在互联网时代，更多的信息交流需要实现完全互通，比如SSL VPN提供更细粒度的访问控制、能够穿越NAT和防火墙设置、能够较好地抵御外部系统和病毒攻击、网络部署灵活方便等特点，为其在校园网应用中赢得了不少亮点。

　　图5，SSL VPN可实现校园网安全管理

上一页  [1] [2] [3] [4] 下一页

【责编:Zenghui】