?

　　一個(gè)基于網(wǎng)絡(luò)的安全解決方案，必然是一個(gè)端到端的安全體系架構(gòu)。也就是說，在進(jìn)行初始的網(wǎng)絡(luò)安全解決方案設(shè)計(jì)時(shí)，我們就必須考慮到各個(gè)環(huán)節(jié)可能引入的安全威脅和風(fēng)險(xiǎn)。因此，安全接入所涵蓋的需求范圍，不應(yīng)是單指接入終端的安全性，而是一個(gè)涉及到“接入終端安全、傳輸通道安全、內(nèi)部資源安全”的完整安全體系。

　　能夠完整實(shí)現(xiàn)上述安全體系的接入技術(shù)，可以是一種技術(shù)，也可以是多種技術(shù)的組合。比如在“接入終端安全”方面，我們可以通過終端準(zhǔn)入控制、終端安全管理等技術(shù)來實(shí)現(xiàn)，而在“內(nèi)部資源安全”方面，我們可以選擇結(jié)合網(wǎng)絡(luò)域認(rèn)證進(jìn)行資源授權(quán)等方式來完成。

　　IPsec 和SSL

　　IPsec 和SSL ，兩者的共同特點(diǎn)一是都能實(shí)現(xiàn)數(shù)據(jù)的安全加密;二是都對沿途轉(zhuǎn)發(fā)節(jié)點(diǎn)沒有額外技術(shù)要求。但是，由于兩者在技術(shù)上采用不同的網(wǎng)絡(luò)層次來進(jìn)行安全加密處理以建立網(wǎng)絡(luò)安全通道，因此在連通性、安全性方面還是存在著差異。

　　IPsec ，是網(wǎng)絡(luò)層的技術(shù)，對應(yīng)用層協(xié)議完全透明，一旦建立IPsec 加密隧道后，就可以在通道內(nèi)實(shí)現(xiàn)各種類型的連接，如Web、電子郵件、文件傳輸、VoIP等這是IPsec 的最大優(yōu)點(diǎn)。另外，IPsec 在實(shí)際部署時(shí)，通常向遠(yuǎn)端開放的是一個(gè)網(wǎng)段，針對單個(gè)主機(jī)、單個(gè)傳輸層端口的安全控制部署較復(fù)雜，因此其安全控制的粒度相對較粗。

　　SSL ，基于SSL 協(xié)議，而SSL協(xié)議內(nèi)嵌在瀏覽器中，因此任何擁有瀏覽器的終端都天然支持SSL ，這讓SSL 技術(shù)在瘦終端日益普及的云時(shí)代如魚得水。同時(shí)，SSL協(xié)議位于TCP/IP協(xié)議與應(yīng)用層協(xié)議之間，其安全控制粒度可以做到精細(xì)化，可以僅開放一個(gè)主機(jī)、一個(gè)端口甚至一個(gè)URL。但相應(yīng)的，其應(yīng)用兼容性整體上則更弱一些。SSL 相對于IPsec 的另外一個(gè)核心優(yōu)勢在于：無需增加設(shè)備、無需改動接入側(cè)的網(wǎng)絡(luò)結(jié)構(gòu)即可實(shí)現(xiàn)安全接入。這非常適用于租賃型的云計(jì)算應(yīng)用場景，比如：超算中心。

　　由于IPsec 和SSL 各自不同的技術(shù)特點(diǎn)，在實(shí)際部署中，IPsec 技術(shù)通常部署于站點(diǎn)對站點(diǎn)(site to site)模式的安全互聯(lián)場景，而SSL 技術(shù)則更多的用于終端對站點(diǎn)(client to site)的應(yīng)用場景。相應(yīng)的，IPsec 技術(shù)要求兩端網(wǎng)絡(luò)出口成對部署IPsec 網(wǎng)關(guān)，而SSL 技術(shù)則要求核心網(wǎng)絡(luò)部署SSL 網(wǎng)關(guān)、接入端采用集成SSL協(xié)議的瀏覽器即可。