快捷搜索:  as  test  1111  test aNd 8=8  test++aNd+8=8  as++aNd+8=8  as aNd 8=8

游艇会官网一站二站三站:安全认知抛弃IPsec用SSL保护虚拟专用网



许多公司应用VPN向公司外部的员工供给企业收集接入。今朝,大年夜多半远程接入VPN都应用IP安然扩展(IPsec)加密在公共IP收集上传输的专用IP数据包。

然而,跟着员工步队的增长和多元化,IPsec VPN客户对付终极用户来说是很麻烦的,对付收集治理员来说是资源是很高的。经由过程使用广泛利用的收集浏览器作为一个客户平台,SSL VPN设备将是供给一种简单而安然的外点造访专用企业办事和数据的有盼望的替代措施。

为什么应用SSL VPN设备?

市游艇会官网一站二站三站场钻研公司Gartner猜测,到2008年,SSL VPN将成为主要的远程接入要领。三分之二以上的远程事情员工、四分之三的承包商和90%以上的必要随机造访企游艇会官网一站二站三站业收集的雇员都将采纳这种要领。作为一个基于浏览器的办理规划,SSL VPN险些能在任何系统上快速启动,不必要安装永远性的客户端软件。对付那些对治理旅行者和远程事情者的条记本电脑认为厌烦以及那些必要不增添已经很沉重的IT事情量来扩大年夜远程接入的企业来说,上述好处是有吸引力的。

用户平日可以应用一台SSL VPN设备从家里的或者公共的PC上加入收集,在任何可用的互联网连接上得到直接的造访。一旦用户经由过程身份识别,组或游艇会官网一站二站三站者单个规则便容许造访SSL VPN设备后面的代表系统、办事和数据的URL.目标利用一样平常经由过程一个浏览器的窗口显示出来,由下载的ActiveX控件或者Java法度榜样实施的。SSL或者其IETF(互联网工程义务组)的继任者TLS(传输层安然)将用于数据压缩、散列、加密和在用户和VPN设备之间的传输整个信息。总之,SSL VPN设备能够供给安然的造访,较少地依附客户端软件。

利用SSL VPN设备

深入掘客这个漂亮的外表,你将会发明SSL和IPsec VPN之间的伟大年夜区别。例如,IPsec VPN供给造访详细的子网或者全部企业收集。连接的主机必须分配一个这个专用收集地址空间中的IP地址。由于SSL VPN供给详细URL地址的造访,资本规则可以更具体并且能过更轻易地暗藏内部收集的布局。从收集工程师的不雅点看,SSL VPN整合更简单,由于这种设备能够在你防火墙的隔离区中应用,不游艇会官网一站二站三站用增添IP子网或者从新为IP子网编号。

另一方面,IPsec VPN创建一个支持任何基于IP的利用法度榜样的强大年夜的、通用的利用法度榜样。根据其设计,SSL VPN设备可能必要慢慢努力支持新的利用。例如,具体的设置可能必要把URL镜像为利用工具,并且重写URL以便暗藏内部信息。每一个SSL VPN设备都支持通用商务利用法度榜样,如企业电子邮件和收集文件系统造访等。然则,专有的或者繁杂的利用必要客户参与开拓或者必要客户方面的端口转发代码。是以,许多公司最初都应用SSL VPN来增强其IPsec VPN,把仅必要造访电子邮件的员工增添到SSL VPN收集,同时保留IPsec VPN以满意真正必要广泛的收集层造访的员工的需求。

在SSL VPN设备中寻求什么

当然,SSL VPN设备必须有增强的平台的操作系统,并且经由过程安然界面进行治理。虽然早期的SSL VPN机能与IPsec比拟还不是很好,然则,今朝的企业设备能够应用硬件加速和高可用性等技巧靠得住地支持每一个大年夜型的员工步队。然则,除了对任何收集安然设备的这些基础的斟酌之外,当你选择一台SSL VPN设备的时刻,你应该斟酌什么功能和身分呢?

