工業(yè)級4g無線路由器之SSL VPN和IPsec VPN比較

SSL VPN，與傳統(tǒng)的IPSec VPN技術(shù)各具特色，各有千秋。工業(yè)級4g無線路由器的SSL VPN比較適合用于移動用戶的遠程接入（Client-Site），而IPSec VPN則在網(wǎng)對網(wǎng)（Site-Site）的VPN連接中具備先天優(yōu)勢。這兩種產(chǎn)品將在VPN市場上長期共存，優(yōu)勢互補。在產(chǎn)品的表現(xiàn)形式上，兩者有以下幾大差異：
1、IPsec VPN多用于“網(wǎng)—網(wǎng)”連接，SSL VPN用于“移動客戶—網(wǎng)”連接。SSL VPN的移動用戶使用標(biāo)準(zhǔn)的瀏覽器，工業(yè)級4g無線路由器的無需安裝客戶端程序，即可通過SSL VPN隧道接入內(nèi)部網(wǎng)絡(luò)；而IPSec VPN的移動用戶需要安裝專門的IPSec客戶端軟件。
2、SSL VPN是基于應(yīng)用層的VPN，而IPsec VPN是基于網(wǎng)絡(luò)層的VPN。IPsec VPN對所有的IP應(yīng)用均透明；而SSL VPN保護基于Web的應(yīng)用更有優(yōu)勢，當(dāng)然好的產(chǎn)品也支持TCP/UDP的C/S應(yīng)用，例如文件共享、網(wǎng)絡(luò)鄰居、Ftp、Telnet、Oracle等。
3、SSL VPN用戶不受上網(wǎng)方式限制，SSL VPN隧道可以穿透Firewall；而IPSec客戶端需要支持“NAT穿透”功能才能穿透Firewall，工業(yè)級4g無線路由器的而且需要Firewall打開UDP500端口。
4、SSL VPN只需要維護中心節(jié)點的網(wǎng)關(guān)設(shè)備，客戶端免維護，降低了部署和支持費用。而IPSec VPN需要管理通訊的每個節(jié)點，網(wǎng)管專業(yè)性較強。
5、SSL VPN 更容易提供細粒度訪問控制，可以對用戶的權(quán)限、資源、服務(wù)、文件進行更加細致的控制，與第三方認證系統(tǒng)（如：radius、AD等）結(jié)合更加便捷。而IPSec VPN主要基于IP組對用戶進行訪問控制。

在實現(xiàn)技術(shù)及應(yīng)用方面，工業(yè)級4g無線路由器的從以下四個方面論述：
一、SSL VPN和IPSec VPN在底層協(xié)議上的區(qū)別
簡單來說，SSL和IPSec兩個都是加密的通訊協(xié)議， 從任何TCP網(wǎng)絡(luò)來保護基于IP的數(shù)據(jù)流。這兩種通訊協(xié)議都有它們自己獨特的特色和好處。
IPSec協(xié)議是網(wǎng)絡(luò)層協(xié)議, 是為保障IP通信而提供的一系列協(xié)議族。SSL協(xié)議則是套接層協(xié)議，它是保障在Internet上基于Web的通信的安全而提供的協(xié)議。
IPSec針對數(shù)據(jù)在通過公共網(wǎng)絡(luò)時的數(shù)據(jù)完整性、安全性和合法性等問題設(shè)計了一整套隧道、加密和認證方案。IPSec能為IPv4/IPv6網(wǎng)絡(luò)提供能共同操作使用的、高品質(zhì)的、基于加密的安全機制。提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機密性和受限數(shù)據(jù)流的機密性服務(wù)。
SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL是一種高層安全協(xié)議，建立在應(yīng)用層上。工業(yè)級4g無線路由器的SSL VPN使用SSL協(xié)議和代理為終端用戶提供HTTP、客戶機/服務(wù)器和共享的文件資源的訪問認證和訪問安全SSL VPN傳遞用戶層的認證。確保只有通過安全策略認證的用戶可以訪問指定的資源。
SSL是專門設(shè)計來保護HTTP通訊協(xié)議。當(dāng)瀏覽器和Web服務(wù)器雙方皆已設(shè)定好來支持SSL時，如果透過這個通訊協(xié)議所傳輸?shù)臄?shù)據(jù)流加密，SSL將提供一個安全的”封套”來保護瀏覽器和Web服務(wù)器中的IP封包。在IPSec和SSL通訊協(xié)議的設(shè)計上有一些原理上的不同。第一，IPSec是以網(wǎng)絡(luò)層為中心，而SSL是以應(yīng)用層為中心。第二，IPSec需要專門的使用端軟件，而SSL使用任何SSL支持的瀏覽器為使用端。最后，SSL原本是以機動性為中心而IPSec不是。

