常见的VPN协议对比
常见VPN协议对比
| 类型 | PPTP | L2TP | IPSec | SSTP(SSL) |
| 英文 全称 |
Point to Point Tunneling Protocol |
Layer Two Tunneling Protocol |
IP Security | Secure Socket Tunneling Protocol |
| 中文 全称 |
点对点信道协议 | 第二层通道协议 | 安全IP(IPSec)隧道模式 | 基于SSL(Secure Sockets Layer)的VPN |
| OSI | 第二层 | 第二层 | 第三层 | 第七层 |
| OSI2 | 数据链路层加密 | 数据链路层加密 | 网络层和传输层加密 | 应用层加密 |
| 加密 | mppe(微软点对点加密协议) |
mppe、IPSec |
||
| 复杂度 | 一般 | 一般 | 复杂 | 一般 |
| 安全性 | 一般 | 一般 | 高 | 高 |
| 系统 支持 |
Windows NT直到Longhorn Server,客户端则已经内置在了近来所有版本的Windows之中 | L2TP/IPsec VPN服务被内置在Win2000 Server以及更高版本之中,而L2TP客户端则被包含在Win2000专业版以及之后版本的Windows操作系统之中 | 有大批的生产商提供基于IPsec的VPN设备以及集成的防火墙/VPN产品,专门客户端 | Vista Service Pack 1、Longhorn Server将会提供对SSTP的支持 |
| 备注 | 仅在纯MS的网络中使用,兼容性一般 | L2TP结合了PPTP和L2F协议,是一种网络层协议。当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。 | 使用CISCO加密技术(CET)的IPSec,具备广泛的兼容性,具有最多的业界厂商的支持,是企业自建VPN的最佳选择 | 几乎所有WEB银行都采用应用层保证安全的方法。SSL VPN主要让远程设备可以访问基于浏览器的应用,用户通过浏览器访问的是网络上的特定应用程序而不是整个网络。 |
虚拟专用网(VPN–Virtual Private Network)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。VPN发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并 在全球的信息安全体系中发挥着重要的作用。也在网络上,有关各种VPN协议优缺点的比较是仁者见仁,智者见智,很多技术人员由于出于使用目的考虑,包括访 问控制、安全和用户简单易用,灵活扩展等各方面,权衡利弊,难以取舍;尤其在实际的企业网络环境中,网络安全显得尤为重要,因此现在越来越多的网关支持 VPN协议。
- PPTP
点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协,基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用 Microsoft的点对点加密算法MPPE。其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络(例如 Internet)建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯,然后在要跨越公司 IP 网络或公共 IP 网络(如 Internet)发送的 IP 头中对其进行封装。
- L2TP
第2 层隧道协议 (L2TP) 是IETF基于L2F (Cisco的第二层转发协议)开发的PPTP的后续版本。是一种工业标准 Internet 隧道协议,其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。PPTP只能在两端点间建立单一隧道。 L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。
- IPSec 隧道模式
隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏(或封装)在新的数据包内部。该新的数据包可能会有新的寻址与路由信息,从而使其能够通 过网络传输。隧道与数据保密性结合使用时,在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。封装的数据包到达目的地后,会删除封 装,原始数据包头用于将数据包路由到最终目的地。
隧道本身是封装数据经过的逻辑数据路径。对原始的源和目的端,隧道是不可见的,而只能看到网络路径中的点对点连接。连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。将隧道和数据保密性结合使用时,可用于提供 VPN。
封装的数据包在网络中的隧道内部传输。在此示例中,该网络是 Internet。网关可以是外部 Internet 与专用网络间的周界网关。周界网关可以是路由器、防火墙、代理服务器或其他安全网关。另外,在专用网络内部可使用两个网关来保护网络中不信任的通讯。
当以隧道模式使用 IPSec 时,其只为 IP 通讯提供封装。使用 IPSec 隧道模式主要是为了与其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技术的路由器、网关或终端系统相互操作。
- SSL VPN
SSL VPN, SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由 许多子协议组成,其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器和客户端”在应用协议传输第一个数据字节以前,彼此确认,协商一种加密算 法和密码钥匙”。在数据传输期间,记录协议利用握手协议生成的密钥加密和解密后来交换的数据。
SSL独立于应用,因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL置身于网络结构体系的 传输层和应用层之间。此外,SSL本身就被几乎所有的Web浏览器支持。这意味着客户端不需要为了支持SSL连接安装额外的软件。这两个特征就是SSL能 应用于VPN的关键点。