Loading...

VPN

IPSec VPN和SSL VPN

请问IPSec VPN和SSL VPN有什么区别?

悉士凯乐回复: 

虚拟专用网络(VPN)已经成为了公司合作伙伴或员工远程安全访问公司资源的事实标准。在本文中,我们将试图解释两种特定的VPN类型,即IPSec VPN和SSL VPN,以及这两种类型应该如何选择。

  然而,在深入研究这两个不同类型之前,需要首先对VPN技术进行一个简要的概述。VPN是指有利于远程访问公司资源的一系列技术。这种技术的主要用 户,是试图在家或者其他公共场所访问公司资源的公司雇员,以及在公司的基础架构内支持各种系统的合作伙伴或第三方。VPN一般通过在远程站点和公司网络之 间建立一个加密通道的方式,利用公共长途IP网络来进行数据传输,这些远程站点包括雇员的笔记本电脑或者第三方系统。

  关键技术

  当前,最为普及的两种VPN技术分别是基于传统网络安全协议(IPsec)的VPN技术和安全套接字层(SSL)VPN技术,前者主要作用于网络层, 而后者主要作用于应用层。它们的不同之处在于:使用的底层技术不同,所服务的功能不同,以及潜在的VPN安全风险不同。

  IPsec最初的设计是提供点到点的,在远程站点和中央办公室资源之间进行不间断的连接。在这种情况下,客户端可以是分公司或者供应商。这个协议被设 计为工作在网络堆栈的更底层(第3层,网络层),并可以用来传输任何基于IP的协议报文,而不用理会应用程序所产生的流量。随着移动办公时代的到 来,IPsec已经得到扩展,用户通过使用一个安装在移动设备上的专用VPN应用程序(客户端)就可以进行远程访问。

  另一方面,SSL VPN在设计时就考虑到了移动办公。它的预期目标是提供一个无缝连接的、无客户端的远程访问方式。这样,SSL VPN可以被看做一个应用程序代理,远程用户使用浏览器就可以以某种粒度访问公司的特定资源,而不再需要安装客户端。

  优势与劣势

  IPsec的关键优势在于它在站点之间提供一个永久连接的能力。工作在网络层(网络堆栈的第3层)也使其与应用程序无关:任何基于IP的协议都能够通 过它进行传输。这使得IPsec相对于那些昂贵的租用线路或者专用线路,是一个相当有吸引力的替代品。它也可以作为一个备份链路,即在连接远程站点和中央 办公室的主租用线路或专用线路崩溃时起作用。

  然而,IPsec中与应用程序无关的设计也是它的弱点。虽然它提供了认证、授权和加密,同时还基本上把公司网络拓展到任何远程用户,但是它没有能在一 定粒度级别上限制对资源的访问。一旦隧道建立,远程用户通常可以访问公司的任何资源,就像他们是直接连接到公司网络一样。因为移动办公需要允许诸如智能手 机和家用电脑等非托管的IT设备访问公司资源,所以这些安全问题显得更加严重。IT部门对这些设备没有任何可视性和控制权,而且不能保证这些设备符合通常 在托管设备上实施的安全水平。

  另外,IPsec也需要更多的维护。除了需要建立终止通道的设备,还需要额外的配置和维护来支持远程用户群。在公司使用网络地址解析(NAT)的情况下,还需要特殊的配置确保IPsec与NAT设置充分协调。

  相比之下,SSL VPNs从设计的一开始就支持远程访问。它们不需要安装任何特别的软件。远程访问是通过一个基于浏览器的使用安全套接层(SSL)的会话实现的。SSL VPNs还为企业提供粒度级访问控制的能力。特定的身份验证和访问应用程序的授权方案可以被限定在一个特定的用户群。内置的日志记录和审核能力能处理各种 合规要求。SSL VPNs还具备在连接到企业的远程设备上运行主机合规性检查的能力,以验证它们配置了合适的安全软件,并安装了最新的补丁。

  但这并非意味着SSL VPNs就是所有IPsec缺点的灵丹妙药。当一个远程站点需要与主办公室建立不间断连接时,SSL VPN不是合适的解决方案。与应用程序无关的IPsec能以最小的代价支持大量传统的协议和传统客户/服务应用程序。这与围绕基于Web应用构建的SSL VPNs是不同的。许多SSL VPNs通过在远程设备上安装一个Java或者基于ActiveX的代理控件来解决这个缺点。通常情况下,在远程设备成功通过SSL VPN设备的验证后,相关的安装会准确无误的实现,但是值得注意的是,ActiveX和Java都有其自身的安全缺陷,这也是攻击者通常试图利用的一点。

  IPsec VPN还是SSL VPN?

