ssl协议在上一篇文章中，我们学习了数字证书的相关内容，在启用数字证书后，服务器端和客户端之间的通信受到了ssl协议的保护。那么ssl的基本原理是什么？其后继者tls有哪些新特性？ipsec有什么特性？这一章我们就来学习这些内容。
一、ssl和tls
1、安全通道
安全通道（schannel）是包括一组安全协议的安全支持提供程序（ssp，security support provider），这些协议通过加密技术提供身份验证和安全的私有通信。schannel协议不仅可以通过使用x.509证书提供身份验证，而且可以通过使用称为“密码套件”的多组加密算法来提供安全通信。
schannel包括以下协议：
tls。tls协议是用来保护互联网上传输信息私密性的工业标准协议。该协议让客户端/服务器端应用程序能够侦测到信息篡改、拦截和伪造。tls是保护互联网信息传输安全的首选协议，该协议有时被称为ssl3.1。ssl。ssl协议与tls协议紧密关联。ssl 3.0是受到广泛支持的协议。pct。pct协议用来支持向下兼容，不应将其用于新开发的应用程序。
2、ssl/tls工作原理
在服务器上启用ssl后，ssl会自动对传输的信息进行加密，这样就可以保持传输过程的安全。
ssl加密过程依赖服务器上的公钥和私钥。私钥仅存在于服务器上，web服务器使用它加密和解密安全信息。而公钥则存在于任何安装了该web服务器证书的客户端计算机中。安装公钥后，用户可以向web服务器发送加密信息，并能解密从服务器传输来的信息。用户启用ssl后，ssl安全会话将被启动，公钥将会为会话创建唯一的会话密钥，并对信息加密。
由web服务器证书生成的每个会话密钥都是唯一的，因此，即使攻击者在浏览器中安装了同样的证书，也不能解密他人的信息。甚至原来加密信息的浏览器也解密不了该信息（因为使用的是非对称加密），只有拥有相应私钥的web服务器才能解密该信息。拥有相应私钥的web服务器，在获取加密的信息后，使用私钥解密，这个通信阶段通常被称为ssl握手。
需要注意的是，使用了ssl协议来传输信息，并不是意味着信息不会被截获，而是说，在这些加密信息被截获后，由于目前计算机计算能力的限制，无法在短时间内破解，而如果破解了，这段会话早就结束了，会话密钥会被销毁，就算破解了也没有用了。但是，在未来通用量子计算机商用化的时候，要么必须寻找新的加密方法，要么需要指数级的增加加密强度，否则，量子计算机会轻易破解掉目前市面上所有的加密方法。
如果web应用程序强制要求客户端证书，则用户访问该应用时，用户的个人证书将会被自动发送到服务器。需要注意的是，证书被发送到服务器的过程，并不要求使用ssl。如果用户拥有不止一个证书，则浏览器会询问用户使用哪一个证书；如果用户没有证书，则不允许该用户访问应用。如果web应用程序并不强制要求客户端证书，则用户即使没有个人证书，也可以访问web应用程序。
不同的web服务器软件，其启用ssl协议的过程不尽相同，且一般ca都会对设置过程进行详尽的描述，这里不再一一赘述。
3、ssl/tls使用准则
在web应用程序中使用ssl/tls时，应考虑使用如下准则：
只支持ssl/tls不足以保证通讯能安全进行。仅仅启用ssl/tls是不够的，必须将常规http通信使用的80端口干掉，只开放443端口。还可以通过代码的方式检查客户端的证书映射和ssl。在页面中嵌入https链接并不能确保保密性。对于web应用中，关键性的部分，如用户账户，必须在服务器上要求ssl访问。ssl的使用会降低服务器性能。ssl和其他任何公钥加密协议都会消耗大量的web服务器资源，因为必须为每一个连接的用户进行大量的计算和资源分配工作。这一点从客观上限制了最大用户连接数。如果你的站点追求极致性能，而没有关键信息，可以考虑不使用https。或者只在关键页面，如用户登录页面等其他敏感页面，或者整个文件夹中使用ssl。但类似chrome等浏览器，在真正的通用量子计算机商用化之前，会将http网站标记为不可信的网站，这一点需要考虑。保持ssl/tls页面简单化。基于前一条原因，必须将页面进行充分的压缩，包括尽量不使用图片。因为ssl会加密页面上的所有东西，包括图片。使用加密硬件加速器。这些设备通过在定制硬件上执行复杂耗时的公钥操作来减轻主服务器的负担。
二、ipsec
ipsec是用加密安全服务来保证ip网络中通讯安全性和机密性的开放标准框架。在windows2000及更高版本中，对同一网络、企业内部网或外部网内主机间的数据传输（包括工作站与服务器间和服务器与服务器间的通讯），可以使用ipsec来验证计算机身份和加密数据。
