本帖最后由 SPOTO 于 2022-8-1 11:16 编辑
对企业来说,控制外部的网络接入是一项十分重要的工作,不安全的接入容易遭到网络攻击和内部资料的泄露。
在行业标准和企业信息安全规范中,如《国家电子政务外网安全接入平台技术规范》,政府、金融和企业用户都被规定使用VPN。
其中,VPN按实用技术不同又分为多种类别,包括pptp vpn、l2tp vpn、ipsec vpn、ssl vpn、mpls vpn、QVMVPN等,其中SSL VPN是解决远程用户访问公司敏感数据最简单最安全的解决技术。
什么是SSL?
SSL VPN是指应用层的 基于HTTPS来访问受保护的应用。
SSL通过简单易用的方法实现信息远程连通,任何安装浏览器的机器都可以使用SSL VPN, 这是因为SSL内嵌在浏览器中,它不必专门为每一台客户机安装客户端软件。
SSL VPN网关在传输过程中起到的主要作用是代理 ,请求并没有被直接发送给应用服务器,而是被SSLVPN接收,接收后的数据首先被SSL VPN进行协议解析,然后执行身份认证和访问控制等安全策略,最终再将数据转换为适当的后端协议,传送给应用服务器。
由于在执行安全策略后才允许数据流进入应用服务器,从而有力地保护了专用网络。
SSL VPN有两种接入方式,无客户端方式和瘦客户端方式。无客户端是指通过IE浏览器实现内容重写和应用翻译。
实现机制有四个方面:
通过动态翻译Web内容中内嵌的URL连接,使之指向SSL VPN网关虚拟门户;
重写内嵌在HTML页面中 Javascript,Cookie的URL连接;
重写Web Server的回应 , 使之符合Internet标准格式;
扩展到一些非Web应用,如文件共享访问。
无客户端方式支持的应用类型可以是Web方式也可以是文件共享,通过Web方式可以访问企业的Web应用,Web资源如OutlookWeb Access等。
文件共享是指可以通过浏览器访问内部文件系统,浏览目录,下载和上传文件UNIX(NFS)文件,Windows(SMB/CIFS)文件等。
瘦客户端方式是指客户端作为代理实现端口转发,但是SSL VPN客户端是自动下载的,所以对客户来说是透明的。
瘦客户端支持的应用类型是所有基于固定端口的TCP应用,如Exchange/LotusNotes、Email(POP/IMAP/SMTP)、Telnet等。
SSL与IPSec对比
IPSec缺陷:
由于IPSec是基于网络层的协议,很难穿越NAT和防火墙,特别是在接入一些防护措施较为严格的个人网络和公共计算机时,往往会导致访问受阻。
移动用户使用IPSec VPN需要安装专用的客户端软件,为日益增长的用户群发放、安装、配置、维护客户端软件已经使管理员不堪重负。
因此,IPSec VPN在Point- to-Site远程移动通信方面并不适用。
file:///C:\Users\SPOTO\AppData\Local\Temp\ksohtml\wps6E1A.tmp.jpg
如上图,SSL保护的是应用层的数据,可以针对某个应用做具体保护。而IPSec [虚拟专用网络针对的是整个网络层。无法做精细化控制。
所以在SSL [虚拟专用网络出现之前,IPSec、L2TP等先期出现的[虚拟专用网络技术虽然可以支持远程接入这个应用场景,但这些[虚拟专用网络技术存在如下缺陷。
远程用户终端上需要安装指定的客户端软件,导致网络部署、维护比较麻烦,IPSec/L2TP [虚拟专用网络的配置繁琐。
网络管理人员无法对远程用户访问企业内网资源的权限做精细化控制。
文章来源:内容来自CSDN,由本号梳理成文。因觉优质,特此分享,侵删。 —————————————————————————————————— HCIE/CCIE的提升空间有多少?看看群内聊天讨论就知道!
添加老杨老师微信:spotoa,加入全国网工交流群(已建立50+个),获取更多CCIE/HCIE考试一手资讯+考试必备资料,也欢迎添加网工老杨老师微信:spotoa
【推荐阅读】
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2022-2-24 16:23:16
置顶卡
喧嚣卡
变色卡
千斤顶
楼主