  在企业中,每种VPN方案都有其用处。理想情况下,因为SSL和IPsec VPNs服务于不同的目的且具有优势互补的特点,所以它们都应该被采用。IPsec应该在需要与远程办公地点或者合作伙伴/供应商建立不间断连接时使用。 这种情况下,粒度访问控制限制和缺失的主机检查能力应该通过一个网络访问控制系统来增加,这就可以确保只有通过验证的远程主机才能连接到企业。在粒度访问 控制能力,审核和日志记录,以及安全策略控制等因素至关重要的移动办公情况下,企业应该主要使用SSL VPNs作为远程访问方案。但是请记住,不管你的VPN选择或特定需要如何,一个VPN必须更新,测试并进行性能检测,而且它是作为利用综合性策略和各种 网络安全技术的深度防护战略的一部分。

VPN有什么用的?一般的公司能用的上吗?

VPN有什么用的?一般的公司能用的上吗?

悉士凯乐回复: 

最佳答案检举 简单来说VPN技术是远程登录,数据共享。距个例子 你公司有同事需要长期在外工作,设置VPN后 公司

同事在外面工作时候都能轻松访问公司后台数据库,可以保证公司数据安全。
目前,由于国内的中小型企业存在人力和资金上的局限,需要的网络及安全产品不仅仅是简单的安装,

更重要的是要有针对复杂网络应用的一体化解决方案,如:高效网络、网络安全、病毒检测、网站过滤等等。 很多中小企业用户在选购网络及安全产品时,首先没有搞清楚企业自身的需求,其次就是对产品的各 项指标认知度不够。其实企业在筹建前期,对于VPN网络部署的要求应该注重以下几点:

首先,便捷强大的网络管理,同时具有良好的品质保障以及简易的操作流程。举例来说,一个企业为 了协调各地区的业务营运、提高管理效率,总公司需要随时准确地获取所需数据,因此希望各分公司运营信息可实时返回总部,并维持稳定不中断的连机质量,改善汇整各分点业务数据所花费的冗长时间,以利 营销部门快速进行正确的相关业务分析。网管的技术水平、每个分支机构的性质规模、上网方式多不相同 ,相对提高了管理与解决分支外点设备维护的复杂度。因此,当时考虑VPN网关设备,必须具备一定的简 易程度与高灵活度等特性,以满足不同地点、不同上网方式需求的弹性空间,实现分点进行轻松的VPN连 机,同时也方便总部网管进行远程控管。

其次,强大的安全性能,网络系统应该能够自我预防常见安全攻击,如:DOS蠕虫攻击、ARP病毒攻击等。例如一些集团制企业,各分公司及办事处之间业务信息往来频繁,为了保护这些企业内部信息的机密性,避免数据被窃取或侦听,造成不可估计的损失,因此对于VPN信息传输的安全性十分重视。尤其是财 务账号意外泄露、客户数据外泄等意外,是绝对不容许发生的情况。

再次就是体贴智能的异常报警以及强大的日志管理功能。当然除此之外,所选设备一定要具备可扩展性。公司有了一定的规模之后,必定会进行扩张。随着人员的增加,网络设备也一定要更新。考虑到企业未来的快速成长需要,VPN设备需要具备一定扩展性能,才能满足未来3-5年或甚至更长时间的扩展需求。

最后,对于缺乏专业IT人员的中小企业用户而言,温馨即时的售后服务支持是必不可少的。
 

出差在外如何访问公司的局域网?

