SSL VPN,與傳統的IPSec VPN技術各具特色,各有千秋。工業級4g無線路由器的SSL VPN比較適合用于移動用戶的遠程接入(Client-Site),而IPSec VPN則在網對網(Site-Site)的VPN連接中具備先天優勢。這兩種產品將在VPN市場上長期共存,優勢互補。在產品的表現形式上,兩者有以下幾大差異:
1、IPsec VPN多用于“網—網”連接,SSL VPN用于“移動客戶—網”連接。SSL VPN的移動用戶使用標準的瀏覽器,工業級4g無線路由器的無需安裝客戶端程序,即可通過SSL VPN隧道接入內部網絡;而IPSec VPN的移動用戶需要安裝專門的IPSec客戶端軟件。
2、SSL VPN是基于應用層的VPN,而IPsec VPN是基于網絡層的VPN。IPsec VPN對所有的IP應用均透明;而SSL VPN保護基于Web的應用更有優勢,當然好的產品也支持TCP/UDP的C/S應用,例如文件共享、網絡鄰居、Ftp、Telnet、Oracle等。
3、SSL VPN用戶不受上網方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客戶端需要支持“NAT穿透”功能才能穿透Firewall,工業級4g無線路由器的而且需要Firewall打開UDP500端口。
4、SSL VPN只需要維護中心節點的網關設備,客戶端免維護,降低了部署和支持費用。而IPSec VPN需要管理通訊的每個節點,網管專業性較強。
5、SSL VPN 更容易提供細粒度訪問控制,可以對用戶的權限、資源、服務、文件進行更加細致的控制,與第三方認證系統(如:radius、AD等)結合更加便捷。而IPSec VPN主要基于IP組對用戶進行訪問控制。
在實現技術及應用方面,工業級4g無線路由器的從以下四個方面論述:
一、SSL VPN和IPSec VPN在底層協議上的區別
簡單來說,SSL和IPSec兩個都是加密的通訊協議, 從任何TCP網絡來保護基于IP的數據流。這兩種通訊協議都有它們自己獨特的特色和好處。
IPSec協議是網絡層協議, 是為保障IP通信而提供的一系列協議族。SSL協議則是套接層協議,它是保障在Internet上基于Web的通信的安全而提供的協議。
IPSec針對數據在通過公共網絡時的數據完整性、安全性和合法性等問題設計了一整套隧道、加密和認證方案。IPSec能為IPv4/IPv6網絡提供能共同操作使用的、高品質的、基于加密的安全機制。提供包括存取控制、無連接數據的完整性、數據源認證、防止重發攻擊、基于加密的數據機密性和受限數據流的機密性服務。
SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL是一種高層安全協議,建立在應用層上。工業級4g無線路由器的SSL VPN使用SSL協議和代理為終端用戶提供HTTP、客戶機/服務器和共享的文件資源的訪問認證和訪問安全SSL VPN傳遞用戶層的認證。確保只有通過安全策略認證的用戶可以訪問指定的資源。
SSL是專門設計來保護HTTP通訊協議。當瀏覽器和Web服務器雙方皆已設定好來支持SSL時,如果透過這個通訊協議所傳輸的數據流加密,SSL將提供一個安全的”封套”來保護瀏覽器和Web服務器中的IP封包。在IPSec和SSL通訊協議的設計上有一些原理上的不同。第一,IPSec是以網絡層為中心,而SSL是以應用層為中心。第二,IPSec需要專門的使用端軟件,而SSL使用任何SSL支持的瀏覽器為使用端。最后,SSL原本是以機動性為中心而IPSec不是。
二、 SSL VPN 和IPSec VPN在連接方式上的區別
在連接方式上,SSL VPN 和IPSec VPN 也有很大的區別。工業級4g無線路由器的IPSec VPN 最初設計是用來為企業的各個部門之間提供站點到站點通信的。由于企業將用戶擴展到了包括遠程訪問,于是不得不擴充IPSec協議的標準,或者修改廠商實現的協議。
