日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
IPSecVPN和SSLVPN:對比兩種VPN的安全風(fēng)險

虛擬專用網(wǎng)絡(luò)(VPN)已經(jīng)成為了公司合作伙伴或員工遠程安全訪問公司資源的事實標(biāo)準(zhǔn)。在本文中,我們將試圖解釋兩種特定的VPN類型,即IPSec VPN和SSL VPN,以及這兩種類型應(yīng)該如何選擇。

創(chuàng)新互聯(lián)專注于石阡企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站設(shè)計,購物商城網(wǎng)站建設(shè)。石阡網(wǎng)站建設(shè)公司,為石阡等地區(qū)提供建站服務(wù)。全流程按需定制設(shè)計,專業(yè)設(shè)計,全程項目跟蹤,創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

然而,在深入研究這兩個不同類型之前,需要首先對VPN技術(shù)進行一個簡要的概述。VPN是指有利于遠程訪問公司資源的一系列技術(shù)。這種技術(shù)的主要用戶,是試圖在家或者其他公共場所訪問公司資源的公司雇員,以及在公司的基礎(chǔ)架構(gòu)內(nèi)支持各種系統(tǒng)的合作伙伴或第三方。VPN一般通過在遠程站點和公司網(wǎng)絡(luò)之間建立一個加密通道的方式,利用公共長途IP網(wǎng)絡(luò)來進行數(shù)據(jù)傳輸,這些遠程站點包括雇員的筆記本電腦或者第三方系統(tǒng)。

關(guān)鍵技術(shù)

當(dāng)前,最為普及的兩種VPN技術(shù)分別是基于傳統(tǒng)網(wǎng)絡(luò)安全協(xié)議(IPsec)的VPN技術(shù)和安全套接字層(SSL)VPN技術(shù),前者主要作用于網(wǎng)絡(luò)層,而后者主要作用于應(yīng)用層。它們的不同之處在于:使用的底層技術(shù)不同,所服務(wù)的功能不同,以及潛在的VPN安全風(fēng)險不同。

IPsec最初的設(shè)計是提供點到點的,在遠程站點和中央辦公室資源之間進行不間斷的連接。在這種情況下,客戶端可以是分公司或者供應(yīng)商。這個協(xié)議被設(shè)計為工作在網(wǎng)絡(luò)堆棧的更底層(第3層,網(wǎng)絡(luò)層),并可以用來傳輸任何基于IP的協(xié)議報文,而不用理會應(yīng)用程序所產(chǎn)生的流量。隨著移動辦公時代的到來,IPsec已經(jīng)得到擴展,用戶通過使用一個安裝在移動設(shè)備上的專用VPN應(yīng)用程序(客戶端)就可以進行遠程訪問。

另一方面,SSL VPN在設(shè)計時就考慮到了移動辦公。它的預(yù)期目標(biāo)是提供一個無縫連接的、無客戶端的遠程訪問方式。這樣,SSL VPN可以被看做一個應(yīng)用程序代理,遠程用戶使用瀏覽器就可以以某種粒度訪問公司的特定資源,而不再需要安裝客戶端。

優(yōu)勢與劣勢

IPsec的關(guān)鍵優(yōu)勢在于它在站點之間提供一個永久連接的能力。工作在網(wǎng)絡(luò)層(網(wǎng)絡(luò)堆棧的第3層)也使其與應(yīng)用程序無關(guān):任何基于IP的協(xié)議都能夠通過它進行傳輸。這使得IPsec相對于那些昂貴的租用線路或者專用線路,是一個相當(dāng)有吸引力的替代品。它也可以作為一個備份鏈路,即在連接遠程站點和中央辦公室的主租用線路或?qū)S镁€路崩潰時起作用。