二、 SSL VPN 和IPSec VPN在連接方式上的區(qū)別
在連接方式上，SSL VPN 和IPSec VPN 也有很大的區(qū)別。工業(yè)級4g無線路由器的IPSec VPN 最初設(shè)計是用來為企業(yè)的各個部門之間提供站點到站點通信的。由于企業(yè)將用戶擴展到了包括遠程訪問，于是不得不擴充IPSec協(xié)議的標(biāo)準(zhǔn)，或者修改廠商實現(xiàn)的協(xié)議。
IPSec VPN通過在兩站點間創(chuàng)建隧道提供直接（非代理方式）接入，實現(xiàn)對整個網(wǎng)絡(luò)的透明訪問；一旦隧道創(chuàng)建，用戶PC就如同物理地處于企業(yè)LAN中。它要求軟硬件兼容，要求”隧道”兩端幾乎只能是同一個供應(yīng)商的軟件。采用IPSec VPN，企業(yè)要指定”隧道”兩端使用的技術(shù)，但是很少有公司能夠或者愿意強迫他們的合作伙伴或者客戶也選用這個技術(shù)，這就限制了通過IPSec VPN建立企業(yè)外網(wǎng)的應(yīng)用。
相對于傳統(tǒng)的IPSec VPN，SSL能讓企業(yè)實現(xiàn)更多遠程用戶在不同地點接入，實現(xiàn)更多網(wǎng)絡(luò)資源訪問，且對客戶端設(shè)備要求低，因而降低了配置和運行支撐成本。很多企業(yè)用戶采納SSL VPN作為遠程安全接入技術(shù)，主要看重的是其方便的接入能力。
SSL VPN提供增強的遠程安全接入功能。IPSec VPN的接入方式，使用戶PC就如同物理地處于企業(yè)LAN中。這帶來很多安全風(fēng)險，尤其是在接入用戶權(quán)限過大的情況下。SSL VPN提供安全、可代理連接，只有經(jīng)認證的用戶才能對資源進行訪問，這就安全多了。SSL VPN能對加密隧道進行細分，從而使得終端用戶能夠同時接入Internet和訪問內(nèi)部企業(yè)網(wǎng)資源，也就是說它具備可控功能。另外，SSL VPN還能細化接入控制功能，易于將不同訪問權(quán)限賦予不同的用戶，實現(xiàn)伸縮性訪問；這種精確的接入控制功能對遠程接入IPSec VPN來說幾乎是不可能實現(xiàn)的。
SSL VPN基本上不受接入位置限制，可以從眾多Internet接入設(shè)備、任何遠程位置訪問網(wǎng)絡(luò)資源。SSL VPN通信基于標(biāo)準(zhǔn)TCP/UDP協(xié)議傳輸，因而能遍歷所有NAT設(shè)備、基于代理的防火墻和狀態(tài)檢測防火墻。這使得用戶能夠從任何地方接入，無論是處于其他公司網(wǎng)絡(luò)中基于代理的防火墻之后，或是寬帶連接中。而IPSec VPN在稍復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)中則難于實現(xiàn)。另外，SSL VPN能實現(xiàn)從可管理企業(yè)設(shè)備或非管理設(shè)備接入，如家用PC或公共Internet接入場所，而IPSec VPN客戶端只能從可管理或固定設(shè)備接入。隨著遠程接入需求的不斷增長，遠程接入IPSec VPN在訪問控制方面受到極大挑戰(zhàn)，而且管理和運行成本較高，它是實現(xiàn)點對點連接的最佳解決方案，但要實現(xiàn)任意位置的遠程安全接入，SSL VPN則要更加理想。

三、SSL VPN 和IPSec VPN在安全方面的區(qū)別
IPSec安全協(xié)議的一個主要優(yōu)勢就是只需要在客戶和網(wǎng)絡(luò)資源邊緣處建立通道。工業(yè)級4g無線路由器的僅保護從客戶到公司網(wǎng)絡(luò)邊緣連接的安全，不管怎樣，所有運行在內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)是透明的，包括任何密碼和在傳輸中的敏感數(shù)據(jù)。SSL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的?？蛻魧Y源的每一次操作都需要經(jīng)過安全的身份驗證和加密。
使用IPSec的聯(lián)機方式，每一個使用者端在網(wǎng)絡(luò)上會被當(dāng)成一個節(jié)點，而此聯(lián)機會一直處于激活的狀態(tài)(Active)。因此，一但使用者端的計算機被黑客或病毒入侵，黑客就可以透過此網(wǎng)絡(luò)連結(jié)進入另一個端點，也就是公司內(nèi)部。因這樣的運作模式，此節(jié)點很有可能成為黑客、病毒入侵的管道。使用SSL VPN的方式做網(wǎng)絡(luò)聯(lián)機則可以避免這樣的問題發(fā)生。因為，SSL VPN的一大特點就是具有Session保護功能，就是在會話停止一段時間以后切自動斷聯(lián)機，如果需要繼續(xù)訪問則需要重新登錄。這樣的SSL通訊協(xié)議機制可以有效避免黑客和病毒的入侵威脅。
遠程用戶以IPSec VPN的方式與公司內(nèi)部網(wǎng)絡(luò)建立聯(lián)機之后，內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng)，都可以被偵測到，這就提供了黑客攻擊的機會。若是采取SSL VPN來聯(lián)機，因為是直接開啟應(yīng)用系統(tǒng)，并沒在網(wǎng)絡(luò)層上連接，黑客不易偵測出應(yīng)用系統(tǒng)內(nèi)部網(wǎng)絡(luò)機制，所受到的威脅也僅是所聯(lián)機的應(yīng)用系統(tǒng)，攻擊機會相對減少許多。