IPSec VPN通過在兩站點間創建隧道提供直接(非代理方式)接入,實現對整個網絡的透明訪問;一旦隧道創建,用戶PC就如同物理地處于企業LAN中。它要求軟硬件兼容,要求”隧道”兩端幾乎只能是同一個供應商的軟件。采用IPSec VPN,企業要指定”隧道”兩端使用的技術,但是很少有公司能夠或者愿意強迫他們的合作伙伴或者客戶也選用這個技術,這就限制了通過IPSec VPN建立企業外網的應用。
相對于傳統的IPSec VPN,SSL能讓企業實現更多遠程用戶在不同地點接入,實現更多網絡資源訪問,且對客戶端設備要求低,因而降低了配置和運行支撐成本。很多企業用戶采納SSL VPN作為遠程安全接入技術,主要看重的是其方便的接入能力。
SSL VPN提供增強的遠程安全接入功能。IPSec VPN的接入方式,使用戶PC就如同物理地處于企業LAN中。這帶來很多安全風險,尤其是在接入用戶權限過大的情況下。SSL VPN提供安全、可代理連接,只有經認證的用戶才能對資源進行訪問,這就安全多了。SSL VPN能對加密隧道進行細分,從而使得終端用戶能夠同時接入Internet和訪問內部企業網資源,也就是說它具備可控功能。另外,SSL VPN還能細化接入控制功能,易于將不同訪問權限賦予不同的用戶,實現伸縮性訪問;這種精確的接入控制功能對遠程接入IPSec VPN來說幾乎是不可能實現的。
SSL VPN基本上不受接入位置限制,可以從眾多Internet接入設備、任何遠程位置訪問網絡資源。SSL VPN通信基于標準TCP/UDP協議傳輸,因而能遍歷所有NAT設備、基于代理的防火墻和狀態檢測防火墻。這使得用戶能夠從任何地方接入,無論是處于其他公司網絡中基于代理的防火墻之后,或是寬帶連接中。而IPSec VPN在稍復雜的網絡結構中則難于實現。另外,SSL VPN能實現從可管理企業設備或非管理設備接入,如家用PC或公共Internet接入場所,而IPSec VPN客戶端只能從可管理或固定設備接入。隨著遠程接入需求的不斷增長,遠程接入IPSec VPN在訪問控制方面受到極大挑戰,而且管理和運行成本較高,它是實現點對點連接的最佳解決方案,但要實現任意位置的遠程安全接入,SSL VPN則要更加理想。
三、SSL VPN 和IPSec VPN在安全方面的區別
IPSec安全協議的一個主要優勢就是只需要在客戶和網絡資源邊緣處建立通道。工業級4g無線路由器的僅保護從客戶到公司網絡邊緣連接的安全,不管怎樣,所有運行在內部網絡的數據是透明的,包括任何密碼和在傳輸中的敏感數據。SSL安全通道是在客戶到所訪問的資源之間建立的,確保端到端的真正安全。無論在內部網絡還是在因特網上數據都不是透明的。客戶對資源的每一次操作都需要經過安全的身份驗證和加密。
使用IPSec的聯機方式,每一個使用者端在網絡上會被當成一個節點,而此聯機會一直處于激活的狀態(Active)。因此,一但使用者端的計算機被黑客或病毒入侵,黑客就可以透過此網絡連結進入另一個端點,也就是公司內部。因這樣的運作模式,此節點很有可能成為黑客、病毒入侵的管道。使用SSL VPN的方式做網絡聯機則可以避免這樣的問題發生。因為,SSL VPN的一大特點就是具有Session保護功能,就是在會話停止一段時間以后切自動斷聯機,如果需要繼續訪問則需要重新登錄。這樣的SSL通訊協議機制可以有效避免黑客和病毒的入侵威脅。
遠程用戶以IPSec VPN的方式與公司內部網絡建立聯機之后,內部網絡所連接的應用系統,都可以被偵測到,這就提供了黑客攻擊的機會。若是采取SSL VPN來聯機,因為是直接開啟應用系統,并沒在網絡層上連接,黑客不易偵測出應用系統內部網絡機制,所受到的威脅也僅是所聯機的應用系統,攻擊機會相對減少許多。
四、SSL VPN和IPSec VPN在企業應用方面的互補
許多專家認為,就通常的企業高級用戶和LAN-to-LAN連接所需要的直接訪問企業網絡功能而言,IPSec VPN的優勢無可比擬。然而,典型的SSL VPN卻被認為最適合于普通遠程員工訪問基于Web的應用。因而,如果需要更全面的、面向基于瀏覽器應用的訪問,以及面向遠程員工、把所有辦公室連接起來,SSL VPN無疑是首選。
