安全设备番外——SSLVPN与IPsecVPN

up在研究sdwan和零信任的时候涉及到了sslvpn和IPsecvpn，单独开个安全设备篇讲vpn好像没什么必要，毕竟现在小孩子都会用vpn了，就单独讲讲和安全最相关的ssl和ipsec吧。

• IPsecVPN与SSLVPN概念

SSLVPN：基于安全套接字层协议(Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。

解释：就是采用了ssl的加密方式，从这个也能看出来sslvpn主要作用在访问web资源，ssl握手过程给大家贴个图：

sslvpn更注重过程安全和用户验证，突出全局的把控，死守外部连接到局域网的安全问题。

IPsecVPN：采用IPSec协议来实现远程接入的一种VPN技术，在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。

• IPsecVPN与SSLVPN

共同点

①数据加密

②访问内网资源

不同点

①协议层不同

②应用方向不同

③投入成本不同

④可靠性不同

• 详解

Ipsecvpn注重点到点之间的访问，而sslvpn注重整个从外部接入局域网的整块安全，打个比方，假设有一座桥，桥的对面有一座城堡，桥上有一个守卫叫ipsecvpn，城堡前有一个守卫叫sslvpn，ipsecvpn会检查你的身份证，核验你的信息就对你放行了，不会管你去哪他只知道你要过桥；而到了sslvpn面前，在他核验完你的信息没问题后你告诉他你要进城堡，他说不行，请你告诉他你具体要去到哪个位置，你要去往裁缝铺，获准后他会派人监视你，路上你想顺便去商店买个果汁？对不起你没获准，请申请相应的资源。

当然了，不是说ipsecvpn就在认证上次于sslvpn，sslvpn基于应用层，高层协议的强项是对用户身份认；而ipsecvpn由于基于网络层，强项是对设备合法性进行验证，简单来说就是更注重传输过程，端点和端点之间的验证，是否合法等，这不一样的特性就构成了不一样的应用方向。

• 应用

SSLVPN——构建零信任网络体系

零信任真的是一个近两年特别火的概念，最底层的理念就是一句话：默认拒绝所有访问。突出验证的重要性和安全性，而sslvpn注重校验用户身份及访问权限的特点完全契合零信任体系，vpn本身对于企业办公的助力良多，而vpn自身安全保障不足，普通网络结构下的vpn存在巨大风险，容易产生盗取账号、冒用，已致内网失陷等严重安全事件，sslvpn基于高层协议的特殊性可以严格管控用户权限，摒弃了原先vpn默认可访问所有资源的老套路，防患于未然。

IPSec VPN——sdwan！

SDWAN（软件定义广域网），是大型企业部署广域网的常见解决方案，广域网怎么和ipsecvpn扯上关系的呢？这就sdwan的独特之处，先来看sdwan的组成结构：sdwan设备+专线就是最基础的组成（这里不对sdwan设备本身进行拆解分析），sdwan的应用面很广，这里就挑了大家比较常见的，企业广域网建设来说一说。一般来说安服仔们驻场的客户比较大的都是有多个分公司，集团+下属公司+三级公司 类似，这种情况下构建专属的内网就有一些难度了，如果各个公司之间都通过sslvpn来相互之间访问就会造成资源浪费，且效率极低，而sdwan是如何解决这个问题的呢？Sdwan的核心路线是运营商提供的专线，专线说通俗点就是从某个地方到某个地方有一条高速的网线，而各个公司之间可以通过sdwan设备挂一个ipsecvpn连上这个专线，就近原则，北京的挂北京出口，上海的挂上海出口，实现低延迟、高效率，且成本大大降低，不需要自己在各个公司之间搭物理通道，实现统一管理。

• 总结

Ipsecvpn和sslvpn都是很重要的安全vpn形式，关于两种vpn的讨论帖子很多，都是中大型企业安全架构建设的重要组成部分，过几天可能考虑开个新坑给对运营商体系感兴趣的师傅们看看关于运营商工作方向的一些知识。

原文始发于微信公众号（一己之见安全团队）：安全设备番外——SSLVPN与IPsecVPN