兩種VPN:葉徒相似 其味不然

責任編輯:editor008

2014-03-05 09:07:52

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

在安全領域,VPM的應用已經(jīng)十分廣泛,尤其是在廣大企業(yè)中,VPN的受歡迎程度已經(jīng)超出了想象。大多數(shù)企業(yè)都需要保護互聯(lián)網(wǎng)通信。對于很多企業(yè)來說,保護通信最簡單的方法是利用虛擬專用網(wǎng)絡(VPN)在需要通信的系統(tǒng)之間創(chuàng)建加密通道

《企業(yè)網(wǎng)D1Net》3月5日訊

在安全領域,VPM的應用已經(jīng)十分廣泛,尤其是在廣大企業(yè)中,VPN的受歡迎程度已經(jīng)超出了想象。大多數(shù)企業(yè)都需要保護互聯(lián)網(wǎng)通信。對于很多企業(yè)來說,保護通信最簡單的方法是利用虛擬專用網(wǎng)絡(VPN)在需要通信的系統(tǒng)之間創(chuàng)建加密通道。

VPN最常見的用例包括連接遠程工作人員到中央數(shù)據(jù)中心,讓他們安全訪問其工作所需的內部資源,在物理分離的位置之間創(chuàng)建永久連接,并保護內部系統(tǒng)或網(wǎng)絡區(qū)域之間的連接。

雖然有很多變型,但絕大多數(shù)VPN主要分為兩種技術類型。第一種利用安全套接字層(SSL)技術,通過SSL或可信層安全(TLS)證書來加強連接。第二種是基于互聯(lián)網(wǎng)協(xié)議安全(IPSec)的VPN來提供更高級的安全選項。

SSL VPN

在大多數(shù)情況下,SSL VPN主要為需要安全訪問應用和系統(tǒng)的員工提供連接。很多SSL VPN提供商提供本地集成和配置選項來處理常見應用,這些常見應用包括電子郵件、辦公工具、文件共享以及通常通過瀏覽為訪問的web應用。這些VPN的優(yōu) 勢是它們不需要在連接端點安裝任何客戶端,并且,當訪問常見應用時,安裝和配置非常簡單。

IPSec VPN

對于非web應用和更復雜的安全需求,IPSec VPN可能是更好的選擇。雖然有其他遠程訪問VPN協(xié)議,例如點對點通道協(xié)議和2層網(wǎng)絡通道協(xié)議,但不同的是,IPSec完全封裝了端點和安全網(wǎng)關之間 (或兩個安全網(wǎng)關之間)所有IP協(xié)議流量,并提供更強的加密選項。IPSec是一組更復雜的協(xié)議,它為企業(yè)提供了更靈活的方法來在網(wǎng)關和系統(tǒng)之間建立專用 通道,以處理大多數(shù)類型的通信。大多數(shù)企業(yè)級VPN都被作為硬件設備部署,但其實,較小型企業(yè)可以選擇在傳統(tǒng)服務器硬件上安裝VPN軟件。

架構不同,但都依賴于防火墻背后的服務器

我們有幾種類型的架構可用于部署VPN平臺。用于遠程訪問的最常見架構涉及在隔離區(qū)(DMZ)的外圍防火墻背后建立VPN服務器,允許特定端口或網(wǎng)址通過 防火墻訪問服務器。DMZ可以設置在兩個不同防火墻之間(或者在連接到一個防火墻的單個網(wǎng)段上),VPN服務器則位于該子網(wǎng)內。客戶端連接到VPN服務 器,然后VPN服務器根據(jù)用戶的角色和身份驗證憑據(jù)來將用戶連接到內部應用和服務。在某些部署中,VPN和防火墻可能是相同的設備,只要同時連接的數(shù)量可 以得到管理,而不會對性能帶來顯著影響。

這種架構已經(jīng)經(jīng)受住了時間的考驗,現(xiàn)在大多數(shù)部署方案涉及“VPN+防火墻”或“DMZ中VPN”模式。這種模式的主要缺點是需要信任來自VPN平臺的流量,在很多情況下這些流量沒有進行內部加密。不過,傳統(tǒng)網(wǎng)絡監(jiān)控工具(入侵檢測系統(tǒng))可以監(jiān)控這種流量。

第二種VPN架構是兩個物理位置之間的站點到站點連接,這通常配置在外圍網(wǎng)關設備(通常是路由器)之間。對于這種架構,最關鍵的安全問題是遠程VPN平臺和網(wǎng)絡的可信度。這是因為,這種連接通常是永久性的。

最后,還有一個所謂的內部VPN,這是在更先進的安全架構中最常見的架構。在這種方法中,VPN服務器作為通往關鍵網(wǎng)絡區(qū)域及系統(tǒng)的網(wǎng)關。建立內部網(wǎng)關來控制對敏感數(shù)據(jù)和資源的訪問可以幫助企業(yè)滿足合規(guī)要求,并可以監(jiān)控特權用戶行為。

良好VPN設計的共同屬性

不管部署哪種架構,我們有很多配置選項可用于鎖定VPN平臺及其提供的功能。所有VPN部署應該具備下面這些特性:

身份驗證和訪問控制:SSL VPN使用SSL/TLS證書來對端點進行身份驗證,以創(chuàng)建一個加密通道,然后通常還會提供一個web界面,支持密碼或多因素方法(令牌、客戶端證書或一 次性密碼或代碼)的傳統(tǒng)身份驗證。IPSec VPN通常預配置了網(wǎng)關和客戶端之間的身份驗證選項,遠程用戶可以提供用戶名和密碼、令牌代碼等來驗證身份。驗證終端設備安全和可信度:在過去幾年,VPN產(chǎn)品逐漸增加了終端設備安全評估功能。很多VPN現(xiàn)在可以確定終端設備的操作系統(tǒng)、補丁修復水平、瀏覽器版本和安全設置,以及是否安裝了反惡意軟件(還有部署了什么簽名版本)。機密性和完整性:SSL VPN支持分組密碼和流加密算法,包括3DES、RC4、IDEA和AES等。IPSec VPN只支持分組密碼進行加密。這兩種類型的VPN都支持哈希密碼進行完整性驗證,并且都有不同的方法來檢測數(shù)據(jù)包篡改和重放攻擊—通過序列號和哈?;蛳?息身份驗證。

D1Net評論:

IPSec VPN和SSL VPN,這兩種VPN可以說是葉徒相似,其味不然,在某些功能上又相同之處,然而在實際應用中卻千差萬別。隨著兩種VPN的不斷發(fā)展,在功能上會有新特征出現(xiàn)。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號