四、SSL VPN和IPSec VPN在企業(yè)應(yīng)用方面的互補
許多專家認為，就通常的企業(yè)高級用戶和LAN-to-LAN連接所需要的直接訪問企業(yè)網(wǎng)絡(luò)功能而言，IPSec VPN的優(yōu)勢無可比擬。然而，典型的SSL VPN卻被認為最適合于普通遠程員工訪問基于Web的應(yīng)用。因而，如果需要更全面的、面向基于瀏覽器應(yīng)用的訪問，以及面向遠程員工、把所有辦公室連接起來，SSL VPN無疑是首選。
另一方面，SSL VPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec，這項不需要客戶軟件的功能正是一個重要因素。除此之外，SSL VPN還有其它經(jīng)常被提到的特性，包括降低部署成本、減小對日常性支持和管理的需求。此外，因為所有內(nèi)外部流量通常都經(jīng)過單一的硬件設(shè)備，這樣就可以控制對資源和URL的訪問。
廠商推出這類不需要客戶軟件的VPN產(chǎn)品后，用戶就能通過與因特網(wǎng)連接的任務(wù)設(shè)備實現(xiàn)連接，并借助于SSL隧道獲得安全訪問。這需要在企業(yè)防火墻后面增添硬件，但企業(yè)只要管理一種設(shè)備，不必維護、升級及配置客戶軟件。
因為最終用戶通過與因特網(wǎng)連接的任何設(shè)備就能訪問企業(yè)的網(wǎng)絡(luò)，SSL更容易滿足大多數(shù)員工對移動連接的需求。不過這種方案的問題在于，SSL VPN的加密級別通常不如IPSec VPN高。所以，盡管部署和支持成本比較低，但SSL VPN仍有其缺點。同時，SSL VPN還具有一定的局限性，只能訪問通過網(wǎng)絡(luò)瀏覽器連接的資源。
SSL VPN在不需要客戶軟件的運行環(huán)境中有其效率和好處，但在性能、應(yīng)用覆蓋等方面也存在問題。SSL VPN這種方案可以解決操作系統(tǒng)的客戶軟件問題、客戶軟件維護問題，但肯定不能完全替代IPSec VPN，因為各自所要解決的是幾乎沒多少重疊的兩種不同問題。
對需要遠程訪問的大多數(shù)公司而言，所支持的應(yīng)用應(yīng)當(dāng)包括公司為盡量提高效率、生產(chǎn)力和盈利能力所需要的各種應(yīng)用。SSL VPN能支持的應(yīng)用種類比較有限。
大多數(shù)SSL VPN都是HTTP反向代理，這樣它們非常適合于具有Web功能的應(yīng)用，只要通過任何Web瀏覽器即可訪問。HTTP反向代理支持其它的查詢/應(yīng)答應(yīng)用，譬如基本的電子郵件及許多企業(yè)的生產(chǎn)力工具，譬如ERP和CRM等客戶機/服務(wù)器應(yīng)用。為了訪問這些類型的應(yīng)用，SSL VPN為遠程連接提供了簡單、經(jīng)濟的一種方案。它屬于即插即用型的，不需要任何附加的客戶端軟件或硬件。
然而，同樣這個優(yōu)點偏偏成了SSL VPN的最大局限因素：用戶只能訪問所需要的應(yīng)用和數(shù)據(jù)資源當(dāng)中的一小部分。SSL VPN無法為遠程訪問應(yīng)用提供全面的解決方案，因為它并不有助于訪問內(nèi)部開發(fā)的應(yīng)用，也不有助于訪問要求多個渠道和動態(tài)端口以及使用多種協(xié)議這類復(fù)雜的應(yīng)用。不過這對公司及遠程用戶來說卻是一個關(guān)鍵需求。譬如說，SSL VPN沒有架構(gòu)來支持即時消息傳送、多播、數(shù)據(jù)饋送、視頻會議及VoIP。
盡管SSL能夠保護由HTTP創(chuàng)建的TCP通道的安全，但它并不適用于UDP通道。然而，如今企業(yè)對應(yīng)用的支持要求支持各種類型的應(yīng)用：TCP和UDP、客戶機/服務(wù)器和Web、現(xiàn)成和內(nèi)部開發(fā)的程序。在這方面就需要應(yīng)用IPSec VPN才能勝任。
理想的應(yīng)用情況是：企業(yè)在總部和各個分部之間通過IPSec VPN進行連接，這樣可以把總部和分部的終端包括在一個LAN中。而為移動辦公或者出差的人員提供VPN的接入服務(wù)。充分利用IPSec VPN的互補性，使企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)更加的合理
總的來說，IPSec VPN和SSL VPN在應(yīng)用方面都有各自的優(yōu)點和缺點。往往一方的缺點就是對方的缺點。兩種技術(shù)在應(yīng)用上具有很大的互補性。企業(yè)在選購VPN產(chǎn)品的時候，可以針對這些優(yōu)缺點，結(jié)合企業(yè)自身的應(yīng)用合理的選擇合適的VPN產(chǎn)品。

