介绍

VPN 技术用于让用户、设备和站点在不安全的互联网环境中安全互联。SSL VPN 和 IPSec VPN 都是使用广泛、配置和部署相对简单的 VPN 技术。

不同 VPN 技术有各自的优势和常见使用场景。SSL VPN 通常用于单个用户和终端的安全远程接入。它一般易于部署，并且连接基于 TLS 的 TCP/443，运营商较少限制这类连接。SSL VPN 同时提供 Tunnel 模式和 Web 模式，可以分别用于安装客户端和无客户端访问的部署方式。

IPSec VPN 通常用于站点到站点连接，尤其适合通过 ADVPN 搭建多站点 Hub-Spoke 架构。ADVPN 可以在站点之间自动建立隧道，结合动态路由，并通过 FortiManager 等编排工具批量下发配置，从而简化复杂的多站点部署。

在较小规模的远程用户接入场景中，IPSec VPN 同样可以通过拨号 VPN 支持远程用户。与 SSL VPN 类似，当 IPSec 使用 IKEv2 时，可以配置 TCP 作为传输方式，通过 TCP/443 进行 IKE 协商，并将 ESP 报文封装在 TCP 头部中。协议、加密算法和认证方式都可以按企业需求定制。

作为 VPN 的替代方案，尤其是替代基于 Web 的 SSL VPN 访问，也可以使用 ZTNA。ZTNA 在终端和 Zero Trust Application Gateway 之间通过 TLS 建立连接。零信任方式默认不信任设备，直到设备通过必要的安全状态检查，例如客户端证书校验和漏洞扫描。

本文讨论 SSL VPN 和 IPSec VPN 的差异，以及从 SSL VPN 迁移到 IPSec VPN 时需要考虑的事项，并给出常见 SSL VPN 使用场景迁移到 IPSec VPN 的步骤。