玄幻小说完本,遮天,遮天辰东小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

IPSecVPN和SSLVPN：對比兩種VPN的安全風(fēng)險

虛擬專用網(wǎng)絡(luò)(VPN)已經(jīng)成為了公司合作伙伴或員工遠(yuǎn)程安全訪問公司資源的事實(shí)標(biāo)準(zhǔn)。在本文中，我們將試圖解釋兩種特定的VPN類型，即IPSec VPN和SSL VPN，以及這兩種類型應(yīng)該如何選擇。

創(chuàng)新互聯(lián)專注于石阡企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站設(shè)計(jì),購物商城網(wǎng)站建設(shè)。石阡網(wǎng)站建設(shè)公司,為石阡等地區(qū)提供建站服務(wù)。全流程按需定制設(shè)計(jì)，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

然而，在深入研究這兩個不同類型之前，需要首先對VPN技術(shù)進(jìn)行一個簡要的概述。VPN是指有利于遠(yuǎn)程訪問公司資源的一系列技術(shù)。這種技術(shù)的主要用戶，是試圖在家或者其他公共場所訪問公司資源的公司雇員，以及在公司的基礎(chǔ)架構(gòu)內(nèi)支持各種系統(tǒng)的合作伙伴或第三方。VPN一般通過在遠(yuǎn)程站點(diǎn)和公司網(wǎng)絡(luò)之間建立一個加密通道的方式，利用公共長途IP網(wǎng)絡(luò)來進(jìn)行數(shù)據(jù)傳輸，這些遠(yuǎn)程站點(diǎn)包括雇員的筆記本電腦或者第三方系統(tǒng)。

關(guān)鍵技術(shù)

當(dāng)前，最為普及的兩種VPN技術(shù)分別是基于傳統(tǒng)網(wǎng)絡(luò)安全協(xié)議(IPsec)的VPN技術(shù)和安全套接字層(SSL)VPN技術(shù)，前者主要作用于網(wǎng)絡(luò)層，而后者主要作用于應(yīng)用層。它們的不同之處在于：使用的底層技術(shù)不同，所服務(wù)的功能不同，以及潛在的VPN安全風(fēng)險不同。

IPsec最初的設(shè)計(jì)是提供點(diǎn)到點(diǎn)的，在遠(yuǎn)程站點(diǎn)和中央辦公室資源之間進(jìn)行不間斷的連接。在這種情況下，客戶端可以是分公司或者供應(yīng)商。這個協(xié)議被設(shè)計(jì)為工作在網(wǎng)絡(luò)堆棧的更底層（第3層，網(wǎng)絡(luò)層），并可以用來傳輸任何基于IP的協(xié)議報文，而不用理會應(yīng)用程序所產(chǎn)生的流量。隨著移動辦公時代的到來，IPsec已經(jīng)得到擴(kuò)展，用戶通過使用一個安裝在移動設(shè)備上的專用VPN應(yīng)用程序（客戶端）就可以進(jìn)行遠(yuǎn)程訪問。

另一方面，SSL VPN在設(shè)計(jì)時就考慮到了移動辦公。它的預(yù)期目標(biāo)是提供一個無縫連接的、無客戶端的遠(yuǎn)程訪問方式。這樣，SSL VPN可以被看做一個應(yīng)用程序代理，遠(yuǎn)程用戶使用瀏覽器就可以以某種粒度訪問公司的特定資源，而不再需要安裝客戶端。

優(yōu)勢與劣勢

IPsec的關(guān)鍵優(yōu)勢在于它在站點(diǎn)之間提供一個永久連接的能力。工作在網(wǎng)絡(luò)層（網(wǎng)絡(luò)堆棧的第3層）也使其與應(yīng)用程序無關(guān)：任何基于IP的協(xié)議都能夠通過它進(jìn)行傳輸。這使得IPsec相對于那些昂貴的租用線路或者專用線路，是一個相當(dāng)有吸引力的替代品。它也可以作為一個備份鏈路，即在連接遠(yuǎn)程站點(diǎn)和中央辦公室的主租用線路或?qū)Ｓ镁€路崩潰時起作用。

然而，IPsec中與應(yīng)用程序無關(guān)的設(shè)計(jì)也是它的弱點(diǎn)。雖然它提供了認(rèn)證、授權(quán)和加密，同時還基本上把公司網(wǎng)絡(luò)拓展到任何遠(yuǎn)程用戶，但是它沒有能在一定粒度級別上限制對資源的訪問。一旦隧道建立，遠(yuǎn)程用戶通?？梢栽L問公司的任何資源，就像他們是直接連接到公司網(wǎng)絡(luò)一樣。因?yàn)橐苿愚k公需要允許諸如智能手機(jī)和家用電腦等非托管的IT設(shè)備訪問公司資源，所以這些安全問題顯得更加嚴(yán)重。IT部門對這些設(shè)備沒有任何可視性和控制權(quán)，而且不能保證這些設(shè)備符合通常在托管設(shè)備上實(shí)施的安全水平。

另外，IPsec也需要更多的維護(hù)。除了需要建立終止通道的設(shè)備，還需要額外的配置和維護(hù)來支持遠(yuǎn)程用戶群。在公司使用網(wǎng)絡(luò)地址解析（NAT）的情況下，還需要特殊的配置確保IPsec與NAT設(shè)置充分協(xié)調(diào)。

相比之下，SSL VPNs從設(shè)計(jì)的一開始就支持遠(yuǎn)程訪問。它們不需要安裝任何特別的軟件。遠(yuǎn)程訪問是通過一個基于瀏覽器的使用安全套接層（SSL）的會話實(shí)現(xiàn)的。SSL VPNs還為企業(yè)提供粒度級訪問控制的能力。特定的身份驗(yàn)證和訪問應(yīng)用程序的授權(quán)方案可以被限定在一個特定的用戶群。內(nèi)置的日志記錄和審核能力能處理各種合規(guī)要求。SSL VPNs還具備在連接到企業(yè)的遠(yuǎn)程設(shè)備上運(yùn)行主機(jī)合規(guī)性檢查的能力，以驗(yàn)證它們配置了合適的安全軟件，并安裝了最新的補(bǔ)丁。

但這并非意味著SSL VPNs就是所有IPsec缺點(diǎn)的靈丹妙藥。當(dāng)一個遠(yuǎn)程站點(diǎn)需要與主辦公室建立不間斷連接時，SSL VPN不是合適的解決方案。與應(yīng)用程序無關(guān)的IPsec能以最小的代價支持大量傳統(tǒng)的協(xié)議和傳統(tǒng)客戶/服務(wù)應(yīng)用程序。這與圍繞基于Web應(yīng)用構(gòu)建的SSL VPNs是不同的。許多SSL VPNs通過在遠(yuǎn)程設(shè)備上安裝一個Java或者基于ActiveX的代理控件來解決這個缺點(diǎn)。通常情況下，在遠(yuǎn)程設(shè)備成功通過SSL VPN設(shè)備的驗(yàn)證后，相關(guān)的安裝會準(zhǔn)確無誤的實(shí)現(xiàn)，但是值得注意的是，ActiveX和Java都有其自身的安全缺陷，這也是攻擊者通常試圖利用的一點(diǎn)。

IPsec VPN還是SSL VPN？

在企業(yè)中，每種VPN方案都有其用處。理想情況下，因?yàn)镾SL和IPsec VPNs服務(wù)于不同的目的且具有優(yōu)勢互補(bǔ)的特點(diǎn)，所以它們都應(yīng)該被采用。IPsec應(yīng)該在需要與遠(yuǎn)程辦公地點(diǎn)或者合作伙伴/供應(yīng)商建立不間斷連接時使用。這種情況下，粒度訪問控制限制和缺失的主機(jī)檢查能力應(yīng)該通過一個網(wǎng)絡(luò)訪問控制系統(tǒng)來增加，這就可以確保只有通過驗(yàn)證的遠(yuǎn)程主機(jī)才能連接到企業(yè)。在粒度訪問控制能力，審核和日志記錄，以及安全策略控制等因素至關(guān)重要的移動辦公情況下，企業(yè)應(yīng)該主要使用SSL VPNs作為遠(yuǎn)程訪問方案。但是請記住，不管你的VPN選擇或特定需要如何，一個VPN必須更新，測試并進(jìn)行性能檢測，而且它是作為利用綜合性策略和各種網(wǎng)絡(luò)安全技術(shù)的深度防護(hù)戰(zhàn)略的一部分。

新聞名稱：IPSecVPN和SSLVPN：對比兩種VPN的安全風(fēng)險
分享路徑：http://fisionsoft.com.cn/article/cddhdoe.html

新聞中心

其他資訊