另一方面,SSL VPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec,這項不需要客戶軟件的功能正是一個重要因素。除此之外,SSL VPN還有其它經常被提到的特性,包括降低部署成本、減小對日常性支持和管理的需求。此外,因為所有內外部流量通常都經過單一的硬件設備,這樣就可以控制對資源和URL的訪問。
廠商推出這類不需要客戶軟件的VPN產品后,用戶就能通過與因特網連接的任務設備實現連接,并借助于SSL隧道獲得安全訪問。這需要在企業防火墻后面增添硬件,但企業只要管理一種設備,不必維護、升級及配置客戶軟件。
因為最終用戶通過與因特網連接的任何設備就能訪問企業的網絡,SSL更容易滿足大多數員工對移動連接的需求。不過這種方案的問題在于,SSL VPN的加密級別通常不如IPSec VPN高。所以,盡管部署和支持成本比較低,但SSL VPN仍有其缺點。同時,SSL VPN還具有一定的局限性,只能訪問通過網絡瀏覽器連接的資源。
SSL VPN在不需要客戶軟件的運行環境中有其效率和好處,但在性能、應用覆蓋等方面也存在問題。SSL VPN這種方案可以解決操作系統的客戶軟件問題、客戶軟件維護問題,但肯定不能完全替代IPSec VPN,因為各自所要解決的是幾乎沒多少重疊的兩種不同問題。
對需要遠程訪問的大多數公司而言,所支持的應用應當包括公司為盡量提高效率、生產力和盈利能力所需要的各種應用。SSL VPN能支持的應用種類比較有限。
大多數SSL VPN都是HTTP反向代理,這樣它們非常適合于具有Web功能的應用,只要通過任何Web瀏覽器即可訪問。HTTP反向代理支持其它的查詢/應答應用,譬如基本的電子郵件及許多企業的生產力工具,譬如ERP和CRM等客戶機/服務器應用。為了訪問這些類型的應用,SSL VPN為遠程連接提供了簡單、經濟的一種方案。它屬于即插即用型的,不需要任何附加的客戶端軟件或硬件。
然而,同樣這個優點偏偏成了SSL VPN的最大局限因素:用戶只能訪問所需要的應用和數據資源當中的一小部分。SSL VPN無法為遠程訪問應用提供全面的解決方案,因為它并不有助于訪問內部開發的應用,也不有助于訪問要求多個渠道和動態端口以及使用多種協議這類復雜的應用。不過這對公司及遠程用戶來說卻是一個關鍵需求。譬如說,SSL VPN沒有架構來支持即時消息傳送、多播、數據饋送、視頻會議及VoIP。
盡管SSL能夠保護由HTTP創建的TCP通道的安全,但它并不適用于UDP通道。然而,如今企業對應用的支持要求支持各種類型的應用:TCP和UDP、客戶機/服務器和Web、現成和內部開發的程序。在這方面就需要應用IPSec VPN才能勝任。
理想的應用情況是:企業在總部和各個分部之間通過IPSec VPN進行連接,這樣可以把總部和分部的終端包括在一個LAN中。而為移動辦公或者出差的人員提供VPN的接入服務。充分利用IPSec VPN的互補性,使企業的網絡結構更加的合理
總的來說,IPSec VPN和SSL VPN在應用方面都有各自的優點和缺點。往往一方的缺點就是對方的缺點。兩種技術在應用上具有很大的互補性。企業在選購VPN產品的時候,可以針對這些優缺點,結合企業自身的應用合理的選擇合適的VPN產品。
深圳市智聯物聯科技有限公司是一家致力于提供工業級無線網絡通訊產品和解決方案的物聯網企業,智聯物聯科技集產品研發、生產、銷售、技術服務及定制化開發于一體。公司成立以來,為各行各業提供基于移動通信M2M系列產品和解決方案;工業級3G/4G無線路由器,4g工業路由器,4G dtu,車載wifi,PLC遠程控制網關,工業路由器,工業級路由器,工業級無線路由器,工業級4g無線路由器,3g路由器,4g路由器,工業4G網關,工業無線路由器,打印服務器,串口服務器
遍及智能電力、智能交通、智能消防、智能家居、智慧水利、智慧醫療、快遞柜、充電樁、自助終端、公共安全、安防通信、工業監測、環境保護、環境監測、路燈照明、花卉栽培、車載Wifi等多個領域。
智聯物聯擁有一支專業的工業網絡通訊產品研發團隊,由具有豐富的電子產品開發經驗的電子工程師、軟件工程師和豐富的系統應用經驗的網絡工程師組成,以工業產品的開發流程和標準,采用國際領先的技術,不斷創新,追求卓越,開發出一系列穩定、可靠的工業通訊產品,獲得了多項發明和專利。
