cisco asa 5500系列概述

《cisco asa 5500系列概述》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

CiscoASA5500系列概述Cisco®ASA5500系列自适应安全设备是能够为从小型办公室/家庭办公室和中小企业到大型企业的各类环境提供新一代安全性和VPN服务的模块化安全平台。CiscoASA5500系列能为企业提供全面的服务，而且这些服务都可以根据客户对防火墙、入侵防御（IPS）、Anti-X和VPN的要求而特别定制。CiscoASA5500系列的各版本能够在适当的位置提供适当的安全服务，因而能为企业提供卓越的安全保护。每个版本都包含一套特殊的CiscoASA服务，以满足企业网络内特殊环境的要求。随着每个位置安全需求的满足，整体网络安全性也得到了提升。由于CiscoASA5500系列支持一个平台上的标准化，因而能降低整体安全运作成本。统一配置环境不仅简化了管理，还降低了人员培训成本。另外，该系列的通用硬件平台还有助于降低备件成本。每个版本都能满足特定的企业环境需求：·防火墙版：使企业能够安全、可靠地部署关键业务应用和网络。独特的模块化设计能够提供卓越的投资保护，降低运作成本。·IPS版：通过一组防火墙、应用安全性和入侵防御服务，防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。·Anti-X版：利用全面的安全服务套件，为小型站点或远程站点的用户提供保护。企业级防火墙和VPN服务提供到公司网络的安全连接。来自TrendMicro的业内领先的Anti-X服务能够防止客户端系统遭受恶意Web站点以及病毒、间谍软件和诱骗等基于内容的威胁侵袭。·SSL/IPsecVPN版：使远程用户能够安全地访问内部网络系统和服务，为大型企业部署支持VPN集群。安全套接字层（SSL）和IPSecurity（IPsec）VPN远程接入技术将CiscoSecureDesktop等威胁迁移技术与防火墙和入侵防御服务有机地结合在一起，保证VPN流量不会给企业带来威胁。 市场领先的应用安全性能够抵御威胁的SSL和IPsecVPN服务业内领先的IPS/Anti-X服务 购买CiscoASA5500系列自适应安全设备的五大理由1.值得信赖的防火墙和威胁防御VPN技术CiscoASA5500系列建立于值得信赖的CiscoPIX安全设备和CiscoVPN3000系列集中器技术，ASA5500系列是第一个兼具市场领先的防火墙技术保护，同时提供SSL和IPsecVPN服务的解决方案。2.业内领先的Anti-X服务将TrendMicro在互联网边缘的威胁防御和内容控制优势与切实可行的思科解决方案结合在一起，提供全面的防病毒、防间谍软件、文件阻挡、防垃圾邮件、防诱骗、URL阻挡和过滤以及内容过滤服务。3.高级入侵防御服务提供主动型全功能入侵防御服务，有效阻止各种威胁，包括蠕虫、应用层攻击、操作系统级攻击、rootkit攻击、间谍软件、对等文件共享和即时消息传送。4.丰富的管理和监控服务通过CiscoAdaptiveSecurityDeviceManager（ASDM）提供直观的单设备管理和监控服务，通过CiscoSecurityManagementSuite提供企业级多设备集中管理服务。5.降低部署和运作成本由于CiscoASA5500系列提供与现有思科安全解决方案一致的设计和界面，因而能显著降低初始安全部署成本和日常管理成本。首字母缩写SSC：安全服务卡，SSM：安全服务模块，AIP-SSM：高级检测和防御安全服务模块，CSC-SSM：内容安全和控制安全服务模块，4GE-SSM：4Gbps以太网安全服务模块Cisco®ASA5500系列自适应安全设备是思科专门设计的解决方案，将最高的安全性和出色VPN服务与创新的可扩展服务架构有机地结合在一起。作为思科自防御网络的核心组件，CiscoASA5500系列能够提供主动威胁防御，在网络受到威胁之前就能及时阻挡攻击，控制网络行为和应用流量，并提供灵活的VPN连接。思科强大的多功能网络安全设备系列不但能为保护家庭办公室、分支机构、中小企业和大型企业网络提供广泛而深入的安全功能，还能降低实现这种新安全性相关的总体部署和运营成本及复杂性。