ipsec和ssl的区别？SSL VPN 与 IPSec VPN怎么选择？

SSL VPN比较适合用于移动用户的远程接入（Client-Site），而IPSec VPN则在网对网（Site-Site）的VPN连接中具备先天优势。这两种产品将在VPN市场上长期共存，优势互补。在产品的表现形式上，两者有以下几大差异：

 

1、IPsec VPN多用于“网—网”连接，SSL VPN用于“移动客户—网”连接。SSL VPN的移动用户使用标准的浏览器，无需安装客户端程序，即可通过SSL VPN隧道接入内部网络；而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。

 

2、SSL VPN是基于应用层的VPN，而IPsec VPN是基于网络层的VPN。IPsec VPN对所有的IP应用均透明；而SSL VPN保护基于Web的应用更有优势，当然好的产品也支持TCP/UDP的C/S应用，例如文件共享、网络邻居、Ftp、Telnet、Oracle等。

 

3、SSL VPN用户不受上网方式限制，SSL VPN隧道可以穿透Firewall；而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打开UDP500端口。

 

4、SSL VPN只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点，网管专业性较强。

 

5、SSL VPN 更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统（如：radius、AD等）结合更加便捷。而IPSec VPN主要基于IP组对用户进行访问控制。

 

SSL VPN 与 IPSec VPN怎么选择？

 

SSL VPN提供安全、可代理连接，只有经认证的用户才能对资源进行访问。SSL VPN能对加密隧道进行细分，从而使得终端用户能够同时接入Internet和访问内部企业网资源，也就是说它具备可控功能。另外，SSL VPN还能细化接入控制功能，易于将不同访问权限赋予不同用户，实现伸缩性访问；这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。

 

IPSec VPN通过在两站点间创建隧道提供直接（非代理方式）接入，实现对整个网络的透明访问；一旦隧道创建，用户PC就如同物理地处于企业LAN中。就通常的企业高级用户（Power User）和LAN-to-LAN连接所需要的直接访问企业网络功能而言，IPSec无可比拟。然而，典型的SSL VPN被认为最适合于普通远程员工访问基于Web的应用。SSL VPN不需要在最终用户的PC和便携式电脑上装入另外的客户软件。有些公司之所以选择SSL而不是IPSec，这项不需要客户软件的功能正是一个重要因素。因为最终用户避免了携带便携式电脑，通过与因特网连接的任何设备就能获得访问，SSL更容易满足大多数员工对移动连接的需求。但SSL VPN也有其缺点。业内人士认为，这些缺点通常涉及客户端安全和性能等问题。对E-mail和Intranet而言，SSL VPN是很好；但对需要较高安全级别（SSL VPN的加密级别通常不如IPSec VPN高）、较为复杂的应用而言，就需要IPSec VPN。