VPN:IPSec与SSL

与wlan路由器的互联网连接在家庭办公室

如果远程办公室需要与公司总部的中央计算机或网络连接,那么这意味着在这些地点之间安装专用租用线路。这些专用租用线路在站点之间提供了相对快速和安全的通信,但它们非常昂贵。

为了适应移动用户,公司必须设置专用的拨入式远程访问服务器(RAS)。 RAS将有一个调制解调器或许多调制解调器,公司必须有一个电话线运行到每个调制解调器。移动用户可以通过这种方式连接到网络,但速度非常慢,并且很难做很多高效的工作。

随着互联网的出现,其中大部分都发生了变化。如果已经存在一个服务器和网络连接网络,将全球各地的计算机互连起来,那么公司为什么要花钱并通过实施专用租用线路和拨入调制解调器银行来解决管理问题。为什么不使用互联网?

那么,第一个挑战是你需要能够选择谁来查看哪些信息。如果您只是将整个网络打开到互联网,那么实施一种有效的方法来阻止未经授权的用户访问公司网络几乎是不可能的。公司花费大量资金建立防火墙和其他网络安全措施,旨在确保公共互联网中的任何人都无法进入内部网络。

用于访问专用网络的VPN

如何协调阻止公共互联网访问内部网络,希望您的远程用户利用公共互联网作为连接内部网络的方式?您实施虚拟专用网络(VPN)。 VPN创建连接两个端点的虚拟“隧道”。 VPN隧道内的流量是加密的,因此公共互联网的其他用户无法轻易查看截获的通信。

通过实施VPN,公司可以在任何可以访问公共互联网的位置向世界各地的客户提供对内部专用网络的访问。它消除了与传统租用线路广域网(WAN)相关的管理和财务问题,并使远程和移动用户的工作效率更高。最重要的是,如果实施得当,它不会影响私人公司网络上计算机系统和数据的安全性和完整性。

传统的IPSec VPN

传统VPN依靠IPSec(Internet协议安全)在两个端点之间进行隧道传输。 IPSec在OSI模型的网络层上工作,保护在两个端点之间传输的所有数据,而不与任何特定应用程序关联。当在IPSec VPN上连接时,客户端计算机“几乎”是公司网络的完整成员,能够查看并可能访问整个网络。

大多数IPSec VPN解决方案都需要第三方硬件和/或软件。要访问IPSec VPN,有问题的工作站或设备必须安装IPSec客户端软件应用程序。这既是赞成也是骗局。

如果客户端机器不仅需要运行正确的VPN客户端软件来连接到您的IPSec VPN,而且还必须正确配置它,那么专家就是它提供了额外的安全层。这些是未经授权的用户在访问您的网络之前必须克服的额外障碍。

可以肯定的是,维护客户端软件的许可证可能是一种经济负担,也是在所有远程计算机上安装和配置客户端软件的技术支持的噩梦,特别是如果他们无法在现场进行物理配置软件他们自己。

SSL VPN

正是这种骗局被普遍称为竞争对手SSL(安全套接字层)VPN解决方案的最大优势之一。 SSL是一种常见的协议,大多数Web浏览器都内置了SSL功能。因此,世界上几乎每台计算机都已配备必要的“客户端软件”来连接SSL VPN。

另一个SSL VPN的专家是它们允许更精确的访问控制。首先,它们为特定应用程序而不是整个企业LAN提供隧道。因此,SSL VPN连接上的用户只能访问他们配置为访问的应用程序而不是整个网络。其次,更容易为不同的用户提供不同的访问权限,并且更精细地控制用户访问。

然而,SSL VPN的一个例子就是您通过Web浏览器访问应用程序,这意味着它们实际上只适用于基于Web的应用程序。可以通过Web启用其他应用程序,以便可以通过SSL VPN访问它们,但这样做会增加解决方案的复杂性并消除一些优点。

仅直接访问启用Web的SSL应用程序还意味着用户无法访问网络资源(如打印机或集中存储),也无法使用VPN进行文件共享或文件备份。

SSL VPN的普及和普及程度越来越高;但是,它们并不是每个实例的正确解决方案。同样,IPSec VPN也不适合每个实例。供应商正在继续开发扩展SSL VPN功能的方法,如果您在市场上寻求安全的远程网络解决方案,那么您应该密切关注这项技术。现在,重要的是要仔细考虑远程用户的需求,并权衡每个解决方案的优缺点,以确定最适合您的方案。