深圳市智聯(lián)物聯(lián)科技有限公司是一家致力于提供工業(yè)級無線網(wǎng)絡(luò)通訊產(chǎn)品和解決方案的物聯(lián)網(wǎng)企業(yè)，智聯(lián)物聯(lián)科技集產(chǎn)品研發(fā)、生產(chǎn)、銷售、技術(shù)服務(wù)及定制化開發(fā)于一體。公司成立以來，為各行各業(yè)提供基于移動通信M2M系列產(chǎn)品和解決方案；工業(yè)級3G/4G無線路由器，4g工業(yè)路由器，4G dtu，車載wifi，PLC遠程控制網(wǎng)關(guān)，工業(yè)路由器，工業(yè)級路由器，工業(yè)級無線路由器，工業(yè)級4g無線路由器，3g路由器，4g路由器，工業(yè)4G網(wǎng)關(guān)，工業(yè)無線路由器，打印服務(wù)器，串口服務(wù)器

遍及智能電力、智能交通、智能消防、智能家居、智慧水利、智慧醫(yī)療、快遞柜、充電樁、自助終端、公共安全、安防通信、工業(yè)監(jiān)測、環(huán)境保護、環(huán)境監(jiān)測、路燈照明、花卉栽培、車載Wifi等多個領(lǐng)域。

智聯(lián)物聯(lián)擁有一支專業(yè)的工業(yè)網(wǎng)絡(luò)通訊產(chǎn)品研發(fā)團隊，由具有豐富的電子產(chǎn)品開發(fā)經(jīng)驗的電子工程師、軟件工程師和豐富的系統(tǒng)應(yīng)用經(jīng)驗的網(wǎng)絡(luò)工程師組成，以工業(yè)產(chǎn)品的開發(fā)流程和標(biāo)準(zhǔn)，采用國際領(lǐng)先的技術(shù)，不斷創(chuàng)新，追求卓越，開發(fā)出一系列穩(wěn)定、可靠的工業(yè)通訊產(chǎn)品，獲得了多項發(fā)明和專利。

企業(yè)文化：智聯(lián)物聯(lián)以專業(yè)的團隊、優(yōu)質(zhì)的產(chǎn)品、完善的服務(wù)得到客戶的信任和認可。

智聯(lián)物聯(lián)價值觀：專業(yè)合作、誠信立業(yè)、創(chuàng)新興業(yè)、客戶滿意。www.szchilink.com

一、工業(yè)級設(shè)計

1.采用高性能工業(yè)級32位處理器

采用全球頂級無線解決方案高通芯片，處理速度快，功耗小，發(fā)熱量低，兼容性強，更加穩(wěn)定，能滿足一年365天7*24小時長時間穩(wěn)定運行不掉線。

2.采用高性能工業(yè)級通信模塊

采用華為等一線品牌高質(zhì)量的通信模塊，接收能力強，信號穩(wěn)定，傳輸更快。

操作系統(tǒng)

采用OpenWRT一個高度模塊化、高度自動化的嵌入式Linux系統(tǒng)，讓設(shè)備更加穩(wěn)定，擁有128Mb超大Flash、1G超大內(nèi)存，可以支持個性化定制開發(fā)的需求。

優(yōu)質(zhì)的PCB線路板，采用工業(yè)級元器件

公司產(chǎn)品線路板采用高品質(zhì)材質(zhì)，高標(biāo)準(zhǔn)生產(chǎn)，4層板工藝，產(chǎn)品元器件采用性能穩(wěn)定的工業(yè)級元器件，全部機器自動化實現(xiàn)貼片生產(chǎn)，保證了產(chǎn)品的穩(wěn)定可靠。