CiscoASA5500系列在一个平台中有力地提供了多种已经获得市场验证的技术，无论从运营角度还是从经济角度看，都能够为多个地点部署各种安全服务。利用其多功能安全组件，企业几乎不需要作任何两难选择，也不会面临任何风险，既可以提供强有力的安全保护，又可以降低在多个地点部署多台设备的运营成本。CiscoASA5500系列包含全面的服务，通过为中小企业和大型企业定制的产品版本，能满足各种部署环境的特定需求。这些版本为各地点提供了相应的服务，从而达到出色的保护效果。每个版本都综合了一套CiscoASA5500系列的重点服务（如防火墙、IPSec和SSLVPN、IPS，以及Anti-X服务），以符合企业网络中特定环境的需要。通过确保满足每个地点的安全需求，网络整体安全性也得到了提升。CiscoASA5500系列自适应安全设备CiscoASA5500系列能够通过以下关键组件帮助企业更有效地管理网络并提供出色的投资保护：经过市场验证的安全与VPN功能-全特性、高性能的防火墙，入侵防御系统(IPS),Anti-X和IPSec/SSLVPN 技术提供了强大的应用安全性、基于用户和应用的访问控制、蠕虫与病毒防御、恶意软件防护、内容过滤以及远程用户/站点连接。可扩展的自适应识别与防御服务架构－利用CiscoASA5500系列的一个模块化服务处理和策略框架，企业可根据每个流量的情况，应用特定的安全或网络服务，提供高度精确的策略控制和各种防御服务，并简化流量处理。该架构具有出色的效率，安全服务模块（SSM）和安全服务卡则提供了软件和硬件可扩展性，因此无需更换平台，也不会降低性能，即能扩展现有服务和部署新服务。CiscoASA5500系列支持高度可定制的安全策略和前所未有的服务可扩展性，来为威胁程度迅速提高的环境提供保护。降低部署和运营成本-多功能的CiscoASA5500系列可实现平台、配置和管理的标准化，从而降低部署与日常运营本。CiscoASA5500系列简介CiscoASA5500系列包括CiscoASA5505、5510、5520、5540和5550自适应安全设备-这些定制的高性能安全解决方案充分利用了思科系统公司®在开发业界领先、屡获大奖的安全和VPN解决方案方面的丰富经验。该系列集成了CiscoPIX®500系列安全设备、CiscoIPS4200系列传感器和CiscoVPN3000系列集中器的最新技术。通过结合上述技术，CiscoASA5500系列提供了一个无与伦比的优秀解决方案，能防御范围最为广泛的威胁，为企业提供灵活、安全的连接选项。作为思科自防御网络的核心组件，CiscoASA5500系列提供了主动的威胁防御，能够在攻击蔓延到整个网络之前进行阻止，控制网络活动和应用流量，并提供灵活的VPN连接。这些功能的结合打造了强大的多功能网络安全产品系列，不但能为中小企业（SMB）、大企业和电信运营商网络提供广泛深入的安全保护，还降低了提供如此出色的安全性所涉及的部署和运营成本以及复杂性。CiscoASA5500系列具有可扩展的思科AIM服务架构和灵活的多处理器设计，使这些自适应安全设备能在提供多项并发安全服务时获得前所未有的性能，且同时实现出色的投资保护。CiscoASA5500系列自适应安全设备结合了多个协同工作的高性能处理器，以提供高级防火墙服务、IPS服务、Anti-X/内容安全服务、IPSec和SSLVPN服务等。企业能通过安装CiscoASA5500系列安全服务模块－例如提供入侵防御服务的高级检测和防御安全服务模块(AIPSSM)或提供高级Anti-X服务的CiscoASA5500系列内容安全和控制安全服务模块(CSCSSM)，添加更多高性能安全服务。这种灵活的设计使CiscoASA5500系列能够独特地应对新威胁、在快速发展的威胁环境中提供保护，并通过可编程硬件使该平台适应未来几年的变化，从而实现出色的投资保护。CiscoASA5500系列结合了这些高性能、经过市场验证的安全和VPN功能，以及集成化千兆以太网连接和基于闪存的无磁盘架构，非常适用于需要高性能、灵活、可靠且能保护投资的最佳安全解决方案的企业。所有CiscoASA5500系列设备都包括基本系统所能支持的最大IPSecVPN用户数；SSLVPN的许可和购买须单独进行。