VPN IPsec vs SSL VPN: qual usar para acesso remoto seguro no FortiGate?

O que cada protocolo resolve

Tanto IPsec quanto SSL VPN criam túneis criptografados para acesso remoto — mas operam em camadas diferentes da pilha de rede e com propósitos ligeiramente distintos.

IPsec VPN opera na camada 3 (rede) e cria uma extensão da rede IP entre os dois pontos. É o padrão de mercado para conexões site-to-site entre filiais e sedes, e também suportado para acesso remoto de usuários individuais (dialup IPsec).

SSL VPN opera na camada 7 (aplicação), usando HTTPS como transporte. É a tecnologia padrão para acesso remoto de usuários — via FortiClient ou portal web — por sua facilidade de traversal de NAT e firewalls corporativos.

IPsec VPN: pontos fortes

Performance superior: IPsec opera mais próximo do kernel do sistema operacional e é acelerado pelos ASICs NP do FortiGate. Para conexões site-to-site com alto volume de tráfego — como filiais com links de 100 Mbps ou mais — o IPsec entrega throughput significativamente maior do que SSL VPN.

Padrão para site-to-site: todos os fabricantes de firewall suportam IPsec com os mesmos parâmetros de negociação (IKEv1/IKEv2, AES, SHA). Interoperabilidade garantida entre FortiGate e equipamentos de outros fabricantes.

Menor overhead: o encapsulamento IPsec adiciona menos bytes ao pacote do que o overhead do protocolo TLS do SSL VPN — relevante em links de baixa largura de banda.

SSL VPN: pontos fortes

Traversal de NAT e firewalls: o SSL VPN usa a porta 443 (HTTPS), que quase nunca é bloqueada em redes corporativas de clientes, hotéis ou provedores móveis. O IPsec usa UDP 500/4500 — que frequentemente é bloqueado ou não atravessa NAT corretamente sem configuração específica.

Simplicidade para usuários: o FortiClient estabelece o SSL VPN com poucos cliques — sem necessidade de configurar parâmetros técnicos no lado do cliente. O portal web permite acesso a aplicações específicas diretamente pelo navegador, sem instalar software.

Autenticação flexível: o SSL VPN suporta autenticação por usuário com MFA (TOTP, push, SMS) integrado ao FortiAuthenticator ou provedores SAML externos. O IPsec dialup também suporta autenticação por usuário, mas com menos opções nativas de MFA.

Comparativo direto

Camada de operação: IPsec na camada 3 (rede); SSL VPN na camada 7 (aplicação).

Performance: IPsec superior — especialmente com ASIC offload no FortiGate.

Traversal de NAT e firewalls: SSL VPN mais confiável — usa porta 443 universalmente aceita.

Caso de uso principal: IPsec para site-to-site; SSL VPN para acesso remoto de usuários.

Configuração no cliente: IPsec mais complexa; SSL VPN mais simples via FortiClient.

Suporte a MFA: ambos suportam, mas SSL VPN tem integração mais direta com FortiAuthenticator e SAML.

Interoperabilidade: IPsec universal entre fabricantes; SSL VPN proprietário (FortiClient necessário para modo tunnel completo).

IPsec dialup: o melhor dos dois mundos

Existe um terceiro modo que combina características de ambos: o IPsec dialup — também chamado de IPsec road warrior. Nesse modo, o usuário remoto estabelece um túnel IPsec a partir do FortiClient, com autenticação por usuário e senha (em vez de apenas por certificado ou PSK como no site-to-site).

O IPsec dialup entrega a performance do IPsec para usuários remotos individuais, com autenticação similar ao SSL VPN. É especialmente útil para usuários que fazem transferência de arquivos grandes remotamente ou que têm links residenciais de alta velocidade e querem aproveitar ao máximo.

A desvantagem é a mesma do IPsec: pode encontrar problemas em redes com bloqueio de UDP 500/4500. Para ambientes corporativos onde os usuários se conectam principalmente de casa com routers modernos, geralmente funciona sem problemas.