在研究sdwan和零信任的時(shí)候涉及到了sslvpn和IPsecvpn���,單獨(dú)開個(gè)安全設(shè)備篇講vpn好像沒什么必要�,畢竟現(xiàn)在小孩子都會(huì)用vpn了���,就單獨(dú)講講和安全最相關(guān)的ssl和ipsec吧���。
SSLVPN:基于安全套接字層協(xié)議(Security Socket Layer-SSL)建立遠(yuǎn)程安全訪問通道的VPN技術(shù)。
解釋:就是采用了ssl的加密方式�����,從這個(gè)也能看出來sslvpn主要作用在訪問web資源���,ssl握手過程給大家貼個(gè)圖:
sslvpn更注重過程安全和用戶驗(yàn)證����,突出全局的把控���,死守外部連接到局域網(wǎng)的安全問題�����。
IPsecVPN:采用IPSec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)�,在公網(wǎng)上為兩個(gè)私有網(wǎng)絡(luò)提供安全通信通道,通過加密通道保證連接的安全——在兩個(gè)公共網(wǎng)關(guān)間提供私密數(shù)據(jù)封包服務(wù)。
共同點(diǎn)
①數(shù)據(jù)加密
②訪問內(nèi)網(wǎng)資源
不同點(diǎn)
①協(xié)議層不同
②應(yīng)用方向不同
③投入成本不同
④可靠性不同
Ipsecvpn注重點(diǎn)到點(diǎn)之間的訪問����,而sslvpn注重整個(gè)從外部接入局域網(wǎng)的整塊安全,打個(gè)比方�����,假設(shè)有一座橋���,橋的對(duì)面有一座城堡,橋上有一個(gè)守衛(wèi)叫ipsecvpn��,城堡前有一個(gè)守衛(wèi)叫sslvpn����,ipsecvpn會(huì)檢查你的身份證,核驗(yàn)?zāi)愕男畔⒕蛯?duì)你放行了�,不會(huì)管你去哪他只知道你要過橋;而到了sslvpn面前�,在他核驗(yàn)完你的信息沒問題后你告訴他你要進(jìn)城堡,他說不行,請(qǐng)你告訴他你具體要去到哪個(gè)位置����,你要去往裁縫鋪,獲準(zhǔn)后他會(huì)派人監(jiān)視你�����,路上你想順便去商店買個(gè)果汁�?對(duì)不起你沒獲準(zhǔn),請(qǐng)申請(qǐng)相應(yīng)的資源���。
當(dāng)然了�,不是說ipsecvpn就在認(rèn)證上次于sslvpn�����,sslvpn基于應(yīng)用層����,高層協(xié)議的強(qiáng)項(xiàng)是對(duì)用戶身份認(rèn);而ipsecvpn由于基于網(wǎng)絡(luò)層��,強(qiáng)項(xiàng)是對(duì)設(shè)備合法性進(jìn)行驗(yàn)證��,簡(jiǎn)單來說就是更注重傳輸過程,端點(diǎn)和端點(diǎn)之間的驗(yàn)證����,是否合法等,這不一樣的特性就構(gòu)成了不一樣的應(yīng)用方向�。
SSLVPN——構(gòu)建零信任網(wǎng)絡(luò)體系
零信任真的是一個(gè)近兩年特別火的概念,最底層的理念就是一句話:默認(rèn)拒絕所有訪問����。突出驗(yàn)證的重要性和安全性,而sslvpn注重校驗(yàn)用戶身份及訪問權(quán)限的特點(diǎn)完全契合零信任體系��,vpn本身對(duì)于企業(yè)辦公的助力良多��,而vpn自身安全保障不足��,普通網(wǎng)絡(luò)結(jié)構(gòu)下的vpn存在巨大風(fēng)險(xiǎn)����,容易產(chǎn)生盜取賬號(hào)�、冒用,已致內(nèi)網(wǎng)失陷等嚴(yán)重安全事件�����,sslvpn基于高層協(xié)議的特殊性可以嚴(yán)格管控用戶權(quán)限,摒棄了原先vpn默認(rèn)可訪問所有資源的老套路�����,防患于未然��。
IPSec VPN——sdwan����!
SDWAN(軟件定義廣域網(wǎng)),是大型企業(yè)部署廣域網(wǎng)的常見解決方案����,廣域網(wǎng)怎么和ipsecvpn扯上關(guān)系的呢?這就sdwan的獨(dú)特之處�,先來看sdwan的組成結(jié)構(gòu):sdwan設(shè)備+專線就是最基礎(chǔ)的組成(這里不對(duì)sdwan設(shè)備本身進(jìn)行拆解分析),sdwan的應(yīng)用面很廣�,這里就挑了大家比較常見的,企業(yè)廣域網(wǎng)建設(shè)來說一說����。一般來說安服仔們駐場(chǎng)的客戶比較大的都是有多個(gè)分公司,集團(tuán)+下屬公司+三級(jí)公司 類似�,這種情況下構(gòu)建專屬的內(nèi)網(wǎng)就有一些難度了,如果各個(gè)公司之間都通過sslvpn來相互之間訪問就會(huì)造成資源浪費(fèi)��,且效率極低,而sdwan是如何解決這個(gè)問題的呢���?Sdwan的核心路線是運(yùn)營(yíng)商提供的專線��,專線說通俗點(diǎn)就是從某個(gè)地方到某個(gè)地方有一條高速的網(wǎng)線���,而各個(gè)公司之間可以通過sdwan設(shè)備掛一個(gè)ipsecvpn連上這個(gè)專線,就近原則�,北京的掛北京出口,上海的掛上海出口�,實(shí)現(xiàn)低延遲、高效率�����,且成本大大降低����,不需要自己在各個(gè)公司之間搭物理通道,實(shí)現(xiàn)統(tǒng)一管理�。
Ipsecvpn和sslvpn都是很重要的安全vpn形式,關(guān)于兩種vpn的討論帖子很多��,都是中大型企業(yè)安全架構(gòu)建設(shè)的重要組成部分����,過幾天可能考慮開個(gè)新坑給對(duì)運(yùn)營(yíng)商體系感興趣的師傅們看看關(guān)于運(yùn)營(yíng)商工作方向的一些知識(shí)。
閱讀原文:原文鏈接
該文章在 2025/8/18 10:59:29 編輯過
400 186 1886