通过融合IPSec和SSLVPN服务与全面的威胁防御技术，CiscoASA5500系列提供了高度可定制的网络接入功能，来满足各种部署环境的需要，并提供了全面的终端和网络级安全。CiscoASA5550自适应安全设备CiscoASA5550自适应安全设备在一个可靠的单机架单元设备中为大型企业和电信运营商网络提供了具备主用/主用高可用性和光纤及千兆以太网连接的大量千兆级安全服务。利用其8个千兆以太网接口、4个SFP光纤接口*和多达200个的VLAN，企业可以将网络分成多个高性能分区，从而提高安全性。CiscoASA5550自适应安全设备可随着企业网络安全要求的提高而扩展，从而提供了强大的投资保护功能和服务可扩展性。企业能扩大其IPSec和SSLVPN容量，以支持更多的移动员工、远程地点和业务合作伙伴。通过安装一个SSLVPN升级许可证，企业能在每个CiscoASA5550上支持5000个SSLVPN对；基本平台上支持5000个IPSecVPN对。CiscoASA5550的集成VPN集群和负载均衡功能可提高VPN容量和永续性。CiscoASA5550在一个集群中能支持10个设备，从而使每个集群最多可支持50,000个SSLVPN对或50,000个IPSecVPN对。利用CiscoASA5550自适应安全设备的可选安全环境功能,企业可在一个设备中部署多达50个虚拟防火墙，实现部门级或每用户安全策略分区控制，同时降低管理和支持总成本。*注：该系统共提供12个千兆以太网端口，其中8个能随时提供服务。企业可选择铜缆或光纤连接，从而为数据中心、园区或企业边缘连接提供了灵活性。 CiscoASA5550自适应安全设备平台的功能和容量特性说明防火墙吞吐率高达1.2GbpsVPN吞吐率高达425Mbps并发连接650,000IPSecVPN对5,000SSLVPN对许可证级别*10、25、50、100、250、500、750、1000、2500和5000安全环境高达50个*接口8个千兆以太网端口、4个SFP光纤端口和1个快速以太网端口虚拟接口(VLAN)250可扩展性VPN集群与负载均衡高可用性主用/主用,主用/备用　CiscoASA5540CiscoASA5550　　　用户/节点无限无限防火墙吞吐率高达650Mbps高达1.2Gbps并发威胁防御吞吐率高达450Mbps，采用AIP-SSM-20不提供(防火墙+IPS服务)3DES/AESVPN吞吐率高达325Mbps高达425MbpsIPSecVPN对50005000SSLVPN对*（内置/最大）2/25002/5000并发连接400,000650,000 新建连接数/秒25,00036,000集成网络端口4个千兆以太网端口，1个快速以太网端口8个千兆以太网端口，4个SFP光纤端口，1个快速以太网端口虚拟接口(VLAN)200250安全环境(内置/最大)2/502/50高可用性主用/主用和主用/备用主用/主用和主用/备用扩展插槽1,SSM0用户可接入的闪存插槽11USB2.0端口22串行端口2个RJ-45，控制台和辅助端口2个RJ-45，控制台和辅助端口机架安装支持支持墙壁安装不支持不支持安全锁插槽（用于物理安全）00技术规格内存1024MB4096MB最低系统闪存64MB64MB系统总线多总线架构多总线架构CiscoPIX535ASA5550-K8CiscoASA5550防火墙版，8个千兆以太网端口＋1个快速以太网接口，4个千兆SFP端口，5000路IPsecVPN和2路SSLVPN，DESASA5550-BUN-K9CiscoASA5550防火墙版，8个千兆以太网端口＋1个快速以太网接口，4个千兆SFP端口，5000路IPsecVPN和2路SSLVPN，3DES/AESASA5550-SSL2500-K9CiscoASA5550SSL/IPsecVPN版，5000路IPsecVPN和2500路SSLVPN，防火墙服务，8个千兆以太网端口，1个快速以太网接口ASA5550-SSL5000-K9CiscoASA5550SSL/IPsecVPN版，5000路IPsecVPN和5000路SSLVPN，防火墙服务，8个千兆以太网端口，1个快速以太网接口产品名称产品编号CiscoASA5500系列防火墙版本捆绑CiscoASA550510用户捆绑，包括8端口快速以太网交换机，10个IPSecVPN对，2个SSLVPN对，三重数据加密标准/高级加密标准(3DES/AES)许可证ASA5505-BUN-K9CiscoASA550510用户捆绑，包括8端口快速以太网交换机，10个IPSecVPN对，2个SSLVPN对，数据加密标准(DES)许可证ASA5505-K8CiscoASA550550用户捆绑，包括8端口快速以太网交换机，10个IPSecVPN对，2个SSLVPN对，3DES/AES许可证ASA5505-50-BUN-K9CiscoASA5505无限用户捆绑，包括8端口快速以太网交换机，10个IPSecVPN对，2个SSLVPN对，3DES/AES许可证ASA5505-UL-BUN-K9 CiscoASA5505无限用户SecurityPlus捆绑，包括8端口快速以太网交换机，25个IPSecVPN对，2个SSLVPN对，DMZ，无状态主用/备用高可用性，3DES/AES许可证ASA5505-SEC-BUN-K9CiscoASA5510防火墙版本，包括3个快速以太网接口，250个IPSecVPN对，2个SSLVPN对，3DES/AES许可证ASA5510-BUN-K9CiscoASA5510防火墙版本，包括3个快速以太网接口，250个IPSecVPN对，2个SSLVPN对，DES许可证ASA5510-K8CiscoASA5510SecurityPlus防火墙版本，包括5个快速以太网接口，250个IPSecVPN对，2个SSLVPN对，主用/备用高可用性，3DES/AES许可证ASA5510-SEC-BUN-K9CiscoASA5520防火墙版本，包括4个千兆以太网接口+1个快速以太网接口，750个IPSecVPN对，2个SSLVPN对，主用/主用和主用/备用高可用性，3DES/AES许可证ASA5520-BUN-K9CiscoASA5520防火墙版本，包括4个千兆以太网接口+1个快速以太网接口，750个IPSecVPN对，2个SSLVPN对，主用/主用和主用/备用高可用性，DES许可证ASA5520-K8CiscoASA5540防火墙版本，包括4个千兆以太网接口+1个快速以太网接口，5000个IPSecVPN对，2个SSLVPN对，3DES/AES许可证ASA5540-BUN-K9CiscoASA5540防火墙版本，包括4个千兆以太网接口+1个快速以太网接口，5000个IPSecVPN对，2个SSLVPN对，DES许可证ASA5540-K8CiscoASA5550防火墙版本，包括8个千兆以太网接口+1个快速以太网接口，4个千兆SFP接口，5000个IPSecVPN对，2个SSLVPN对，3DES/AES许可证ASA5550-BUN-K9CiscoASA5550防火墙版本，包括8个千兆以太网接口+1个快速以太网接口，4个千兆SFP接口，5000个IPSecVPN对，2个SSLVPN对，DES许可证ASA5550-K8CiscoASA5500系列IPS版本捆绑CiscoASA5510IPS版本，包括AIP-SSM-10，防火墙服务，250个IPSecVPN对，2个SSLVPN对，3个快速以太网接口ASA5510-AIP10-K9CiscoASA5520IPS版本，包括AIP-SSM-10，防火墙服务，750个IPSecVPN对，2个SSLVPN对，4个千兆以太网接口，1个快速以太网接口ASA5520-AIP10-K9CiscoASA5520IPS版本，包括AIP-SSM-20，防火墙服务，750个IPSecVPN对，2个SSLVPN对，4个千兆以太网接口，1个快速以太网接口ASA5520-AIP20-K9CiscoASA5540IPS版本，包括AIP-SSM-20模块，防火墙服务，5000个IPSecVPN对，2个SSLVPN对，4个千兆以太网接口，1个快速以太网接口ASA5540-AIP20-K9CiscoASA5500系列Anti-X版本捆绑CiscoASA5510Anti-X版本，包括CSC-SSM-10，针对50名用户、为期一年的防病毒/防间谍软件功能，防火墙服务，250个IPSecVPN对，2个SSLVPN对，3个快速以太网接口ASA5510-CSC10-K9CiscoASA5510Anti-X版本，包括CSC-SSM-20，针对500名用户、为期一年的防病毒/防间谍软件功能，防火墙服务，250个IPSecVPN对，2个SSLVPN对，3个快速以太网接口ASA5510-CSC20-K9 