VPN架构——SSL VPN设备是多种多样的:

Web代理设备仅支持Web利用法度榜样。浏览器把通俗的HTTP包在SSL中并且发送给这台设备。这台设备反省政策、镜像URL并且把HTTP哀求转发给目标互联网办事器。

利用解析设备让用户经由过程ActiveX或者Java接口与利用法度榜样互动。这种Java接口仿照本地的利用法度榜样图形用户界面,然则以HTTP款式发送哀求。这台设备在把这个哀求转发到目标办事器(非Web办事器)之前必须要把HTTP解析为每一个利用法度榜样的本地协议。

端口转发设备经由过程应用一个客户端代理在SSL地道中转发本地利用协议来支持TCP客户机/办事器利用法度榜样。这个代理与远程主机的利用端口连接在一路,同时,这台设备转发内部办事器(非Web办事器)发出和接管的信息。

收集扩展设备经由过程应用一个客户端代理在一个SSL地道中转发IP数据来支持任何IP利用法度榜样。一个安装的代理拦截并且把出网的IP数据传送给这个设备。这台设备像一台收集层网关一样事情,在布局上与IPsec相似,然则没有标准IPsec的限定。

任何指定的设备可能都支持一个以上的布局。然则,从这里开始,将赞助你理解产品的客户和利用法度榜样支持。

客户支持:每一个SSL VPN应用Web浏览器算作一个客户平台。然则,许多下载的客户端代码限定在公共PC、非Windows主机、移动设备以及外部网相助伙伴的系统上应用。你能够满意客户的要求吗,例如客户对浏览器厂商/版本或者启用ActiveX的要求?这种设备能为现值的客户供给削减的功能,同时为应用VPN门户网页自己安装代理软件的雇员供给更多的功能吗?

利用法度榜样支持:除了电子邮件和文件共享之外,斟酌你的员工步队必要的利用法度榜样,这种设备是否/若何支持这些利用法度榜样以及实现这些利用所必要的努力。例如,端口转发设备平日不必要客户化就能够支持许多客户机/办事器。然则,实时的利用(如VoIP)可能必要收集扩展设备。确认你理解了在URL镜像和为你必要的利用法度榜样进行协议解析都涉及到什么。

用户身份识别:SSL VPN在供给授权办事之前必须要识别用户的身份。确认这种设备支持你必要的用户身份识别要领以及现有的身份识别办事器和用户数据库(如, RADIUS、主动目录和LDAP)。此外,你要斟酌这种设备是否能够从用户账户提取授权属性,并且斟酌建立这种事情流所涉及的整合努力。

授权:SSL VPN平日有能力强制履行节制用户(或者组)能够造访什么内容的具体规则。评估支持每一个必要的利用法度榜样/资本的授权具体规则,苹果这种设备是否支持你定义的安然政策。例如,一些SSL VPN能够识别远程设备身份,让你限定那些在公共或者家庭PC上的用户的功能。

端点安然:在赞许造访之前评估端点安然状况和一台设备的状况也是很有用的。SSL VPN支持是为NAC、NAP、TNC和产品详细界面开拓的,使它能够反省和/或者强制履行端点安然。采取的措施是要求在端点应用当前的安然补丁或者杀毒软件,或者限定不相符规定的端点能够造访的资本。斟酌这种设备若何更好地适应你们公司的端点安然计谋和实施。假如你计划支持没有治理的端点游艇会官网一站二站三站,你要评估对客户端安然步伐的支持,如浏览器缓存、cookie和历史记录的清除以及"沙盒处置惩罚"(sandboxing)。

审计与申报:着末,你要斟酌这种设备若何跟踪和存档用户造访企业资本,并且斟酌这种信息是否足以满意你的公司内部/外部申报的需求。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

您可能还会对下面的文章感兴趣: