SSL VPN,与传统的IPSec VPN技术各具特色,各有千秋。工业级4g无线路由器的SSL VPN比较适合用于移动用户的远程接入(Client-Site),而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。这两种产品将在VPN市场上长期共存,优势互补。在产品的表现形式上,两者有以下几大差异:
1、IPsec VPN多用于“网—网”连接,SSL VPN用于“移动客户—网”连接。SSL VPN的移动用户使用标准的浏览器,工业级4g无线路由器的无需安装客户端程序,即可通过SSL VPN隧道接入内部网络;而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。
2、SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN。IPsec VPN对所有的IP应用均透明;而SSL VPN保护基于Web的应用更有优势,当然好的产品也支持TCP/UDP的C/S应用,例如文件共享、网络邻居、Ftp、Telnet、Oracle等。
3、SSL VPN用户不受上网方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,工业级4g无线路由器的而且需要Firewall打开UDP500端口。
4、SSL VPN只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点,网管专业性较强。
5、SSL VPN 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec VPN主要基于IP组对用户进行访问控制。
在实现技术及应用方面,工业级4g无线路由器的从以下四个方面论述:
一、SSL VPN和IPSec VPN在底层协议上的区别
简单来说,SSL和IPSec两个都是加密的通讯协议, 从任何TCP网络来保护基于IP的数据流。这两种通讯协议都有它们自己独特的特色和好处。
IPSec协议是网络层协议, 是为保障IP通信而提供的一系列协议族。SSL协议则是套接层协议,它是保障在Internet上基于Web的通信的安全而提供的协议。
IPSec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。IPSec能为IPv4/IPv6网络提供能共同操作使用的、高品质的、基于加密的安全机制。提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。
SSL用公钥加密通过SSL连接传输的数据来工作。SSL是一种高层安全协议,建立在应用层上。工业级4g无线路由器的SSL VPN使用SSL协议和代理为终端用户提供HTTP、客户机/服务器和共享的文件资源的访问认证和访问安全SSL VPN传递用户层的认证。确保只有通过安全策略认证的用户可以访问指定的资源。
SSL是专门设计来保护HTTP通讯协议。当浏览器和Web服务器双方皆已设定好来支持SSL时,如果透过这个通讯协议所传输的数据流加密,SSL将提供一个安全的”封套”来保护浏览器和Web服务器中的IP封包。在IPSec和SSL通讯协议的设计上有一些原理上的不同。第一,IPSec是以网络层为中心,而SSL是以应用层为中心。第二,IPSec需要专门的使用端软件,而SSL使用任何SSL支持的浏览器为使用端。最后,SSL原本是以机动性为中心而IPSec不是。
二、 SSL VPN 和IPSec VPN在连接方式上的区别
在连接方式上,SSL VPN 和IPSec VPN 也有很大的区别。工业级4g无线路由器的IPSec VPN 最初设计是用来为企业的各个部门之间提供站点到站点通信的。由于企业将用户扩展到了包括远程访问,于是不得不扩充IPSec协议的标准,或者修改厂商实现的协议。
IPSec VPN通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户PC就如同物理地处于企业LAN中。它要求软硬件兼容,要求”隧道”两端几乎只能是同一个供应商的软件。采用IPSec VPN,企业要指定”隧道”两端使用的技术,但是很少有公司能够或者愿意强迫他们的合作伙伴或者客户也选用这个技术,这就限制了通过IPSec VPN建立企业外网的应用。
相对于传统的IPSec VPN,SSL能让企业实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳SSL VPN作为远程安全接入技术,主要看重的是其方便的接入能力。
SSL VPN提供增强的远程安全接入功能。IPSec VPN的接入方式,使用户PC就如同物理地处于企业LAN中。这带来很多安全风险,尤其是在接入用户权限过大的情况下。SSL VPN提供安全、可代理连接,只有经认证的用户才能对资源进行访问,这就安全多了。SSL VPN能对加密隧道进行细分,从而使得终端用户能够同时接入Internet和访问内部企业网资源,也就是说它具备可控功能。另外,SSL VPN还能细化接入控制功能,易于将不同访问权限赋予不同的用户,实现伸缩性访问;这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。