然而,IPsec中與應(yīng)用程序無關(guān)的設(shè)計也是它的弱點。雖然它提供了認證、授權(quán)和加密,同時還基本上把公司網(wǎng)絡(luò)拓展到任何遠程用戶,但是它沒有能在一定粒度級別上限制對資源的訪問。一旦隧道建立,遠程用戶通??梢栽L問公司的任何資源,就像他們是直接連接到公司網(wǎng)絡(luò)一樣。因為移動辦公需要允許諸如智能手機和家用電腦等非托管的IT設(shè)備訪問公司資源,所以這些安全問題顯得更加嚴(yán)重。IT部門對這些設(shè)備沒有任何可視性和控制權(quán),而且不能保證這些設(shè)備符合通常在托管設(shè)備上實施的安全水平。

另外,IPsec也需要更多的維護。除了需要建立終止通道的設(shè)備,還需要額外的配置和維護來支持遠程用戶群。在公司使用網(wǎng)絡(luò)地址解析(NAT)的情況下,還需要特殊的配置確保IPsec與NAT設(shè)置充分協(xié)調(diào)。

相比之下,SSL VPNs從設(shè)計的一開始就支持遠程訪問。它們不需要安裝任何特別的軟件。遠程訪問是通過一個基于瀏覽器的使用安全套接層(SSL)的會話實現(xiàn)的。SSL VPNs還為企業(yè)提供粒度級訪問控制的能力。特定的身份驗證和訪問應(yīng)用程序的授權(quán)方案可以被限定在一個特定的用戶群。內(nèi)置的日志記錄和審核能力能處理各種合規(guī)要求。SSL VPNs還具備在連接到企業(yè)的遠程設(shè)備上運行主機合規(guī)性檢查的能力,以驗證它們配置了合適的安全軟件,并安裝了最新的補丁。

但這并非意味著SSL VPNs就是所有IPsec缺點的靈丹妙藥。當(dāng)一個遠程站點需要與主辦公室建立不間斷連接時,SSL VPN不是合適的解決方案。與應(yīng)用程序無關(guān)的IPsec能以最小的代價支持大量傳統(tǒng)的協(xié)議和傳統(tǒng)客戶/服務(wù)應(yīng)用程序。這與圍繞基于Web應(yīng)用構(gòu)建的SSL VPNs是不同的。許多SSL VPNs通過在遠程設(shè)備上安裝一個Java或者基于ActiveX的代理控件來解決這個缺點。通常情況下,在遠程設(shè)備成功通過SSL VPN設(shè)備的驗證后,相關(guān)的安裝會準(zhǔn)確無誤的實現(xiàn),但是值得注意的是,ActiveX和Java都有其自身的安全缺陷,這也是攻擊者通常試圖利用的一點。

IPsec VPN還是SSL VPN?

在企業(yè)中,每種VPN方案都有其用處。理想情況下,因為SSL和IPsec VPNs服務(wù)于不同的目的且具有優(yōu)勢互補的特點,所以它們都應(yīng)該被采用。IPsec應(yīng)該在需要與遠程辦公地點或者合作伙伴/供應(yīng)商建立不間斷連接時使用。這種情況下,粒度訪問控制限制和缺失的主機檢查能力應(yīng)該通過一個網(wǎng)絡(luò)訪問控制系統(tǒng)來增加,這就可以確保只有通過驗證的遠程主機才能連接到企業(yè)。在粒度訪問控制能力,審核和日志記錄,以及安全策略控制等因素至關(guān)重要的移動辦公情況下,企業(yè)應(yīng)該主要使用SSL VPNs作為遠程訪問方案。但是請記住,不管你的VPN選擇或特定需要如何,一個VPN必須更新,測試并進行性能檢測,而且它是作為利用綜合性策略和各種網(wǎng)絡(luò)安全技術(shù)的深度防護戰(zhàn)略的一部分。


當(dāng)前題目:IPSecVPN和SSLVPN:對比兩種VPN的安全風(fēng)險
分享鏈接:http://m.5511xx.com/article/cddhdoe.html