大年夜大都企业都需要呵护互联网通信。对良多企业来讲,呵护通信最简单的编制是操纵虚拟专用收集(VPN)在需要通信的系统之间成立加密通道。
VPN最多见的用例包含连接长途工作人员到中间数据中间,让他们安然拜候其工作所需的内部资本,在物理分手的位置之间成立永久连接,并呵护内部系统或收集区域之间的连接。
当然有良多变型,但尽大年夜大都VPN首要分为两种手艺类型。第一种操纵安然套接字层(SSL)手艺,经由过程SSL或可托层安然(TLS)证书来加强连接。第二种是基于互联网和谈安然(IPSec)的VPN来供给更高级的安然选项。
SSL VPN
在大年夜大都环境下,SSL VPN首要为需要安然拜候利用和系统的员工供给连接。良多SSL VPN供给商供给本地集成和建设选项来措置常见利用,这些常见利用包含电子邮件、办公东西、文件共享和凡是经由过程浏览为拜候的web利用。这些VPN的优势是它们不需要在连接端点安装任何客户端,并且,当拜候常见利用时,安装和建设很是简单。
IPSec VPN
对非web利用和更复杂的安然需求,IPSec VPN多是更好的选择。当然有其他长途拜候VPN和谈,例如点对点通道和谈和2层收集通道和谈,但不合的是,IPSec完全封装了端点和安然网关之间(或两个安然网关之间)所有IP和谈流量,并供给更强的加密选项。IPSec是一组更复杂的和谈,它为企业供给了更矫捷的编制来在网关和系统之间成立专用通道,以措置大年夜大都类型的通信。大年夜大都企业级VPN都被作为硬件设备摆设,但其实,较小型企业可以选择在传统办事器硬件上安装VPN软件。
架构不合,但都依托于防火墙背后的办事器
我们有几种类型的架构可用于摆设VPN平台。用于长途拜候的最多见架构触及在隔离区(DMZ)的外围防火墙背后成立VPN办事器,承诺特定端口或网址经由过程防火墙拜候办事器。DMZ可以设置在两个不合防火墙之间(或在连接到一个防火墙的单个网段上),VPN办事器则位于该子网内。客户端连接到VPN办事器,然后VPN办事器按照用户的角色和身份验证根据来将用户连接到内部利用和办事。在某些摆设中,VPN和防火墙多是不异的设备,只要同时连接的数量可以获得治理,而不会对机能带来较着影响。
这类架构已承受住了时候的考验,此刻大年夜大都摆设方案触及“VPN+防火墙”或“DMZ中VPN”模式。这类模式的首要错误谬误是需要信赖来自VPN平台的流量,在良多环境下这些流量没有进行内部加密。不外,传统收集监控东西(进侵检测系统)可以监控这类流量。
第二种VPN架构是两个物理位置之间的站点到站点连接,这凡是建设在外围网关设备(凡是是路由器)之间。对这类架构,最关头的安然标题问题是长途VPN平台和收集的可托度。这是因为,这类连接凡是是永久性的。
最后,还有一个所谓的内部VPN,这是在更进步前辈的安然架构中最多见的架构。在这类编制中,VPN办事器作为通往关头收集区域及系统的网关。成立内部网关来节制对敏感数据和资本的拜候可以帮忙企业知足合规要求,并可以监控特权用户行动。
杰出VPN设计的共同属性
不管摆设哪一种架构,我们有良多建设选项可用于锁定VPN平台及其供给的功能。所有VPN摆设应当具有下面这些特点:
身份验证和拜候节制:SSL VPN利用SSL/TLS证书来对端点进行身份验证,以成立一个加密通道,然后凡是还会供给一个web界面,撑持暗码或多身分编制(令牌、客户端证书或一次性暗码或代码)的传统身份验证。IPSec VPN凡是预建设了网关和客户端之间的身份验证选项,长途用户可以供给用户名和暗码、令牌代码等来验证身份。
验证终端设备安然和可托度:在过往几年,VPN产品逐步增加了终端设备安然评估功能。良多VPN此刻可以肯定终端设备的把持系统、补丁修复程度、浏览器版本和安然设置,和是不是安装了反歹意软件(还有摆设了甚么签名版本)。
奥秘性和完全性:SSL VPN撑持分组暗码和流加密算法,包含3DES、RC4、IDEA和AES等。IPSec VPN只撑持分组暗码进行加密。这两种类型的VPN都撑持哈希暗码进行完全性验证,并且都有不合的编制来检测数据包窜改和重放报复打击—经由过程序列号和哈希或动静身份验证。