1、ipsec概述
ipsec的主要目标是保护ip包。ipsec是基于端对端的安全模型，这意味着发送方和接收方都必须是知道ipsec保护的唯一主机。在假设通讯过程不安全的前提下，每台计算机都在自己的一端处理安全问题，而对只将数据从源地址路由到目标地址的计算机，不要它支持ipsec。
ipsec由策略和筛选器组成。可以使用筛选器操作创建新的筛选器，以决定拒绝或允许不满足筛选器的通信数据包通过。可以建立筛选器来保护ip地址之间的通讯数据包，然后可以基于筛选器创建策略。在ipsec中，有默认的策略和筛选器，也可以生成自己的筛选器。
在web应用中，ipsec可以用来保护web服务器与防火墙之内的sql server数据库服务器（或其他服务器）之间的通讯。和ssl一样，使用ipsec会降低服务器性能，所以应该只在需要使用它们时启用。
ipsec在传输层实现加密、完整性检查和身份验证时，对应用程序是完全透明的。应用程序可以使用tcp和udp端口以常用方式继续与其他程序通讯。
使用ipsec，可以通过加密两台计算机之间传输的所有数据来实现信息传输的机密性，可以确保信息的完整性（不加密的情况下），提供两台计算机（不是用户）之间相互的身份验证。例如，建立只接受指定客户端计算机（如某个web服务器或应用程序）请求的策略有助于保证数据库服务器的安全。ipsec还可以指定限制哪些计算机与其他计算机进行通讯，也可以限制用指定的ip协议和tcp/udp端口通讯。
需要注意的是，ipsec不是用来替代应用程序内部的安全机制的，它可以用来保护非tls协议免受网络攻击。ipsec完全由ipsec管理单元控制和配置，ipsec管理单元在mmc控制台的本地安全策略中。
要测试ipsec策略，可以使用ipsec监视器。ipsec监视器（ipsecmon.exe）提供有关哪个ipsec策略正被启用，以及计算机间是否已经建立了安全通道等方面的信息。
2、实现ipsec
可以使用在ip安全策略管理的mmc管理单元中配置的策略来控制ipsec。用ip安全策略管理来集中管理active directory 客户端的ipsec策略：或对运行控制台的计算机进行本地管理，或远程管理某台计算机或某个域。要配置计算机的ipsec策略，必须使用管理员账号。
可以使用自定义的ipsec策略，或使用自定义的ipsec策略，来选择要加密的计算机和相应的安全方法。ipsec策略使用规则来管理如何和何时调用策略，规则根据源地址、目标地址和ip通信类型来提供启动和控制安全操作的能力。
要激活ipsec策略，首先，从“本地安全策略”控制台，定位到“计算机配置\windows设置\安全设置”，然后单击“ip安全策略，在本地计算机”。然后，在详细窗格中，右击要指派的策略，单击“指派”。
ipsec有两种模式可以选择，一是传输模式，二是隧道模式。传输模式是默认的模式，可以对传输的数据进行验证和加密。隧道模式适用于远程网络间建立安全通讯，其优点是两个隧道端点之间的数据传输是安全的，与最终达到的目标地址无关。使用隧道模式时，不需要为每台计算机配置ipsec，但该模式不提供每个网络内部的安全性。使用该模式要求两个端点之间都有路由器和一个ip地址。
有关如何使用 ipsec的情况，可以阅读微软msdn的官方文档：如何使用 ipsec，这里不再赘述。
3、ipsec与ssl
ssl，与传统的ipsec 技术各具特色，各有千秋。ssl 比较适合用于移动用户的远程接入（client-site），而ipsec 则在网对网（site-site）的vpn连接中具备先天优势。这两种产品将在vpn市场上长期共存，优势互补。在产品的表现形式上，两者有以下几大差异：
ipsec 多用于“网—网”连接，用于保护所有传输，而ssl 用于“c/s”连接，只用于保护http、ldap等特定协议的连接。ssl 的用户使用标准的浏览器，无需安装客户端程序，即可通过ssl vpn隧道接入内部网络；而ipsec vpn的移动用户需要安装专门的ipsec客户端软件。ipsec 保护所有通讯，而ssl可以选择保护哪些部分，所以后者对服务器负担较小。ipsec 可以设定只有特定应用程序才能访问数据库等资源，而ssl要达到这一点必须使软件内置ssl协议。ssl vpn是基于应用层的vpn，而ipsec vpn是基于网络层的vpn。ipsec vpn对所有的ip应用均透明；而ssl vpn保护基于web的应用更有优势，当然好的产品也支持tcp/udp的c/s应用，例如文件共享、网络邻居、ftp、telnet、oracle等。