CiscoASA5520Anti-X版本，包括CSC-SSM-10，针对50名用户、为期一年的防病毒/防间谍软件功能，防火墙服务，750个IPSecVPN对，2个SSLVPN对，4个千兆以太网接口，1个快速以太网接口ASA5520-CSC10-K9CiscoASA5520Anti-X版本，包括CSC-SSM-20，针对500名用户、为期一年的防病毒/防间谍软件功能，防火墙服务，750个IPSecVPN对，2个SSLVPN对，4个千兆以太网接口，1个快速以太网接口ASA5520-CSC20-K9CiscoASA5500系列VPN版本捆绑CiscoASA5505VPN版本，包括10个IPSecVPN对，10个SSLVPN对，防火墙服务，8端口快速以太网交换机ASA5505-SSL10-K9CiscoASA5505VPN版本，包括25个IPSecVPN对，25个SSLVPN对，防火墙服务，8端口快速以太网交换机，SecurityPlus许可证ASA5505-SSL25-K9CiscoASA5510VPN版本，包括250个IPSecVPN对，50个SSLVPN对，防火墙服务，3个快速以太网接口ASA5510-SSL50-K9CiscoASA5510VPN版本，包括250个IPSecVPN对，100个SSLVPN对，防火墙服务，3个快速以太网接口ASA5510-SSL100-K9CiscoASA5510VPN版本，包括250个IPSecVPN对，250个SSLVPN对，防火墙服务，3个快速以太网接口ASA5510-SSL250-K9CiscoASA5520VPN版本，包括750个IPSecVPN对，500个SSLVPN对，防火墙服务，4个千兆以太网接口，1个快速以太网接口ASA5520-SSL500-K9CiscoASA5540VPN版本，包括5000个IPSecVPN对，1000个SSLVPN对，防火墙服务，4个千兆以太网接口，1个快速以太网接口ASA5540-SSL1000-K9CiscoASA5540VPN版本，包括5000个IPSecVPN对，2500个SSLVPN对，防火墙服务，4个千兆以太网接口，1个快速以太网接口ASA5540-SSL2500-K9CiscoASA5550VPN版本，包括5000个IPSecVPN对，2500个SSLVPN对，防火墙服务，8个千兆以太网接口，1个快速以太网接口ASA5550-SSL2500-K9CiscoASA5550VPN版本，包括5000个IPSecVPN对，5000个SSLVPN对，防火墙服务，8个千兆以太网接口，1个快速以太网接口ASA5550-SSL5000-K9安全服务模块CiscoASA高级检测和防御安全服务模块10ASA-SSM-AIP-10-K9=CiscoASA高级检测和防御安全服务模块20ASA-SSM-AIP-20-K9=CiscoASA内容安全和控制安全服务模块10，提供针对50名用户、为期一年的防病毒/防间谍软件功能ASA-SSM-CSC-10-K9=CiscoASA内容安全和控制安全服务模块20，提供针对500名用户、为期一年的防病毒/防间谍软件功能ASA-SSM-CSC-20-K9=CiscoASA4端口千兆以太网安全服务模块SSM-4GE=CiscoASA5500系列软件面向非支持合同客户的CiscoASA软件一次性升级ASA-SW-UPGRADE=CiscoASA5500系列附件CiscoASA5500系列小型闪存,256MBASA5500-CF-256MB=CiscoASA5500系列小型闪存,512MBASA5500-CF-512MB=CiscoASA180WAC电源ASA-180W-PWR-AC=千兆以太网光SFP连接器，1000BASE-SX短波长收发器GLC-SX-MM= 千兆以太网光SFP连接器，1000BASE-LX/LH长波长/长距离收发器GLC-LH-SM=订购信息CiscoASA5500系列SSL/IPsecVPN版的部分订购信息如表2和表3所示。