您是如何看待網(wǎng)絡(luò)推銷員在星巴克利用互聯(lián)網(wǎng)切入你的網(wǎng)絡(luò)?您對(duì)辦公室內(nèi)部網(wǎng)絡(luò)的安全性感到滿意嗎?

在工廠的物理墻內(nèi)控制安全性很容易，但為外部連接的用戶提供對(duì)內(nèi)部資源的安全遠(yuǎn)程訪問具有挑戰(zhàn)性。IPsec(IP安全)和PPTP(點(diǎn)對(duì)點(diǎn)隧道協(xié)議) VPN，有時(shí)是SSH隧道，已經(jīng)足夠，但這些設(shè)置經(jīng)常遇到NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)遍歷，防火墻和客戶端管理問題。一個(gè)SSL(安全套接字層)VPN應(yīng)解決這些問題，同時(shí)仍提供強(qiáng)大而安全的遠(yuǎn)程訪問。但是，SSL設(shè)置有其自身的困難，例如瀏覽器支持問題，客戶端計(jì)算機(jī)上除了純HTTP應(yīng)用程序之外的任何其他任務(wù)所需的特權(quán)增加以及瀏覽器上緩存數(shù)據(jù)的固有安全問題。

IPsec VPN和SSL VPN的區(qū)別

IPsec是第3層VPN：對(duì)于分支網(wǎng)絡(luò)到各網(wǎng)絡(luò)和遠(yuǎn)程訪問部署，在對(duì)等體之間建立加密的第3層隧道。相比之下，SSL VPN通常是一種遠(yuǎn)程訪問技術(shù)，它為第7層應(yīng)用程序提供第6層加密服務(wù)，并通過客戶端上的本地重定向隧道傳輸其他TCP協(xié)議。從純粹的技術(shù)角度來看，您可以同時(shí)運(yùn)行IPsec和SSL VPN，除非IPsec和SSL VPN產(chǎn)品都使用用戶計(jì)算機(jī)上安裝的客戶端軟件，這種情況下，您可能會(huì)遇到堆棧沖突。

兩者更容易管理的路徑是什么?

IPsec VPN解決方案通常更容易管理，客戶端到網(wǎng)關(guān)隧道形成類似于撥號(hào)網(wǎng)絡(luò)的網(wǎng)絡(luò)連接，本機(jī)支持短暫的TCP / UDP端口。如果您的旅行用戶使用SIP(會(huì)話啟動(dòng)協(xié)議)或基于H.232的應(yīng)用程序，則IPsec與SSL VPN相比具有明顯的優(yōu)勢(shì)，因?yàn)樗诳蛻舳耸敲馓岬?，軟件運(yùn)行后，用戶可以無縫地與其軟件和遠(yuǎn)程服務(wù)進(jìn)行交互。

IPsec VPN是從桌面客戶端到目標(biāo)網(wǎng)絡(luò)的開放式網(wǎng)絡(luò)，但這并不意味著桌面只是一個(gè)IP路由器，由于可能存在拆分隧道問題，同時(shí)訪問受信任和不受信任的網(wǎng)絡(luò)，您可以通過IPsec網(wǎng)關(guān)上設(shè)置的策略來限制訪問。正如SQL Slammer演示的那樣，通過IPsec連接到內(nèi)部網(wǎng)絡(luò)的受蠕蟲感染的主機(jī)可以感染內(nèi)部網(wǎng)絡(luò)，使用嵌入式IPsec網(wǎng)關(guān)防火墻或在網(wǎng)關(guān)和網(wǎng)絡(luò)其余部分之間放置防火墻以獲得額外保護(hù)。

Cisco和Nortel領(lǐng)先的IPsec VPN網(wǎng)關(guān)易于管理，提供分層組管理，與外部認(rèn)證服務(wù)器的緊密集成以及網(wǎng)關(guān)上非常有用和詳細(xì)的事件記錄，在解決遠(yuǎn)程用戶連接問題時(shí)，后者至關(guān)重要。