ssl 用户不受上网方式限制，ssl vpn隧道可以穿透防火墙；而ipsec客户端需要支持“nat穿透”功能才能穿透防火墙，而且需要防火墙打开udp500端口。ssl 只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而ipsec vpn需要管理通讯的每个节点，网管专业性较强。ssl vpn 更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方认证系统（如：radius、ad等）结合更加便捷。而ipsec vpn主要基于ip组对用户进行访问控制。ipsec 要求两台计算机都运行windows，而ssl则没有操作系统限制。
在实现技术及应用方面，从以下四个方面论述：
一、ssl vpn和ipsec vpn在底层协议上的区别。简单来说，ssl和ipsec两个都是加密的通讯协议， 从任何tcp网络来保护基于ip的数据流。这两种通讯协议都有它们自己独特的特色和好处。ipsec协议是网络层协议, 是为保障ip通信而提供的一系列协议族。ssl协议则是套接层协议，它是保障在internet上基于web的通信的安全而提供的协议。ipsec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。ipsec能为ipv4/ipv6网络提供能共同操作使用的、高品质的、基于加密的安全机制。提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。ssl用公钥加密通过ssl连接传输的数据来工作。ssl是一种高层安全协议，建立在应用层上。ssl vpn使用ssl协议和代理为终端用户提供http、客户机/服务器和共享的文件资源的访问认证和访问安全ssl vpn传递用户层的认证。确保只有通过安全策略认证的用户可以访问指定的资源。ssl是专门设计来保护http通讯协议。当浏览器和web服务器双方皆已设定好来支持ssl时，如果透过这个通讯协议所传输的数据流加密，ssl将提供一个安全的封套来保护浏览器和web服务器中的ip封包。在ipsec和ssl通讯协议的设计上有一些原理上的不同。第一，ipsec是以网络层为中心，而ssl是以应用层为中心。第二，ipsec需要专门的使用端软件，而ssl使用任何ssl支持的浏览器为使用端。最后，ssl原本是以机动性为中心而ipsec不是。
二、 ssl vpn 和ipsec vpn在连接方式上的区别。在连接方式上，ssl vpn 和ipsec vpn 也有很大的区别。ipsec vpn 最初设计是用来为企业的各个部门之间提供站点到站点通信的。由于企业将用户扩展到了包括远程访问，于是不得不扩充ipsec协议的标准，或者修改厂商实现的协议。ipsec vpn通过在两站点间创建隧道提供直接（非代理方式）接入，实现对整个网络的透明访问；一旦隧道创建，用户pc就如同物理地处于企业lan中。它要求软硬件兼容，要求隧道两端几乎只能是同一个供应商的软件。采用ipsec vpn，企业要指定隧道两端使用的技术，但是很少有公司能够或者愿意强迫他们的合作伙伴或者客户也选用这个技术，这就限制了通过ipsec vpn建立企业外网的应用。相对于传统的ipsec vpn，ssl能让企业实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低，因而降低了配置和运行支撑成本。很多企业用户采纳ssl vpn作为远程安全接入技术，主要看重的是其方便的接入能力。ssl vpn提供增强的远程安全接入功能。ipsec vpn的接入方式，使用户pc就如同物理地处于企业lan中。这带来很多安全风险，尤其是在接入用户权限过大的情况下。ssl vpn提供安全、可代理连接，只有经认证的用户才能对资源进行访问，这就安全多了。ssl vpn能对加密隧道进行细分，从而使得终端用户能够同时接入internet和访问内部企业网资源，也就是说它具备可控功能。另外，ssl vpn还能细化接入控制功能，易于将不同访问权限赋予不同的用户，实现伸缩性访问；这种精确的接入控制功能对远程接入ipsec vpn来说几乎是不可能实现的。ssl vpn基本上不受接入位置限制，可以从众多internet接入设备、任何远程位置访问网络资源。ssl vpn通信基于标准tcp/udp协议传输，因而能遍历所有nat设备、基于代理的防火墙和状态检测防火墙。这使�...