广域网存在各种安全隐患:
① 网上传输的数据有被窃听的风险
② 网上传输的数据有被篡改的危险
③ 通信双方有被冒充的风险
VPN建在互联网的公共网络架构上,一般通过加密协议,在发送端加密数据、在接收端解密数据,以保证数据的私密性。
Internet Protocol Secutity(IPSec) 和 Secure Sockets Layer (SSL) 是企业部署VPN所采用的两种主要技术,它们都用来作企业远程接入的加密和认证机制,以下我们简要介绍一下两种VPN技术。
1.IPSEC VPN
IPSec VPN主要应用于企业局域网总部与各个分部之间创建加密“隧道”,从而允许使用者就像他们在公司局域网内部一样工作,即使他们处在很遥远的地方。为了创建这个加密隧道,需要在企业总部与各个分部的边界路由器上进行部署。
IPSec VPN是工作在IP层上,是在网络层进行认证和加密的,它的建立需要在VPN的两端建立IPSec 隧道,一旦隧道建立好,所有的数据流量都从这个隧道穿过,并可以支持之上任意一种IP应用。
IPSec 隧道的建立采用Authentication Header (AH) 协议或 Encapsulating Security Payload (ESP) 协议。IPSec 是一套IETF制定的标准安全协议。
IPSec可以采用 DES、3DES、AES 等加密算法。
2.SSL VPN
SSL VPN主要应用于个人用户访问企业内网,例如出差员工的便携机访问公司内网。
SSL VPN工作在传输层与应用层之间,这个技术特性决定了它是一种基于应用的VPN,可以更好的应用于应用层的安全访问控制机制,并能够做到底层无关性,可以做到部署方式更灵活。由于它的客户端只需要标准的浏览器,可以看作是无客户端的VPN方案,被认为是SSL VPN的主要特点。
若要使用SSL VPN,要求客户端必须具有SSL功能的标准浏览器,如IE、Netscape等。除了WEB应用,主要的SSL VPN厂家,包括SSL VPN的领导厂家ArrayNetworks都支持C/S结构的应用,甚至包括动态端口等音频、视频等复杂应用。由于要支持C/S结构的应用,一般还要求支持Java和 ActiveX。
加密机制如同IPSec,仍然采用RC4, DES、3DES、AES等加密算法。
3.IPSec VPN和SSL VPN比较
(1)适用VPN组网结构
IPSec VPN适用Site to Site组网:一个公司两个分部之间的网络互联,IPSec VPN就是首选的。因为需求是网络的互联,而不是具体应用的安全访问。网络互联的核心在IP协议,而IPSec VPN正是提供了IP层的安全。
SSL VPN适用Client to Site组网:当客户端为PC终端设备时,采用此方式。即VPN用户为分布在广泛地域的移动用户时更显优势。IPSec 和 SSL VPN可以互为补充,满足企业不同的VPN上网群体,达到更加安全的访问组合。
(2)接入范围
IPSec VPN接入范围狭窄:IPSec VPN只能在部署了IPsec VPN网关的地方适用,对于在网吧或出差等用户来讲就更不可能。
SSL VPN接入范围广泛:SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方,使更多的员工,在更多的地方,使用更多的设备,安全访问企业网络资源,同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准。
(3)VPN 的安全性
IPSec VPN安全缺陷:IPSec属于隧道机制,使远程接入的安全风险增加;由于IPSec VPN在连接的两端创建隧道,提供直接(而非代理)访问,并对全部网络可视,因此IPSec VPN会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用,由此会大大增加风险,这些客户端的安全行严重威胁企业数据中心的安全。
SSL VPN控制完善:SSL VPN是基于应用的VPN,可以针对应用和用户或组等客户信息进行细粒度的访问控制,达到更加安全的保护效果,充分保障企业数据中心的安全。
4.IPSEC-VPN和SSL-VPN在等级保护中的适用范围
①安全通信网络——>通信传输——>b) 应采用密码技术保证通信过程中数据的保密性。
IPSEC VPN适用于此项条款中,总部边界网关与分部边界网关之间通信链路之间的加密,以及云计算场景中各个VPC子网之间、本地IDC与云端VPC子网等重要通信链路之间的加密。
SSL VPN适用于此项条款中,企业内部用户、企业外部用户接入到企业内网时,对其通信过程中的数据进行加密。
②安全区域边界——>边界防护——>b)应能够对非授权设备私自联到内部网络的行为进行检查或限制。
IPSEC VPN用于防止未授权的网关设备及其背后的局域网接入到企业内网。
SSL VPN适用于此项条款中,对企业的所有用户在接入企业内网时进行身份认证,防止非授权设备私自联到内部网络。
③安全管理中心——>集中管控——>b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
IPSEC VPN不适用。
SSL VPN适用于此项条款中,对于企业中的安全管理员通过SSL VPN连接到堡垒机,对网络中的安全设备进行管理。
1192
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