SSL VPN基本上不受接入位置限制,可以从众多Internet接入设备、任何远程位置访问网络资源。SSL VPN通信基于标准TCP/UDP协议传输,因而能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入,无论是处于其他公司网络中基于代理的防火墙之后,或是宽带连接中。而IPSec VPN在稍复杂的网络结构中则难于实现。另外,SSL VPN能实现从可管理企业设备或非管理设备接入,如家用PC或公共Internet接入场所,而IPSec VPN客户端只能从可管理或固定设备接入。随着远程接入需求的不断增长,远程接入IPSec VPN在访问控制方面受到极大挑战,而且管理和运行成本较高,它是实现点对点连接的最佳解决方案,但要实现任意位置的远程安全接入,SSL VPN则要更加理想。
三、SSL VPN 和IPSec VPN在安全方面的区别
IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。工业级4g无线路由器的仅保护从客户到公司网络边缘连接的安全,不管怎样,所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SSL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
使用IPSec的联机方式,每一个使用者端在网络上会被当成一个节点,而此联机会一直处于激活的状态(Active)。因此,一但使用者端的计算机被黑客或病毒入侵,黑客就可以透过此网络连结进入另一个端点,也就是公司内部。因这样的运作模式,此节点很有可能成为黑客、病毒入侵的管道。使用SSL VPN的方式做网络联机则可以避免这样的问题发生。因为,SSL VPN的一大特点就是具有Session保护功能,就是在会话停止一段时间以后切自动断联机,如果需要继续访问则需要重新登录。这样的SSL通讯协议机制可以有效避免黑客和病毒的入侵威胁。
远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,都可以被侦测到,这就提供了黑客攻击的机会。若是采取SSL VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络机制,所受到的威胁也仅是所联机的应用系统,攻击机会相对减少许多。
四、SSL VPN和IPSec VPN在企业应用方面的互补
许多专家认为,就通常的企业高级用户和LAN-to-LAN连接所需要的直接访问企业网络功能而言,IPSec VPN的优势无可比拟。然而,典型的SSL VPN却被认为最适合于普通远程员工访问基于Web的应用。因而,如果需要更全面的、面向基于浏览器应用的访问,以及面向远程员工、把所有办公室连接起来,SSL VPN无疑是首选。
另一方面,SSL VPN不需要在最终用户的PC和便携式电脑上装入另外的客户软件。有些公司之所以选择SSL而不是IPSec,这项不需要客户软件的功能正是一个重要因素。除此之外,SSL VPN还有其它经常被提到的特性,包括降低部署成本、减小对日常性支持和管理的需求。此外,因为所有内外部流量通常都经过单一的硬件设备,这样就可以控制对资源和URL的访问。
厂商推出这类不需要客户软件的VPN产品后,用户就能通过与因特网连接的任务设备实现连接,并借助于SSL隧道获得安全访问。这需要在企业防火墙后面增添硬件,但企业只要管理一种设备,不必维护、升级及配置客户软件。
因为最终用户通过与因特网连接的任何设备就能访问企业的网络,SSL更容易满足大多数员工对移动连接的需求。不过这种方案的问题在于,SSL VPN的加密级别通常不如IPSec VPN高。所以,尽管部署和支持成本比较低,但SSL VPN仍有其缺点。同时,SSL VPN还具有一定的局限性,只能访问通过网络浏览器连接的资源。
SSL VPN在不需要客户软件的运行环境中有其效率和好处,但在性能、应用覆盖等方面也存在问题。SSL VPN这种方案可以解决操作系统的客户软件问题、客户软件维护问题,但肯定不能完全替代IPSec VPN,因为各自所要解决的是几乎没多少重叠的两种不同问题。
对需要远程访问的大多数公司而言,所支持的应用应当包括公司为尽量提高效率、生产力和盈利能力所需要的各种应用。SSL VPN能支持的应用种类比较有限。
大多数SSL VPN都是HTTP反向代理,这样它们非常适合于具有Web功能的应用,只要通过任何Web浏览器即可访问。HTTP反向代理支持其它的查询/应答应用,譬如基本的电子邮件及许多企业的生产力工具,譬如ERP和CRM等客户机/服务器应用。为了访问这些类型的应用,SSL VPN为远程连接提供了简单、经济的一种方案。它属于即插即用型的,不需要任何附加的客户端软件或硬件。
然而,同样这个优点偏偏成了SSL VPN的最大局限因素:用户只能访问所需要的应用和数据资源当中的一小部分。SSL VPN无法为远程访问应用提供全面的解决方案,因为它并不有助于访问内部开发的应用,也不有助于访问要求多个渠道和动态端口以及使用多种协议这类复杂的应用。不过这对公司及远程用户来说却是一个关键需求。譬如说,SSL VPN没有架构来支持即时消息传送、多播、数据馈送、视频会议及VoIP。
尽管SSL能够保护由HTTP创建的TCP通道的安全,但它并不适用于UDP通道。然而,如今企业对应用的支持要求支持各种类型的应用:TCP和UDP、客户机/服务器和Web、现成和内部开发的程序。在这方面就需要应用IPSec VPN才能胜任。
理想的应用情况是:企业在总部和各个分部之间通过IPSec VPN进行连接,这样可以把总部和分部的终端包括在一个LAN中。而为移动办公或者出差的人员提供VPN的接入服务。充分利用IPSec VPN的互补性,使企业的网络结构更加的合理
