对企业来说,控制外部的网络接入是一项十分重要的工作,不安全的接入容易遭到网络攻击和内部资料的谢罗。
在行业标准和企业信息安全规范中,如《国家电子政务外网安全接入平台技术规范》,政府、金融和企业用户都被规定使用VPN。
其中,VPN按实用技术不同又分为多种类别,包括pptp vpn、l2tp vpn、ipsec vpn、ssl vpn、mpls vpn、QVMVPN等,其中SSL VPN是解决远程用户访问公司敏感数据最简单最安全的解决技术。
SSL是啥
SSL VPN是指应用层的 基于HTTPS来访问受保护的应用。
SSL通过简单易用的方法实现信息远程连通,任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL内嵌在浏览器中,它不必专门为每一台客户机安装客户端软件。
SSL VPN网关在传输过程中起到的主要作用是代理 ,请求并没有被直接发送给应用服务器,而是被SSLVPN接收,接收后的数据首先被SSL VPN进行协议解析,然后执行身份认证和访问控制等安全策略,最终再将数据转换为适当的后端协议,传送给应用服务器。
由于在执行安全策略后才允许数据流进入应用服务器,从而有力地保护了专用网络。
SSL VPN有两种接入方式,无客户端方式和瘦客户端方式。无客户端是指通过IE浏览器实现内容重写和应用翻译。
实现机制有四个方面:
通过动态翻译Web内容中内嵌的URL连接,使之指向SSL VPN网关虚拟门户;
重写内嵌在HTML页面中 Javascript,Cookie的URL连接;
重写Web Server的回应 , 使之符合Internet标准格式;
扩展到一些非Web应用,如文件共享访问。
无客户端方式支持的应用类型可以是Web方式也可以是文件共享,通过Web方式可以访问企业的Web应用,Web资源如OutlookWeb Access等。
文件共享是指可以通过浏览器访问内部文件系统,浏览目录,下载和上传文件UNIX(NFS)文件,Windows(SMB/CIFS)文件等。
瘦客户端方式是指客户端作为代理实现端口转发,但是SSL VPN客户端是自动下载的,所以对客户来说是透明的。
瘦客户端支持的应用类型是所有基于固定端口的TCP应用,如Exchange/LotusNotes、Email(POP/IMAP/SMTP)、Telnet等。
SSL与IPSec对比
IPSec缺陷:
由于IPSec是基于网络层的协议,很难穿越NAT和防火墙,特别是在接入一些防护措施较为严格的个人网络和公共计算机时,往往会导致访问受阻。
移动用户使用IPSec VPN需要安装专用的客户端软件,为日益增长的用户群发放、安装、配置、维护客户端软件已经使管理员不堪重负。
因此,IPSec VPN在Point- to-Site远程移动通信方面并不适用。
如上图,SSL保护的是应用层的数据,可以针对某个应用做具体保护。而IPSec [虚拟专用网络]针对的是整个网络层。无法做精细化控制。
所以在SSL [虚拟专用网络]出现之前,IPSec、L2TP等先期出现的[虚拟专用网络]技术虽然可以支持远程接入这个应用场景,但这些[虚拟专用网络]技术存在如下缺陷。
远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦,IPSec/L2TP [虚拟专用网络]的配置繁琐。
网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制。
网工界最有含金量的思科/华为认证,到底是啥?
拿下思科/华为认证之后,身为网工的你可以:
跨越90%企业的招聘硬门槛
增加70%就业机会
拿下BAT全国TOP100大厂敲门砖
体系化得到网络技术硬实力
IE大佬年薪可达30w+
如何了解+系统学习?
识别下方二维码加老杨为好友
好友验证请备注“考证”
获得1v1专属咨询+报班千元满减券
前30名粉丝 免费获得老杨答疑机会
