安全接入互联网的传统方法是VPN(virtual private network,虚拟专用网络)。尽管VPN的安装和硬件维护成本对SMB(small and medium-sized businesses,中小型企业)是很高的,但是日益增长的远距离工作和远程接入的需求使VPN变得十分必要。 SMB可以采取有很多方法,实现为远程连接者提供的,价格合理、容易实现的VPN接入方式。
综观现有的VPN,有三个同样的适用于购买任何其他网络或连接管理设备的原则:
1、它是否适合现有的网络结构?
2、是否容易实现,并且在需要时容易升级?
3、是否安全?
IPSec与SSL
有两种基本类型的VPN:IPSec(IP Security,IP协议安全)和SSL (安全套接层协议层)。既建立了网上安全的加密隧道,还允许网络保密通信。它与任何在网上的监听者都可以读取的明文传送方式不同,VPN传输的看起来就像是一批乱码。
不同之处就在于如何建立这种隧道。
基于IPSec方式的VPN就是远程用户拨号接入的一套硬件设备。这与任何网络连接都被接受的一般方式不同。IPsec VPN设备只用来接受远程客户的连接。一个IPSec VPN的操作运行在协议栈的IP层。 IPsec VPN用户需要在客户端(无论是台式机或笔记本)上安装可以连接到VPN服务器的软件。
SSL VPN也是一套进行远程连接的专用设备。但是,它更像一个Web服务器。它在协议栈的应用层(高于IP层),更像是应用程序的执行而非网络设备。SSL VPN用户只需要一个网络浏览器来访问的VPN连接。他们会进入到注册了的公司VPN网页。
一个IPsec VPN把客户的机器连接到公司的网络。一个SSL VPN把一个单独的用户连接到特定的应用程序上。一个通过IPsec VPN进行连接的台式机或笔记本只不过是网络上的另外一台设备。一个SSL VPN是一个网络应用程序。用户通过浏览器访问的是网络上的特定应用程序而不是整个网络。
软件安全方面
两方面都有问题。尽管公司和用户之间的连接是安全的,但双方都有弱点。
如果连接到IPsec VPN网络的用户被植入了木马程序,他将影响整个网络。比如,如果一个公司的雇员通过她或他家的的没有安装防火墙或者防病毒软件的台式机进行连接,那么VPN网络就会变成从没有保护的家用计算机传播病毒、特洛伊程序、间谍软件和木马程序的安全渠道。
SSL VPNs在安全方面有些不同。作为一个Web应用系统,如果没有正确配置,一个SSL VPN是容易受到各种网络攻击的,如SQL注入,跨站点脚本,弱认证和参数操纵的情况。
哪一个更适合我?
对SMB来讲,SSL方式更便宜,更容易维护,需要较少的员工培训。而IPsec方式需要在所有的远程客户端安装VPN网关,连接软件并进行相应的配置。它比SSL VPN的成本要高的多。但是,还应该根据企业的需求来作决策。
如果远程用户需要访问整个网络,那么IPsec方式是不可避免的。如果用户只需要运行一个很小的应用程序,比如电子邮件、电子表格和演示,并且不需要访问整个网络,那么选择SSL VPN就可以很好的工作。
如果需要IPsec VPN,那么Check Point软件技术有限公司,Juniper Networks公司,SonicWall公司和Celestix Networks公司都有价格在$3,000 到 $6,000的产品。Check Point公司拥有VPN-1系列和Safe@Office,两种面向SMB的简化VPN。Safe@Office还可以像防火墙、网络过滤器和防病毒软件一样工作。
在过去几年,一系列面向SMB的SSL VPN产品服务器出现爆炸性增长。除了IPsec产品以外,Check Point, Juniper 和 Celestix等公司还向SMB市场提供SSL VPN产品。Juniper Secure Access 700是它的基本型产品。产品本身容易安装(几分钟之内)而且无需客户端软件,还有最简单的维护需求。
领先这个SSL VPN市场的是西雅图的Aventail公司。它的智能隧道技术意味着可以同时提供SSL和 IPsec能力。其SSL VPN运行在应用层,而在IP层进行安全防护(IPsec初始化其连接的层面)。该产品还提供集中管理,应用于Citrix和Windows终端服务和定制其他移动通讯设备,如个人数字助理。
无论最终使用哪一种VPN,IPsec和 SSL工具都能够满足SMB的需求。
发表于:
2007-08-08 09:38 跳跳 阅读(711)
评论(0) 收藏(0)
好文推荐
作者该类其他文章: