同时使用IPsec和SSL

　　“我应该选择哪一种虚拟专用网络（VPN）？”这个问题的答案并非只有一个。基于Web的SSL和IPsec VPN均有各自的优点和缺点。企业可以通过仔细考虑VPN策略而同时获得两者的好处。

　　“这两种技术是互补而非互斥的：两种协议均能够向远程访问用户提供有效的安全解决方案，而每一种技术都有自己的优点，” Zim Shipping的信息安全官Itay Yanovski说。“在我们组织中，我们同时使用IPsec和SSL VPN，作为公司的安全官，我不会放弃其中任何一个。”

　　Vivian Ganitsky是Juniper Networks SSL VPN产品线的管理主管，她说许多Juniper的客户有相同的感觉。因此，她表示公司最新产品在设计上考虑了如何简化IPsec和SSL的同时使用。

　　“IPsec的最大好处是它的最快的传输模式，”她说。“它针对VoIP和流媒体进行了访问优化，并且实现了非常快速的网络层传输。”

　　但是在许多公司仍然同时使用IPsec和SSL时，Forrester Research的分析员Rob Whiteley则相信大多数公司最终将淘汰IPsec，而完全采用SSL。

　　“我们正处于转变阶段，”他在接受TechTarget记者采访时说。“我们将看到越来越多的SSL部署，而IPsec最终会被淘汰，这正好与现在的情况相反。”

　　他建议企业评估他们的应用程序，保证他们的VPN规划在内部是兼容的。他们应该进行详细的VPN评估，而IPsec应该只用于那些不支持Web的特殊应用程序，他说。

　　决定选择哪一种VPN时需要考虑的问题

　　您的组织最适合使用基于Web的SSL VPN吗，还是应该使用更传统的IPsce VPN？在决定部署哪种VPN时您应该考虑这些问题：

• 您公司的应用程序都是基于浏览器的吗？
• 基于浏览器的应用程序已经使用了SSL了吗？（如果是，那么就不需要增加额外的VPN功能。）
• 您是否想避免在所有用户客户端电脑或移动设备上安装IPsec软件？
• 住宅宽带提供商是否禁止IPsec流量和/或对其收费？
• 远程用户是否通过NAT路由器连接？

　　如果您确定IPsec VPN能够更好地满足您的需求，但却没有预算，那么您可以使用免费的VPN客户端，或者甚至采用VPN的替代方案。在这种情况下，您应该考虑以下问题：

• 您为什么要寻找一个VPN客户端？
• 您是否计划建立连接企业网络的隧道？
• 您是否希望为小型企业网络提供安全的远程访问？
• 您是否尝试保护通过住宅无线LAN传输的流量？

　　在每一种情况中，最佳的解决方法可能有所差别。

　　通过隧道技术连接企业VPN的用户一般需要网络运营商专用的客户端。在某些情况中，他们可能需要使用支持供应商扩展程序的特殊客户端。这个公司也可能在客户端专有格式中支持必要的安全性政策。

　　寻找SOHO（小型办公室/家庭办公室）LAN安全访问的用户可能会衡量所保护的数据和网络与VPN成本，其中包括硬件、软件和配置/维护成本。许多小型公司会使用运行于Windows PC的免费Point-to-Point Tunneling Protocol (PPTP)客户端来连接支持PPTP的Windows NT/2000服务器或者VPN/防火墙设备。这对于只使用Windows且需要实现简单保护的组织而言是一个很简单的解决方案。

　　希望在住宅无线LAN中的节点之间实现比Wired Equivalent Privacy (WEP)更好的安全性的用户必须使用VPN服务器。您的接入端或网关是否可以作为无线LAN的一个VPN服务器呢？如果不能，那么您能够在接入端的一个Ethernet端口上连接一个PC或者廉价的安全设备作为一个VPN服务器吗？或者您能够在无线站点之间运行端到端IPsec吗？（这需要一定的安全性知识，但是通常是可以做到的。）

　　您还应该考虑希望通过一个VPN客户端保护的流量。毕竟，杀鸡为什么要用牛刀呢？

　　如果您希望与商业伙伴安全地传输电子邮件，那么您可以考虑使用一个电子邮件加密程序，如Pretty Good Privacy。

　　希望在家以安全方式管理企业路由器和服务器的广域网（WAN）管理员可以使用Secure Shell。