一个基于网络的安全解决方案,必然是一个端到端的安全体系架构。也就是说,在进行初始的网络安全解决方案设计时,我们就必须考虑到各个环节可能引入的安全威胁和风险。因此,安全接入所涵盖的需求范围,不应是单指接入终端的安全性,而是一个涉及到“接入终端安全、传输通道安全、内部资源安全”的完整安全体系。
能够完整实现上述安全体系的接入技术,可以是一种技术,也可以是多种技术的组合。比如在“接入终端安全”方面,我们可以通过终端准入控制、终端安全管理等技术来实现,而在“内部资源安全”方面,我们可以选择结合网络域认证进行资源授权等方式来完成。
IPsec 和SSL
IPsec 和SSL ,两者的共同特点一是都能实现数据的安全加密;二是都对沿途转发节点没有额外技术要求。但是,由于两者在技术上采用不同的网络层次来进行安全加密处理以建立网络安全通道,因此在连通性、安全性方面还是存在着差异。
IPsec ,是网络层的技术,对应用层协议完全透明,一旦建立IPsec 加密隧道后,就可以在通道内实现各种类型的连接,如Web、电子邮件、文件传输、VoIP等这是IPsec 的最大优点。另外,IPsec 在实际部署时,通常向远端开放的是一个网段,针对单个主机、单个传输层端口的安全控制部署较复杂,因此其安全控制的粒度相对较粗。
SSL ,基于SSL 协议,而SSL协议内嵌在浏览器中,因此任何拥有浏览器的终端都天然支持SSL ,这让SSL 技术在瘦终端日益普及的云时代如鱼得水。同时,SSL协议位于TCP/IP协议与应用层协议之间,其安全控制粒度可以做到精细化,可以仅开放一个主机、一个端口甚至一个URL。但相应的,其应用兼容性整体上则更弱一些。SSL 相对于IPsec 的另外一个核心优势在于:无需增加设备、无需改动接入侧的网络结构即可实现安全接入。这非常适用于租赁型的云计算应用场景,比如:超算中心。
由于IPsec 和SSL 各自不同的技术特点,在实际部署中,IPsec 技术通常部署于站点对站点(site to site)模式的安全互联场景,而SSL 技术则更多的用于终端对站点(client to site)的应用场景。相应的,IPsec 技术要求两端网络出口成对部署IPsec 网关,而SSL 技术则要求核心网络部署SSL 网关、接入端采用集成SSL协议的浏览器即可。