但是，從長遠(yuǎn)來看，IPsec VPN可能會(huì)花費(fèi)更多方面成本。IPsec VPN的成本通常在10美元到25美元之間，而SSL VPN500個(gè)用戶許可證的每個(gè)座位從50美元到120美元不等。乍一看，IPsec VPN看起來很有吸引力。但是，一旦考慮到部署和管理IPsec客戶端的成本，在修補(bǔ)OS客戶端之前需要進(jìn)行額外的測(cè)試(記住Windows XP Service Pack 2打破了許多客戶端應(yīng)用程序，包括IPsec)以及不能用戶的生產(chǎn)力損失通過IPsec連接到網(wǎng)關(guān)，它可能看起來并不是很明顯。此外，許多IT經(jīng)理發(fā)現(xiàn)IPsec VPN對(duì)其員工來說是非常耗時(shí)的，因?yàn)樽罱K用戶在下載軟件或維護(hù)他們的連接時(shí)經(jīng)常需要幫助。
  SSL的吸引力在哪里?

由于具有吸引力的價(jià)格和降低的安全風(fēng)險(xiǎn)，大多數(shù)用戶在構(gòu)建外聯(lián)網(wǎng)時(shí)會(huì)跳轉(zhuǎn)到SSL VPN。SSL可以限制遠(yuǎn)程訪問僅用戶需要的資源。

據(jù)Meta Group稱，事實(shí)上，今年每三家大公司中就有一家使用SSL VPN。研究人員表示，到2006年，80%的公司將使用SSL VPN作為一種連接手段，毫無疑問，SSL VPN在像gelato一樣銷售，也許最大的驅(qū)動(dòng)因素是443端口的普遍性并降低了管理開銷。

隨身攜帶筆記本電腦，家庭，客戶網(wǎng)站，咖啡店以及通過TCP 443(默認(rèn)HTTPS端口)的Internet訪問應(yīng)該可用，除非您在具有嚴(yán)格出口策略的網(wǎng)絡(luò)上。借助SSL VPN無處不在的訪問，任何具有瀏覽器和Internet訪問權(quán)限的計(jì)算機(jī)都可以成為客戶端。我們不相信大多數(shù)組織希望在公共信息亭向用戶開放他們的關(guān)鍵業(yè)務(wù)應(yīng)用程序，但能夠讓遠(yuǎn)程用戶或旅行用戶訪問他們的Web郵件和其他應(yīng)用程序是令人信服的。

幾乎所有SSL VPN產(chǎn)品都支持并鼓勵(lì)嚴(yán)格的訪問控制策略。實(shí)際上，通常很難允許開放訪問，添加資源時(shí)，必須定義其特定的訪問權(quán)限，對(duì)于非HTTP應(yīng)用程序，通常涉及快速地址/端口定義。但是，根據(jù)產(chǎn)品的不同，HTTP應(yīng)用程序訪問可以控制到URI(統(tǒng)一資源標(biāo)識(shí)符)和用于訪問資源的方法。例如，如果用戶可以訪問Web服務(wù)器而不是admin目錄，則SSL VPN網(wǎng)關(guān)將不授予訪問權(quán)限，從而為Web服務(wù)器權(quán)限添加了另一層保護(hù)，類似的訪問控制可以應(yīng)用于ftp和Windows文件共享。

通常，可以根據(jù)客戶端的位置授予或拒絕對(duì)資源的訪問，無論是在操作系統(tǒng)補(bǔ)丁上是最新的還是可以加載SSL VPN網(wǎng)關(guān)移動(dòng)代碼以進(jìn)行緩存清理，高級(jí)保護(hù)功能(如URI訪問控制和動(dòng)態(tài)ACL(訪問控制列表))因供應(yīng)商而異。

對(duì)于需要安全訪問非HTTP應(yīng)用程序的用戶，SSL VPN產(chǎn)品提供兩種方法。使用所謂的“無客戶端”方法，用戶在其瀏覽器中下載Java或ActiveX組件，在本地主機(jī)地址(例如，127.0.0.1)上設(shè)置代理，并臨時(shí)修改本地主機(jī)文件將主機(jī)名解析為本地主機(jī)地址?？蛻舳嗽?023以下的端口上啟動(dòng)本地代理所需的用戶訪問級(jí)別和更改本地主機(jī)文件因每個(gè)產(chǎn)品而異，大多數(shù)都需要本地管理員訪問權(quán)限。此外，SSL VPN產(chǎn)品很少支持UDP協(xié)議，因此請(qǐng)確保您牢牢掌握應(yīng)用程序要求并確保SSL VPN網(wǎng)關(guān)支持它們，不要忽視內(nèi)部開發(fā)的應(yīng)用程序。