所有CiscoASA5500系列设备的基本机箱配置中都支持最高IPsec并发用户数。所有SSLVPN特性都包含在一个特性许可证中。每个CiscoASA5500型号都通过购买SSLVPN许可证支持SSLVPN。CiscoASA5500系列上的SSLVPN可以作为版本套件在一个部件号下购买，也可以独立购买机箱和SSLVPN特性许可证，如表3所示。如果想下订单，请访问思科订购首页。表2版本套件的订购信息SSLVPN用户要求版本套件版本套件部件号10个SSLVPN用户CiscoASA5505SSL/IPsecVPN版，10个SSLVPN用户ASA5505-SSL10-K925个SSLVPN用户CiscoASA5505SSL/IPsecVPN版，25个SSLVPN用户ASA5505-SSL25-K950个SSLVPN用户CiscoASA5510SSL/IPsecVPN版，50个SSLVPN用户ASA5510-SSL50-K9100个SSLVPN用户CiscoASA5510SSL/IPsecVPN版，100个SSLVPN用户ASA5510-SSL100-K9250个SSLVPN用户CiscoASA5510SSL/IPsecVPN版，250个SSLVPN用户ASA5510-SSL250-K9500个SSLVPN用户CiscoASA5520SSL/IPsecVPN版，500个SSLVPN用户ASA5520-SSL500-K91000个SSLVPN用户CiscoASA5540SSL/IPsecVPN版，1000个SSLVPN用户ASA5540-SSL1000-K92500个SSLVPN用户CiscoASA5540SSL/IPsecVPN版，2500个SSLVPN用户ASA5540-SSL2500-K92500个SSLVPN用户CiscoASA5550SSL/IPsecVPN版，2550个SSLVPN用户ASA5550-SSL2500-K95000个SSLVPN用户CiscoASA5550SSL/IPsecVPN版，5000个SSLVPN用户ASA5550-SSL5000-K9表3个人许可证的订购信息CiscoASA机箱和适用的SSLVPN许可证SSLVPN用户要求部件号CiscoASA5505CiscoASA5510CiscoASA5520CiscoASA5540CiscoASA5550 10个SSLVPN用户ASA5500-SSL-10×××××25个SSLVPN用户ASA5500-SSL-25×××××50个SSLVPN用户ASA5500-SSL-50—××××100个SSLVPN用户ASA5500-SSL-100—××××250个SSLVPN用户ASA5500-SSL-250—××××500个SSLVPN用户ASA5500-SSL-500——×××750个SSLVPN用户ASA5500-SSL-750——×××1000个SSLVPN用户ASA5500-SSL-1000———××2500个SSLVPN用户ASA5500-SSL-2500———××5000个SSLVPN用户ASA5500-SSL-5000————×Anti-X服务提供全面的恶意软件防御和内容控制功能，使企业可充分发挥互联网的作用，且无需担忧客户端系统遭受感染和威胁所带来的风险及成本的一种服务!IPS（IntrusionPreventionSystem,入侵防御系统）简单来说，IPS是位于防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。虚拟专用网络（VirtualPrivateNetwork，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、FrameRelay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了彩隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。SSLVPN与IPsecVPN安全比较随着SSLVPN应用的逐渐加温，越来越多的企业开始采纳SSLVPN的网络架构，来解决企业的远程访问需求。