9点到10点,适合写博客。
好,下面就开始传诵经文。
政企,金融,应该各行业稍具规模,都会有远程接入设备。有一些比如ERP,或者OA的东西,是不适合,也没有必要放在公网的,但是公司的人员不在公司的时候怎么访问这些资源呢,就可以远程接入内网或者是私有网络,然后就可以像在内网一样访问内部资源了。用的比较多的就是VPN了。后面会再提一下堡垒机,两者有相似,但是应用场景还是不同的。
Virtual Private Network 虚拟专用网络
先说VPN吧,VPN有好多种,用的比较多的是SSL VPN,简单的理解就是你在企业网边界处放一个VPN设备,一台就可以了,然后呢,员工要访问内网的时候,就是先访问到VPN,然后VPN会给员工一个内网身份,然后就可以像在内网一样访问内部资源了。也就是VPN一方面做了身份验证,另一方面提供了一条加密的访问内网的通道。官方解释:在公用网络上建立专用网络,进行加密通讯。做VPN的厂商很多大,深信服最开始也是做VPN的。
除非你用过,否则可能还是没有多少概念。一般来说,VPN有使用客户端形式的(类似代理agent),也有WEB形式的。客户端形式的需要在本机安装软件,使用起来呢,可以有一些IP层面的应用,比如登录VPN后可以远程登录到内网的服务器等设备。还有一种就是常用的普通用户的,登录VPN后,访问内部的WEB资源,比如OA等。 现在出了一种WEBVPN,比如瑞致康诚的产品,这种好处就是不需要安装代理客户端,用户使用浏览器访问即可,但是这种,一般只能访问网页应用,其他IP层面的应用受限。
堡垒机 (运维审计)
堡垒机就是用来控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事溯源)。从安全合规上来说,堡垒机提供事前授权、事中监察、事后审计等完整的运维闭环。
那么举个教育行业里的例子。比如苏迪给学校做网站群,那么学校会给苏迪一个账户sudy,在堡垒机上开通一个仅给sudy使用的账号,登录后呢,访问的目标资源只能是苏迪的一组服务器资源。金智给学校做教务系统,那么堡垒机上开一个账号,jinzhi,那么金智就可以使用这个账号先登录堡垒机,然后再访问金智的相关业务服务器。这个和VPN的一个重要区别就是,可以做到录像。啥意思呢,就是你用sudy登录以后,做的所有事情,都会被以一个个小文件的形式存储下来,内容就是你登录后的操作视频。你干了些什么,都会被记录,就像行车记录仪一样,按照时间点,有很多个视频组成,你,休想干坏事,因为都被记录着呢。VPN可以登录访问,但是没有这种视频录像,所以VPN一般是给员工使用的,而堡垒机是给工程师等运维人员使用的。
现在业务都上云,就是做成saas服务,堡垒机也是,传统都是硬件设备,现在云服务也很多了。
扫一扫
4252
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
