SSL VPN提供安全、可代理連接配接,隻有經認證的使用者才能對資源進行通路。SSL VPN能對加密隧道進行細分,進而使得終端使用者能夠同時接入Internet和通路内部企業網資源,也就是說它具備可控功能。另外,SSL VPN還能細化接入控制功能,易于将不同通路權限賦予不同使用者,實作伸縮性通路;這種精确的接入控制功能對遠端接入IPSec VPN來說幾乎是不可能實作的。
IPSec VPN通過在兩站點間建立隧道提供直接(非代理方式)接入,實作對整個網絡的透明通路;一旦隧道建立,使用者PC就如同實體地處于企業LAN中。就通常的企業進階使用者(Power User)和LAN-to-LAN連接配接所需要的直接通路企業網絡功能而言,IPSec無可比拟。然而,典型的SSL VPN被認為最适合于普通遠端員工通路基于Web的應用。SSL VPN不需要在最終使用者的PC和便攜式電腦上裝入另外的客戶軟體。有些公司之是以選擇SSL而不是IPSec,這項不需要客戶軟體的功能正是一個重要因素。因為最終使用者避免了攜帶便攜式電腦,通過與網際網路連接配接的任何裝置就能獲得通路,SSL更容易滿足大多數員工對移動連接配接的需求。但SSL VPN也有其缺點。業内人士認為,這些缺點通常涉及用戶端安全和性能等問題。對E-mail和Intranet而言,SSL VPN是很好;但對需要較高安全級别(SSL VPN的加密級别通常不如IPSec VPN高)、較為複雜的應用而言,就需要IPSec VPN。
IPSec是提供站點到站點連接配接的首要工具,通過這種連接配接,你可以在廣域網(WAN)上實作基礎設施到基礎設施的通信。而SSL VPN不需要客戶軟體的特性有助于降低成本、減緩遠端桌面維護方面的擔憂。但是,SSL的局限性在于,隻能通路通過網絡浏覽器連接配接的資源。是以,這要求某些應用要有小應用程式,這樣才能夠有效地通路。如果企業資産或應用沒有小應用程式,要想連接配接到它們就比較困難。因而,你無法在沒有客戶軟體的環境下運作,因為這需要某種客戶軟體豐富(Client-Rich)的互動系統。
SSL這種方案可以解決OS客戶軟體問題、客戶軟體維護問題,但肯定不能完全替代IPSec VPN,因為他們各自所要解決的是幾乎沒多少重疊的兩種不同問題:
1、SSL優勢其實主要集中在VPN用戶端的部署和管理上,我們知道SSL無需安裝用戶端,主要是由于浏覽器内嵌了SSL協定,也就是說是基于B/S結構的業務時,可以直接使用浏覽器完成SSL的VPN建立;但如果客戶的應用系統采用的是C/S結構的話,仍然需要安裝Client軟體;
2、目前進行VPN部署的使用者大部分都是要求對現有業務需要支援的使用者,而據統計這樣的使用者95%以上都有基于C/S架構的重要應用系統,也就是說其“Client軟體無需安裝”的優勢是有很大局限性的;
3、基于B/S結構的安全性劣于基于C/S結構;
4、基于IPSEC的VPN雖然在業務應用基于B/S上沒有基于SSL的友善,但在業務應用基于C/S方面卻存在很大優勢。