但是自然有许多的观望者，质疑SSLVPN的安全性和网络的兼容性。对于网络的兼容性，由于IPSec和SSL采取Internet网络中的不同网络层来进行安全加密处理，以建立网络安全通道，因此在网络的安全管理等级上，各有所长。以下，我们分别从不同的角度来探讨这两种VPN应用的安全区别。　　1.安全通道(SecureTunnel)－IPSec和SSL这两种安全协议，都有采用对称式(Symmetric)和非对称式(Asymmetric)的加密算法来执行加密作业。在安全的通道比较上，并没有谁好谁坏之差，仅在于应用上的不同。以下批注来自美国纽约州水牛城Catholic Health系统公司的网络和技术服务总监，"这不是谁对谁错的问题，而是何者可以满足不同的需求"。CatholicHealth系统公司提供四所医院相关医疗单位的网络系统和技术服务。最近他们采用了SSLVPN系统给500位医生和诊所，可以从远程来执行医疗操作系统，查询和更新病人的所有数据，但是他们仍然采用IPSecVPN来连结医院之间点对点的网络。　　2.认证和权限控管－IPSec采取InternetKeyExchange(IKE)方式，使用数字凭证(DigitalCertificate)或是一组SecretKey来做认证，而SSL仅能使用数字凭证，如果都是采取数字凭证来认证，两者在认证的安全等级上就没有太大的差别。SSL的认证，大多数的厂商都会建置硬件的token，来提升认证的安全性。对于使用权限的控管，IPSec可以支持「Selectors」，让网络封包过滤喊阻隔某些特定的主机货应用系统。但是实际作业上，大多数人都是开发整个网段(Subset)，以避免太多的设定所造成的麻烦。SSL可以设定不同的使用者，执行不同的应用系统，它在管理和设定上比IPSec简单方便许多。　　3.安全测试－IPSecVPN已经有多年的发展，有许多的学术和非营利实验室，提供各种的测试准则和服务，其中以ICSALabs是最常见的认证实验室，大多数的防火墙，VPN厂商，都会以通过它的测试及认证为重要的基准。但SSLVPN在这方面，则尚未有一个公正的测试准则，但是ICSALabs实验室也开始着手SSL/TLC的认证计划，预计在今年底可以完成第一阶段的Crypto运算建置及基础功能测试程序。　　4.应用系统的攻击－远程用户以IPSecVPN的方式与公司内部网络建立联机之后，内部网络所连接的应用系统，都是可以侦测得到，这就提供了黑客攻击的机会。若是采取SSL-VPN来联机，因为是直接开启应用系统，并没在网络层上连接，黑客不易侦测出应用系统内部网络物制，所受到的威胁也仅是所联机的这个应用系统，攻击机会相对就减少。　　　5.病毒入侵－一般企业在Internet联机入口，都是采取适当的防毒侦测措施。不论是IPSecVPN或SSLVPN联机，对于入口的病毒侦测效果是相同的，但是比较从远程客户端入侵的可能性，就会有所差别。采用IPSec联机，若是客户端电脑遭到病毒感染，这个病毒就有机会感染到内部网络所连接的每台电脑。相对于SSLVPN的联机，所感染的可能性，会局限于这台主机，而且这个病毒必须是针对应用系统的类型，不同类型的病毒是不会感染到这台主机的。　　6.防火墙上的通讯埠(port)－在TCP/IP的网络架构上，各式各样的应用系统会采取不同的通讯协议，并且通过不同的通讯埠来作为服务器和客户端之间的数据传输通道。以InternetEmail系统来说，发信和收信一般都是采取SMTP和POP3通讯协议，而且两种通讯埠是采用port25，若是从远程电脑来联机Email服务器，就必须在防火墙上开放port25，否则远程电脑是无法与SMTP和POP3主机沟通的。IPSecVPN联机就会有这个困扰和安全顾虑。在防火墙上，每开启一个通讯埠，就多一个黑客攻击机会。反观之，SSLVPN就没有这方面的困扰。因为在远程主机与SSLVPNGateway之间，采用SSL通讯埠(port443)来作为传输通道，这个通讯埠，一般是作为WebServer对外的数据传输通道，因此，不需在防火墙上做任何修改，也不会因为不同应用系统的需求，而来修改防火墙上的设定，减少IT管理者的困扰。　　　　