如果您想使用經(jīng)過驗(yàn)證的路由，請(qǐng)?jiān)诳蛻舳松鲜褂靡寻惭b的客戶端，并通過SSL VPN轉(zhuǎn)發(fā)敏感數(shù)據(jù)包。Aventail和Juniper支持這種方法。但是，沒有任何內(nèi)容可供下載或安裝，您無需使用用戶的權(quán)限跳過任何環(huán)節(jié)。

您可以同時(shí)使用IPsec和SSL VPN。如果您的主要應(yīng)用程序是基于Web的，并且您只支持少數(shù)非HTTP應(yīng)用程序，則SSL VPN是一個(gè)不錯(cuò)的選擇：易用性更高，遠(yuǎn)程用戶的細(xì)粒度訪問控制優(yōu)于IPsec產(chǎn)品。但是，如果您的組織必須支持更復(fù)雜的應(yīng)用程序和站點(diǎn)到站點(diǎn)VPN，那么您真的無法阻止IPsec。

誤區(qū)1： IPsec VPN打開一條不受限制的管道進(jìn)入網(wǎng)絡(luò)，這取決于VPN網(wǎng)關(guān)，IPsec在第3層上工作，以傳輸綁定到受保護(hù)網(wǎng)絡(luò)的IP數(shù)據(jù)包。所以在某種意義上說，它是一個(gè)開放的管道，但是，大多數(shù)IPsec VPN網(wǎng)關(guān)都具有內(nèi)部的狀態(tài)包過濾防火墻，因此可以將流量限制在特定目的地，要獲得相同的結(jié)果，您可以將VPN置于具有嚴(yán)格訪問規(guī)則的DMZ中。

誤區(qū)2： IPsec VPN與NAT不兼容。多年來，供應(yīng)商一直在將IPsec流量封裝到網(wǎng)絡(luò)之前將其封裝到UDP中，因此NAT問題并不像以前那樣普遍。標(biāo)準(zhǔn)化NAT遍歷是IKE(Internet密鑰交換)2的可選組件，許多供應(yīng)商采用了專有的遍歷方法。

誤區(qū)3： SSL VPN是一種無客戶端VPN。這僅適用于直接HTML流量，使用移動(dòng)代碼組件(例如Java applet或Flash)的Web應(yīng)用程序(用于連接回服務(wù)器)或非HTTP應(yīng)用程序通常需要客戶端瀏覽器組件來通過SSL VPN隧道傳輸流量。在許多情況下，遠(yuǎn)程用戶必須以本地管理員身份登錄才能動(dòng)態(tài)運(yùn)行組件，或者必須由管理員安裝。

誤區(qū)4： SSL VPN提供來自任何計(jì)算機(jī)的安全訪問,同樣,這只適用于HTML流量。許多信息亭不允許用戶以管理員身份運(yùn)行或?qū)⒔M件安裝到瀏覽器中。此外，您真的希望您的用戶將機(jī)密公司數(shù)據(jù)下載到非托管計(jì)算機(jī)嗎?

田鑫，專業(yè)的企業(yè)組網(wǎng)服務(wù)商，致力于為企業(yè)提供企業(yè)組網(wǎng)（SD-WAN、MPLS、云互聯(lián)），業(yè)務(wù)云化、數(shù)據(jù)中心、網(wǎng)絡(luò)安全、行業(yè)IT解決方案等相關(guān)服務(wù)。


更多相關(guān)內(nèi)容推薦：
MPLS技術(shù)解析
MPLS-VPN虛擬專用網(wǎng)絡(luò)組網(wǎng)的規(guī)劃與實(shí)現(xiàn)
SSL虛擬專用網(wǎng)絡(luò)
SSL是什么意思？SSL的作用是什么？