在研究sdwan和零信任的時候涉及到了sslvpn和IPsecvpn，單獨開個安全設備篇講vpn好像沒什么必要，畢竟現在小孩子都會用vpn了，就單獨講講和安全最相關的ssl和ipsec吧。

• IPsecVPN與SSLVPN概念

SSLVPN：基于安全套接字層協議(Security Socket Layer-SSL)建立遠程安全訪問通道的VPN技術。

解釋：就是采用了ssl的加密方式，從這個也能看出來sslvpn主要作用在訪問web資源，ssl握手過程給大家貼個圖：

sslvpn更注重過程安全和用戶驗證，突出全局的把控，死守外部連接到局域網的安全問題。

IPsecVPN：采用IPSec協議來實現遠程接入的一種VPN技術，在公網上為兩個私有網絡提供安全通信通道,通過加密通道保證連接的安全——在兩個公共網關間提供私密數據封包服務。

• IPsecVPN與SSLVPN

共同點

①數據加密

②訪問內網資源

不同點

①協議層不同

②應用方向不同

③投入成本不同

④可靠性不同

• 詳解

Ipsecvpn注重點到點之間的訪問，而sslvpn注重整個從外部接入局域網的整塊安全，打個比方，假設有一座橋，橋的對面有一座城堡，橋上有一個守衛叫ipsecvpn，城堡前有一個守衛叫sslvpn，ipsecvpn會檢查你的身份證，核驗你的信息就對你放行了，不會管你去哪他只知道你要過橋；而到了sslvpn面前，在他核驗完你的信息沒問題后你告訴他你要進城堡，他說不行，請你告訴他你具體要去到哪個位置，你要去往裁縫鋪，獲準后他會派人監視你，路上你想順便去商店買個果汁？對不起你沒獲準，請申請相應的資源。

當然了，不是說ipsecvpn就在認證上次于sslvpn，sslvpn基于應用層，高層協議的強項是對用戶身份認；而ipsecvpn由于基于網絡層，強項是對設備合法性進行驗證，簡單來說就是更注重傳輸過程，端點和端點之間的驗證，是否合法等，這不一樣的特性就構成了不一樣的應用方向。

• 應用

SSLVPN——構建零信任網絡體系

零信任真的是一個近兩年特別火的概念，最底層的理念就是一句話：默認拒絕所有訪問。突出驗證的重要性和安全性，而sslvpn注重校驗用戶身份及訪問權限的特點完全契合零信任體系，vpn本身對于企業辦公的助力良多，而vpn自身安全保障不足，普通網絡結構下的vpn存在巨大風險，容易產生盜取賬號、冒用，已致內網失陷等嚴重安全事件，sslvpn基于高層協議的特殊性可以嚴格管控用戶權限，摒棄了原先vpn默認可訪問所有資源的老套路，防患于未然。

IPSec VPN——sdwan！

SDWAN（軟件定義廣域網），是大型企業部署廣域網的常見解決方案，廣域網怎么和ipsecvpn扯上關系的呢？這就sdwan的獨特之處，先來看sdwan的組成結構：sdwan設備+專線就是最基礎的組成（這里不對sdwan設備本身進行拆解分析），sdwan的應用面很廣，這里就挑了大家比較常見的，企業廣域網建設來說一說。一般來說安服仔們駐場的客戶比較大的都是有多個分公司，集團+下屬公司+三級公司 類似，這種情況下構建專屬的內網就有一些難度了，如果各個公司之間都通過sslvpn來相互之間訪問就會造成資源浪費，且效率極低，而sdwan是如何解決這個問題的呢？Sdwan的核心路線是運營商提供的專線，專線說通俗點就是從某個地方到某個地方有一條高速的網線，而各個公司之間可以通過sdwan設備掛一個ipsecvpn連上這個專線，就近原則，北京的掛北京出口，上海的掛上海出口，實現低延遲、高效率，且成本大大降低，不需要自己在各個公司之間搭物理通道，實現統一管理。

• 總結

Ipsecvpn和sslvpn都是很重要的安全vpn形式，關于兩種vpn的討論帖子很多，都是中大型企業安全架構建設的重要組成部分，過幾天可能考慮開個新坑給對運營商體系感興趣的師傅們看看關于運營商工作方向的一些知識。

閱讀原文：原文鏈接