总的来说,IPSec VPN和SSL VPN在应用方面都有各自的优点和缺点。往往一方的缺点就是对方的缺点。两种技术在应用上具有很大的互补性。企业在选购VPN产品的时候,可以针对这些优缺点,结合企业自身的应用合理的选择合适的VPN产品。
深圳市智联物联科技有限公司是一家致力于提供工业级无线网络通讯产品和解决方案的物联网企业,智联物联科技集产品研发、生产、销售、技术服务及定制化开发于一体。公司成立以来,为各行各业提供基于移动通信M2M系列产品和解决方案;工业级3G/4G无线路由器,4g工业路由器,4G dtu,车载wifi,PLC远程控制网关,工业路由器,工业级路由器,工业级无线路由器,工业级4g无线路由器,3g路由器,4g路由器,工业4G网关,工业无线路由器,打印服务器,串口服务器
遍及智能电力、智能交通、智能消防、智能家居、智慧水利、智慧医疗、快递柜、充电桩、自助终端、公共安全、安防通信、工业监测、环境保护、环境监测、路灯照明、花卉栽培、车载Wifi等多个领域。
智联物联拥有一支专业的工业网络通讯产品研发团队,由具有丰富的电子产品开发经验的电子工程师、软件工程师和丰富的系统应用经验的网络工程师组成,以工业产品的开发流程和标准,采用国际领先的技术,不断创新,追求卓越,开发出一系列稳定、可靠的工业通讯产品,获得了多项发明和专利。
企业文化:智联物联以专业的团队、优质的产品、完善的服务得到客户的信任和认可。
智联物联价值观:专业合作、诚信立业、创新兴业、客户满意。www.szchilink.com
一、工业级设计
1.采用高性能工业级32位处理器
采用全球顶级无线解决方案高通芯片,处理速度快,功耗小,发热量低,兼容性强,更加稳定,能满足一年365天7*24小时长时间稳定运行不掉线。
2.采用高性能工业级通信模块
采用华为等一线品牌高质量的通信模块,接收能力强,信号稳定,传输更快。
操作系统
采用OpenWRT一个高度模块化、高度自动化的嵌入式Linux系统,让设备更加稳定,拥有128Mb超大Flash、1G超大内存,可以支持个性化定制开发的需求。
优质的PCB线路板,采用工业级元器件
公司产品线路板采用高品质材质,高标准生产,4层板工艺,产品元器件采用性能稳定的工业级元器件,全部机器自动化实现贴片生产,保证了产品的稳定可靠。
电源采用宽电压设计
支持DC5V-36V,内置电源反相保护和过压过流保护,承受瞬间电压电流过高的冲击。
以太网采用千兆网口,内置电磁防护
以太网接口内置1.5KV电磁隔离保护,千兆网口,传输速度更快。
抗干扰能力强
外壳采用加厚金属外壳,屏蔽电磁干扰,设备防护等级IP34,适合在环境恶劣的工业环境下使用。
二、功能强大
1.多模多卡,负载均衡
扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
支持全球网络制式
支持国内三大运营商2G、3G、4G网络制式,或者支持欧洲,或者支持东南亚,或者支持非洲,或者支持拉美等国家的2G、3G、4G网络制式。
支持有线无线备份
WAN口和LAN口可弹性切换,支持WAN口有线和无线备份,有线优先、无线备份。
串口传输
支持同时串口232/485串口传输。
支持APN/VPDN专网卡,支持多种VPN
支持APN/VPDN专网卡使用,同时支持PPTP、L2TP、Ipsec、OpenVPN、GRE等多种VPN。
强大的 WIFI功能
具备WIFI功能,可隐藏SSID,同时支持3路WiFi,最多可支持15个信道,可同时接入50个设备,WIFI支持802.11b/g/n,支持WIFI AP、AP Client,中继器,中继桥接和WDS等多种工作模式,支持802.11ac,即5.8g(可选)。
支持IP穿透功能
可实现主机IP为路由器获取的IP地址,相当于主机直接插卡拨号上网获取基站IP。
支持VLAN虚拟局域网划分
通过VLAN的划分,增强局域网的安全性,VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境。
支持QOS,带宽限速
支持不同网口带宽限速,IP限速,总带宽限速。
支持DHCP,DDNS,防火墙,NAT,以及DMZ主机等功能
支持ICMP,TCP,UDP,Telnet,FTP,HTTP,HTTPS等网络协议
支持定时重启、手机短信控制上下线
可选支持portal广告,短信认证,微信认证,GPS/北斗定位功能(可选)
支持M2M云平台管理,手机监控和WEB监控
设备数据监控、流量限制功能、资源推送、统计报表、远程设备管理(远程重启,WiFi开关),远程参数修改,流量限制,gps定位追踪轨迹。
三、稳定可靠
1.支持硬件WDT看门狗,提供防掉线机制,确保数据终端永远在线。
2.支持ICMP检测,流量检测,及时发现网络异常自动重启设备,保证系统长期使用稳定可靠。
3.工业级设计,金属外壳,抗干扰、防辐射,湿度95%无凝结,耐高温耐低温,零下30度至高温75度也可以正常工作。
4.产品通过CCC认证,欧洲CE认证等多种认证
操作简单,方便易用
1.上网简单,推杆式用户卡接口,插入手机卡/物联网卡/专网卡,上电后即可联网使用网口和WIFI。
2.支持软硬件恢复出厂设置,可软件清除参数,可硬件RST一键恢复出厂设置。
3.产品快速使用说明书,WEB菜单式页面,可以快速设置使用设备。
4.诊断工具:日志下载查看,远程日志记录,ping检测,路由追踪,方便检测设备信息。