電源采用寬電壓設(shè)計

支持DC5V-36V，內(nèi)置電源反相保護和過壓過流保護，承受瞬間電壓電流過高的沖擊。

以太網(wǎng)采用千兆網(wǎng)口，內(nèi)置電磁防護

以太網(wǎng)接口內(nèi)置1.5KV電磁隔離保護，千兆網(wǎng)口，傳輸速度更快。

抗干擾能力強

外殼采用加厚金屬外殼，屏蔽電磁干擾，設(shè)備防護等級IP34，適合在環(huán)境惡劣的工業(yè)環(huán)境下使用。

二、功能強大

1.多模多卡，負載均衡

擴展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。

支持全球網(wǎng)絡(luò)制式

支持國內(nèi)三大運營商2G、3G、4G網(wǎng)絡(luò)制式，或者支持歐洲，或者支持東南亞，或者支持非洲，或者支持拉美等國家的2G、3G、4G網(wǎng)絡(luò)制式。

支持有線無線備份

WAN口和LAN口可彈性切換，支持WAN口有線和無線備份，有線優(yōu)先、無線備份。

串口傳輸

支持同時串口232/485串口傳輸。

支持APN/VPDN專網(wǎng)卡，支持多種VPN

支持APN/VPDN專網(wǎng)卡使用，同時支持PPTP、L2TP、Ipsec、OpenVPN、GRE等多種VPN。

強大的 WIFI功能

具備WIFI功能，可隱藏SSID，同時支持3路WiFi，最多可支持15個信道，可同時接入50個設(shè)備，WIFI支持802.11b/g/n,支持WIFI AP、AP Client，中繼器，中繼橋接和WDS等多種工作模式，支持802.11ac，即5.8g（可選）。

支持IP穿透功能

可實現(xiàn)主機IP為路由器獲取的IP地址，相當(dāng)于主機直接插卡撥號上網(wǎng)獲取基站IP。

支持VLAN虛擬局域網(wǎng)劃分

通過VLAN的劃分，增強局域網(wǎng)的安全性，VLAN技術(shù)，能將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境。

支持QOS，帶寬限速

支持不同網(wǎng)口帶寬限速，IP限速，總帶寬限速。

支持DHCP，DDNS，防火墻，NAT，以及DMZ主機等功能

支持ICMP，TCP，UDP，Telnet，F(xiàn)TP，HTTP，HTTPS等網(wǎng)絡(luò)協(xié)議

支持定時重啟、手機短信控制上下線

可選支持portal廣告，短信認證，微信認證，GPS/北斗定位功能（可選）

支持M2M云平臺管理，手機監(jiān)控和WEB監(jiān)控

設(shè)備數(shù)據(jù)監(jiān)控、流量限制功能、資源推送、統(tǒng)計報表、遠程設(shè)備管理（遠程重啟，WiFi開關(guān)），遠程參數(shù)修改，流量限制，gps定位追蹤軌跡。

三、穩(wěn)定可靠

1.支持硬件WDT看門狗，提供防掉線機制，確保數(shù)據(jù)終端永遠在線。

2.支持ICMP檢測，流量檢測，及時發(fā)現(xiàn)網(wǎng)絡(luò)異常自動重啟設(shè)備，保證系統(tǒng)長期使用穩(wěn)定可靠。

3.工業(yè)級設(shè)計，金屬外殼，抗干擾、防輻射，濕度95%無凝結(jié)，耐高溫耐低溫，零下30度至高溫75度也可以正常工作。

4.產(chǎn)品通過CCC認證，歐洲CE認證等多種認證

操作簡單，方便易用

1.上網(wǎng)簡單，推桿式用戶卡接口，插入手機卡/物聯(lián)網(wǎng)卡/專網(wǎng)卡，上電后即可聯(lián)網(wǎng)使用網(wǎng)口和WIFI。

2.支持軟硬件恢復(fù)出廠設(shè)置，可軟件清除參數(shù)，可硬件RST一鍵恢復(fù)出廠設(shè)置。

3.產(chǎn)品快速使用說明書，WEB菜單式頁面，可以快速設(shè)置使用設(shè)備。

4.診斷工具：日志下載查看，遠程日志記錄，ping檢測，路由追蹤，方便檢測設(shè)備信息。