公司有个小型局域网,并通过VPN连接ADSL访问internet,我出差通过笔记本电脑无线上网是否能访问到公司的局域网,如果行,应当怎样操作?

悉士凯乐回复: 

、virtual protocol network...

虚拟的网络协议...通过VPN 可以登录到某公司的局域网...

2、要远程开机的话有硬件开机和软件开机两种,后者是采用的黑客手段侵入对方系统.主要给你推荐的是硬件的手段:
1.远程控制卡,如康柏Remote Light-Out Edtion远程控制卡,它是基于硬件、独立于操作系统的图形化远程操控台,无论何时何地,用户只要使用键盘和鼠标就可通过浏览器轻松访问服务器。嵌入式图形控制器以全图形模式提供对服务器的简便访问,在操作和启动中的各种情况下(即使WINDOWS出现问题也能)都能够控制服务器,并显示远程服务器各个活动阶段。

2.远程主板MODEM唤醒:要主板主持这项功能才行.在BIOS里有这样一项功能
新一代的主板都提供了键盘或鼠标开机、调制解调器唤醒开机和网络唤醒开机等功能,只要具备一些硬件条件和更改一些设置,完全可以选择使用一种全新的方式来开机。
要设置另类开机方式,必须要满足以下的条件:

a. 你的电脑使用的是ATX形式的主板和电源。由于ATX主板及电源已成为行业标准并流行已久,相信现在极少有人不满足这个条件。

b. 电脑安装的必须是符合ATX 2.03标准的ATX电源,并保证电源的 +5VSB (Standby)待命电流不小于800mA (0.8A)。ATX电源最大的特点,是具备+5VSB待命电压,为键盘开机、鼠标开机、网络开机、Modem开机等提供待机所需要的电流。每种开机方式,都要消耗一定的电流,象键盘开机,触发的电流需要8mA左右;利用Modem开机需要约15mA的电流;网络开机需要的电流更大,有可能达到几百毫安,不过,现在的新型网卡已降到大概50mA左右,当然唤醒的瞬间电流尖峰值比这个要来得高一些,因此ATX电源的+5VSB输出功率要足够大。早期ATX电源的+5VSB输出电流可能只设计到500mA,建议每次只启用一种开机方式,如果同时设置有多种开机方式,在进行局域网开机时,某些耗电较大的网卡可能会开不起来。如果不知道自己的机箱电源是否能达到标准,可以看看电源外部标签的+5VSB栏,那里有相关的数据。一般来说,正规电源的+5VSB端能提供的电流都超过了1A
c. 你的主板芯片组支持除电源开关外的开机方式。这往往与主板使用的I/O芯片组有关,同时与BIOS版本也有很大关系。如果你的BIOS不支持,可以升级BIOS碰碰运气。
进行远程开机的设置是:首先,保证你的主机和调制解调器的电源一定要开着,电话线也已经插好;然后,我们进入BIOS,在BIOS的“Power Management Setup”项中找到“Modem Ring Resume”或者“PowerOn by Ring”项,将其设定为 “on”或者“Enabled”。由于主板不同,可能具体的选项名称不是完全一致,以具体的选项名为准,但只要支持网络开机的主板一定有这个选项。需要注意的是,有些主板的BIOS中的调制解调器开机和局域网开机是同一个选项(“ModemRingOn/WakeOnLan”),只要把该选项置为“Enabled”,就可以同时支持调制解调器开机和局域网开机.
3.用黑客类软件远程控制目标计算机,例如冰河,冰河是一款功能强大的国产远程控制软件,是基于TCP/IP协议和Windows操作系统的网络工具,冰河采用标准的C/S结构,包括客户端程序(G_Client.exe)和服务器端程序(G_Server.exe)。由于其简单易用的特点,加上强大的远程控制能力,所以是网友最常使用的一款远程控制软件。同类的有很多种软件,不过强烈不建议使用此方法,具有太大危险.弄不好自己反倒中了别人的招.

同步内容

信息系统规划和网络拓扑方案,现在就点击咨询。 技术支持总台: 4006 586 306 | help@sixcolor.com.cn