IPsec VPN 與 SSL VPN

IPsec 和 SSL/TLS 在 OSI 模型的不同層運作,但兩者都可用於 VPN。瞭解它們每一個的優缺點。

學習目標

閱讀本文後,您將能夠:

  • 瞭解 IPsec 和 SSL/TLS 之間的區別
  • 比較使用這些通訊協定的 VPN
  • 瞭解 VPN 如何用於存取控制

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼 IPsec?

當私人資料透過公用網路傳輸時,IPsec 可協助確保私人資料的安全。更具體地說,IPsec 是一組通訊協定,一起用於在 OSI 模型的第 3 層(網路層)裝置之間設定安全連線。IPsec 採用一個稱為加密的過程加擾所有訊息,以便只有授權方才能理解它們,從而實現上述目標。IPsec 通常用於設定虛擬私人網路 (VPN)

VPN 是一種網際網路安全性服務,允許使用者像連接到私人網路一樣存取網際網路。VPN 會加密網際網路通訊,且提供了高度的匿名性。VPN 通常用於允許遠端員工安全地存取公司資料。同時,個人使用者可以選擇使用 VPN 以保護他們的隱私。

什麼是 SSL/TLS?

安全通訊端層 (SSL) 是一種用於加密 HTTP 流量(例如使用者裝置和 Web 伺服器之間的連線)的通訊協定。使用 SSL 加密的網站在其 URL 中使用 https://,而不是 http://。SSL 在幾年前被 Transport Layer Security (TLS) 所取代,但「SSL」這一詞彙仍被普遍用於指代該通訊協定。

除了在網頁瀏覽中加密用戶端伺服器通訊之外,也可以在 VPN 中使用 SSL。

IPsec VPN 與 SSL VPN:有何區別?

OSI 模型層

SSL 和 IPsec 之間的主要區別之一是各自屬於 OSI 模型的哪一層。OSI 模型是一種抽象表示,將使網際網路運作的處理序細分為「層」。

IPsec 通訊協定套件在 OSI 模型的網路層運作。它直接在 IP(網際網路通訊協定)的上方執行,後者負責路由資料封包。

而 SSL 在 OSI 模型的應用程式層運作。它會加密 HTTP 流量,而不是直接加密 IP 封包。

設定部署

IPsec VPN 通常要求將使用 VPN 的所有使用者在電腦上安裝 VPN 軟體。使用者必須登入並執行此軟體才能連接到網路並存取其應用程式和資料。

相比之下,所有 Web 瀏覽器都已經支援 SSL(而大多數裝置並未自動設定為支援 IPsec VPN)。使用者可以透過瀏覽器而不是專用的 VPN 軟體應用程式連接到 SSL VPN,而不需要 IT 團隊的額外支援。(但是,這意味著非瀏覽器的網際網路活動不受 VPN 的保護。)

存取控制

存取控制是一個安全性詞彙,指用於限制使用者存取資訊、工具和軟體的原則。正確實作存取控制可以確保只有適當的人能夠存取敏感的內部資料以及檢視和編輯這些資料的軟體應用程式。VPN 通常用於存取控制,因為 VPN 外的人不能看到 VPN 內的資料。

許多大型組織需要設定不同層級的存取控制——例如,使個人貢獻者不具備與高管相同層級的存取權限。使用 IPsec VPN,連接到網路的所有使用者都是該網路的正式成員。他們可以看到 VPN 中包含的所有資料。因此,使用 IPsec VPN 的組織需要設定和配置多個 VPN 以允許不同層級的存取。有些使用者可能需要登入多個 VPN 才能執行他們的工作。

相比之下,SSL VPN 更容易針對個人化的存取控制進行設定。IT 團隊可以根據不同的應用程式授予使用者存取權限。

內部部署與雲端應用程式

傳統的內部部署應用程式在組織的內部基礎結構中執行,例如現場資料中心。IPsec VPN 通常最適合與這些應用程式搭配使用,因為使用者透過內部網路而不是公用網際網路存取它們,並且 IPsec 在網路層運作。

基於雲端的應用程式(也稱為 SaaS(軟體即服務)應用程式)透過公用網際網路存取,並遠端託管在雲端。SSL VPN 可以輕鬆與基於雲端的應用程式整合,但需要額外的設定才能與內部部署應用程式協同工作。

Cloudflare 有什麼產品可替代 VPN 進行存取控制?

Cloudflare Access 使企業能夠在不使用 VPN 的情況下控制和保護對內部應用程式的存取。Cloudflare Access 將應用程式置於 Cloudflare 全球網路後方,幫助內部部署和雲端應用程式保持安全。