企業文化:智聯物聯以專業的團隊、優質的產品、完善的服務得到客戶的信任和認可。
智聯物聯價值觀:專業合作、誠信立業、創新興業、客戶滿意。www.szchilink.com
一、工業級設計
1.采用高性能工業級32位處理器
采用全球頂級無線解決方案高通芯片,處理速度快,功耗小,發熱量低,兼容性強,更加穩定,能滿足一年365天7*24小時長時間穩定運行不掉線。
2.采用高性能工業級通信模塊
采用華為等一線品牌高質量的通信模塊,接收能力強,信號穩定,傳輸更快。
操作系統
采用OpenWRT一個高度模塊化、高度自動化的嵌入式Linux系統,讓設備更加穩定,擁有128Mb超大Flash、1G超大內存,可以支持個性化定制開發的需求。
優質的PCB線路板,采用工業級元器件
公司產品線路板采用高品質材質,高標準生產,4層板工藝,產品元器件采用性能穩定的工業級元器件,全部機器自動化實現貼片生產,保證了產品的穩定可靠。
電源采用寬電壓設計
支持DC5V-36V,內置電源反相保護和過壓過流保護,承受瞬間電壓電流過高的沖擊。
以太網采用千兆網口,內置電磁防護
以太網接口內置1.5KV電磁隔離保護,千兆網口,傳輸速度更快。
抗干擾能力強
外殼采用加厚金屬外殼,屏蔽電磁干擾,設備防護等級IP34,適合在環境惡劣的工業環境下使用。
二、功能強大
1.多模多卡,負載均衡
擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性。
支持全球網絡制式
支持國內三大運營商2G、3G、4G網絡制式,或者支持歐洲,或者支持東南亞,或者支持非洲,或者支持拉美等國家的2G、3G、4G網絡制式。
支持有線無線備份
WAN口和LAN口可彈性切換,支持WAN口有線和無線備份,有線優先、無線備份。
串口傳輸
支持同時串口232/485串口傳輸。
支持APN/VPDN專網卡,支持多種VPN
支持APN/VPDN專網卡使用,同時支持PPTP、L2TP、Ipsec、OpenVPN、GRE等多種VPN。
強大的 WIFI功能
具備WIFI功能,可隱藏SSID,同時支持3路WiFi,最多可支持15個信道,可同時接入50個設備,WIFI支持802.11b/g/n,支持WIFI AP、AP Client,中繼器,中繼橋接和WDS等多種工作模式,支持802.11ac,即5.8g(可選)。
支持IP穿透功能
可實現主機IP為路由器獲取的IP地址,相當于主機直接插卡撥號上網獲取基站IP。
支持VLAN虛擬局域網劃分
通過VLAN的劃分,增強局域網的安全性,VLAN技術,能將不同地點、不同網絡、不同用戶組合在一起,形成一個虛擬的網絡環境。
支持QOS,帶寬限速
支持不同網口帶寬限速,IP限速,總帶寬限速。
支持DHCP,DDNS,防火墻,NAT,以及DMZ主機等功能
支持ICMP,TCP,UDP,Telnet,FTP,HTTP,HTTPS等網絡協議
支持定時重啟、手機短信控制上下線
可選支持portal廣告,短信認證,微信認證,GPS/北斗定位功能(可選)
支持M2M云平臺管理,手機監控和WEB監控
設備數據監控、流量限制功能、資源推送、統計報表、遠程設備管理(遠程重啟,WiFi開關),遠程參數修改,流量限制,gps定位追蹤軌跡。
三、穩定可靠
1.支持硬件WDT看門狗,提供防掉線機制,確保數據終端永遠在線。
2.支持ICMP檢測,流量檢測,及時發現網絡異常自動重啟設備,保證系統長期使用穩定可靠。
3.工業級設計,金屬外殼,抗干擾、防輻射,濕度95%無凝結,耐高溫耐低溫,零下30度至高溫75度也可以正常工作。
4.產品通過CCC認證,歐洲CE認證等多種認證
操作簡單,方便易用
1.上網簡單,推桿式用戶卡接口,插入手機卡/物聯網卡/專網卡,上電后即可聯網使用網口和WIFI。
2.支持軟硬件恢復出廠設置,可軟件清除參數,可硬件RST一鍵恢復出廠設置。
3.產品快速使用說明書,WEB菜單式頁面,可以快速設置使用設備。
4.診斷工具:日志下載查看,遠程日志記錄,ping檢測,路由追蹤,方便檢測設備信息。