IPSecVPN和SSLVPN这两种VPN架构，从整体的安全等级来看，两种都能够提供安全的远程登入存取联机。但综观上述，SSLVPN在其易于使用性及安全层级，都比IPSecVPN高。我们都知道，由于Internet的迅速扩展，针对远程安全登入的需求也日益提升。对于使用者而言，方便安全的解决方案，才能真正符合需求IPSecVPN与SSLVPN优劣比较SSLVPN与IPSec VPN是目前流行的两类Internet远程安全接入技术，它们具有类似功能特性，但也存在很大不同。　　　　SSL的“零客户端”解决方案被认为是实现远程接入的最大优势，这对缺乏维护大型IPSec配置资源的用户来说的确如此。但SSL方案也有不足，它仅支持以代理方式访问基于Web或特定的客户端/服务器的应用。由服务器直接操纵的应用，如NetMeeting以及一些客户书写的应用程序，将无法进行访问。　　　　IPSec方案安全级别高　　基于Internet实现多专用网安全连接，IPSecVPN是比较理想的方案。IPSec工作于网络层，对终端站点间所有传输数据进行保护，而不管是哪类网络应用。它在事实上将远程客户端“置于”企业内部网，使远程客户端拥有内部网用户一样的权限和操作功能。　　　　IPSecVPN要求在远程接入客户端适当安装和配置IPSec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。　　　　IPSecVPN还能减轻网管负担。如今一些IPSec客户端软件能实现自动安装，不需要用户参与。VPN服务器能够为终端用户接入设备自动安装和配置客户端软件包，因而无论对网管还是终端用户，安装过程都大为简化。　　　　IPSecVPN应用优势　　SSL用户仅限于运用Web浏览器接入，这对新型基于Web的商务应用软件比较合适，但它限制了非Web应用访问，使得一些文件操作功能难于实现，如文件共享、预定文件备份和自动文件传输。用户可以通过升级、增加补丁、安装SSL网关或其它办法来支持非Web应用，但实现成本高且复杂，难以实现。IPSecVPN能顺利实现企业网资源访问，用户不一定要采用Web接入（可以是非Web方式），这对同时需要以两种方式进行自动通信的应用程序来说是最好的方案。　　　　IPSec方案能实现网络层连接，任何LAN应用都能通过IPSec隧道进行访问，因而在用户仅需要网络层接入时，IPSec是理想方案。如今有的机构同时采用IPSec和SSL远程接入方案，IT主管利用IPSecVPN实现网络层接入，进行网络管理，其他人员要访问的资源有限，一般也就是电子邮件、传真，以及接入公司内部网（Web浏览），因而采用SSL方案。这正是充分利用了IPSec的网络层接入功能。　　　　IPSecVPN与SSLVPN优劣比较　　IPSecVPN和SSLVPN各有优缺点。IPSecVPN提供完整的网络层连接功能，因而是实现多专用网安全连接的最佳选项；而SSLVPN的“零客户端”架构特别适合于远程用户连接，用户可通过任何Web浏览器访问企业网Web应用。SSLVPN存在一定安全风险，因为用户可运用公众Internet站点接入；IPSecVPN需要软件客户端支撑，不支持公共Internet站点接入，但能实现Web或非Web类企业应用访问。　　　　MetaGroup认为，不能简单地给IPSec与SSL方案的优劣下定论。客户在关注应用方案本身的同时，还应考虑远程机器外围设备的安全性，如是否配置有个人防火墙和反病毒防护系统。IT主管需要综合评估商务应用需求，以决定采纳哪类VPN策略。3DES（或称为TripleDES）是三重数据加密算法（TDEA，TripleDataEncryption Algorithm）块密码的通称。它相当于是对每个数据块应用三次DES加密算法。由于计算机运算能力的增强，原版DES密码的密钥长度变得容易被暴力破解；3DES即是设计用来提供一种相对简单的方法，即通过增加DES的密钥长度来避免类似的攻击，而不是设计一种全新的块密码算法。数据加密标准DES　　DES的原始思想可以参照二战德国的恩格玛机，其基本思想大致相同。传统的密码加密都是由古代的循环移位思想而来，恩格玛机在这个基础之上进行了扩散模糊。但是本质原理都是一样的。现代DES在二进制级别做着同样的事：替代模糊，增加分析的难度。