要了解SSL VPN與IPSec VPN到底有哪些聯(lián)系與區(qū)別，首先還是先來回顧一下傳統(tǒng)的IPSec VPN方案。
IPSec的英文全名為“Internet Protocol Security”，中文名為“因特網(wǎng)安全協(xié)議”,這個(gè)安全協(xié)議是VPN的基本加密協(xié)議，它為數(shù)據(jù)在通過公用網(wǎng)絡(luò)（如因特網(wǎng)）在網(wǎng)絡(luò)層進(jìn)行傳輸時(shí)提供安全保障。通信雙方要建立IPSec通道，首先要采用一定的方式建立通信連接。因?yàn)镮PSec協(xié)議支持幾種操作模式，所以通信雙方先要確定所要采用的安全策略和使用模式，這包括如加密運(yùn)算法則和身份驗(yàn)證方法類型等。在IPSec協(xié)議中，一旦IPSec通道建立，所有在網(wǎng)絡(luò)層之上的協(xié)議在通信雙方都經(jīng)過加密，如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等，而不管這些通道構(gòu)建時(shí)所采用的安全和加密方法如何。
1. IPSec的主要不足
（1）安全性能高，但通信性能較低
因?yàn)镮PSec安全協(xié)議是工作在網(wǎng)絡(luò)層的，不僅所有網(wǎng)絡(luò)通道都是加密的，而且在用戶訪問所有公司資源時(shí)，就像采用專線方式與公司網(wǎng)絡(luò)直接物理連接一樣。你可以或者不想讓你的合作伙伴或者遠(yuǎn)程員工成為您的網(wǎng)絡(luò)一部分，IPSec不僅使你正在通信的那一很小的部分通道加密，而是對(duì)所有通道進(jìn)行加密。所以在在安全性方面比SSL VPN好，但整體通信性能卻因安全性受到了影響，不過安全性方面始終高于性能的，這也是目前IPSec VPN仍為主流的原因之一。
（2）需要客戶端軟件
在IPSec VPN中需要在每一客戶端安裝特殊用途的客戶端軟件，用這些軟件來替換或者增加客戶系統(tǒng)的TCP/IP堆棧。在許多系統(tǒng)中，這就可能帶來了與其他系統(tǒng)軟件之間兼容性問題的風(fēng)險(xiǎn)，例如木馬程序所帶來的安全性風(fēng)險(xiǎn)，特別是在這些客戶端軟件是從網(wǎng)站上下載，而且不是經(jīng)過專門的IT人員安裝的情況下。解決IPSec協(xié)議的這一兼容性問題目前還缺乏一致的標(biāo)準(zhǔn)，幾乎所有的IPSec客戶端軟件都是專有的，不能與其它兼容。
在一些情形中，IPSec安全協(xié)議是在運(yùn)行在網(wǎng)絡(luò)硬件應(yīng)用中，在這種解決方案中大多數(shù)要求通信雙方所采用的硬件是相同的，IPSec協(xié)議在硬件應(yīng)用中同樣存在著兼容性方面的問題。
并且，IPSec客戶端軟件在膝上電腦或者桌面系統(tǒng)中的應(yīng)用受到限制。這種限制限制了用戶使用的靈活性，在沒有裝載IPSec客戶端系統(tǒng)的遠(yuǎn)程用戶中用戶不能與網(wǎng)絡(luò)進(jìn)行VPN連接。
（3）安裝和維護(hù)困難
IPSec安全協(xié)議方案需要大量的IT技術(shù)支持，包括在運(yùn)行和長(zhǎng)期維護(hù)兩個(gè)方面。在大的企業(yè)通常有幾個(gè)專門的員工為通過IPSecI安全協(xié)議進(jìn)行的VPN遠(yuǎn)程訪問提供服務(wù)。
（4）實(shí)際全面支持的系統(tǒng)比較少
雖然已有許多開發(fā)的操作系統(tǒng)提出對(duì)IPSec協(xié)議的支持，但是在實(shí)際應(yīng)用是，IPSec安全協(xié)議客戶的計(jì)算機(jī)通常只運(yùn)行基于Windows系統(tǒng)，很少有運(yùn)行其它PC系統(tǒng)平臺(tái)的，如Mac、Linux、Solaris 等。

2. 為什么要用SSL，而不用IPSec VPN？
雖然目前并不是所有，也不大多數(shù)用戶采用SSL代理方式進(jìn)行VPN通信，但是使用SSL VPN的用戶數(shù)卻在不斷增加，有些是原來一直采用IPSec VPN的，原因主要有以下幾個(gè)方面：
（1）不需要客戶端軟件和硬件需求
在SSL代理中的一個(gè)關(guān)鍵優(yōu)勢(shì)就是不需要在客戶端安裝另外的軟件，而只需要在服務(wù)器端安裝相應(yīng)的軟件和硬件，然后通過服務(wù)器向客戶端發(fā)布。SSL代理可以使用于支持SSL技術(shù)的標(biāo)準(zhǔn)Web瀏覽器和email客戶中。
（2）容易使用，容易支持Web界面
在今天的工廠中，有許多Web瀏覽器和支持SSL的email客戶端，包括Windows、Macintosh、Linux/UNIX、PDAs，甚至到蜂窩電話都可以通過SSL協(xié)議進(jìn)行通信。因?yàn)檫@些都是人們已非常熟悉的，這樣就可以大大節(jié)省培訓(xùn)費(fèi)用。
（3）端到端 vs. 端到邊緣安全
IPSec安全協(xié)議的一個(gè)主要優(yōu)勢(shì)就是只需要在客戶和網(wǎng)絡(luò)資源邊緣處建立通道。僅保護(hù)從客戶到公司網(wǎng)絡(luò)邊緣連接的安全，不管怎樣，所有運(yùn)行在內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)是透明的，包括任何密碼和在傳輸中的敏感數(shù)據(jù)。SLL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的。客戶對(duì)資源的每一次操作都需要經(jīng)過安全的身份驗(yàn)證和加密。

這兩種VPN方式的通道安全示意圖如圖1所示。

498)this.style.width=498;">
圖1

（4）90%以上的通信是基于Web和Email的
近呼90%的企業(yè)利用VPN進(jìn)行的內(nèi)部網(wǎng)和外部網(wǎng)的聯(lián)接都只是用來進(jìn)行因特網(wǎng)訪問和電子郵件通信，另外10%的用戶是利用諸如x11、聊天協(xié)議和其它私有客戶端應(yīng)用，屬非因特網(wǎng)應(yīng)用。