SSL VPN比較適合用于移動用戶的遠程接入（Client-Site），而IPSec VPN則在網(wǎng)對網(wǎng)（Site-Site）的VPN連接中具備先天優(yōu)勢。這兩種產(chǎn)品將在VPN市場上長期共存，優(yōu)勢互補。在產(chǎn)品的表現(xiàn)形式上，兩者有以下幾大差異：

 

1、IPsec VPN多用于“網(wǎng)—網(wǎng)”連接，SSL VPN用于“移動客戶—網(wǎng)”連接。SSL VPN的移動用戶使用標準的瀏覽器，無需安裝客戶端程序，即可通過SSL VPN隧道接入內(nèi)部網(wǎng)絡；而IPSec VPN的移動用戶需要安裝專門的IPSec客戶端軟件。

 

2、SSL VPN是基于應用層的VPN，而IPsec VPN是基于網(wǎng)絡層的VPN。IPsec VPN對所有的IP應用均透明；而SSL VPN保護基于Web的應用更有優(yōu)勢，當然好的產(chǎn)品也支持TCP/UDP的C/S應用，例如文件共享、網(wǎng)絡鄰居、Ftp、Telnet、Oracle等。

 

3、SSL VPN用戶不受上網(wǎng)方式限制，SSL VPN隧道可以穿透Firewall；而IPSec客戶端需要支持“NAT穿透”功能才能穿透Firewall，而且需要Firewall打開UDP500端口。

 

4、SSL VPN只需要維護中心節(jié)點的網(wǎng)關(guān)設備，客戶端免維護，降低了部署和支持費用。而IPSec VPN需要管理通訊的每個節(jié)點，網(wǎng)管專業(yè)性較強。

 

5、SSL VPN 更容易提供細粒度訪問控制，可以對用戶的權(quán)限、資源、服務、文件進行更加細致的控制，與第三方認證系統(tǒng)（如：radius、AD等）結(jié)合更加便捷。而IPSec VPN主要基于IP組對用戶進行訪問控制。

 

SSL VPN 與 IPSec VPN怎么選擇？

 

SSL VPN提供安全、可代理連接，只有經(jīng)認證的用戶才能對資源進行訪問。SSL VPN能對加密隧道進行細分，從而使得終端用戶能夠同時接入Internet和訪問內(nèi)部企業(yè)網(wǎng)資源，也就是說它具備可控功能。另外，SSL VPN還能細化接入控制功能，易于將不同訪問權(quán)限賦予不同用戶，實現(xiàn)伸縮性訪問；這種精確的接入控制功能對遠程接入IPSec VPN來說幾乎是不可能實現(xiàn)的。

 

IPSec VPN通過在兩站點間創(chuàng)建隧道提供直接（非代理方式）接入，實現(xiàn)對整個網(wǎng)絡的透明訪問；一旦隧道創(chuàng)建，用戶PC就如同物理地處于企業(yè)LAN中。就通常的企業(yè)高級用戶（Power User）和LAN-to-LAN連接所需要的直接訪問企業(yè)網(wǎng)絡功能而言，IPSec無可比擬。然而，典型的SSL VPN被認為最適合于普通遠程員工訪問基于Web的應用。SSL VPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec，這項不需要客戶軟件的功能正是一個重要因素。因為最終用戶避免了攜帶便攜式電腦，通過與因特網(wǎng)連接的任何設備就能獲得訪問，SSL更容易滿足大多數(shù)員工對移動連接的需求。但SSL VPN也有其缺點。業(yè)內(nèi)人士認為，這些缺點通常涉及客戶端安全和性能等問題。對E-mail和Intranet而言，SSL VPN是很好；但對需要較高安全級別（SSL VPN的加密級別通常不如IPSec VPN高）、較為復雜的應用而言，就需要IPSec VPN。