日志
IPSec与 SSL:光联集团教你如何选择正确的***
||
在工厂的物理墙内控制安全性很容易,但为外部连接的用户提供对内部资源的安全远程访问更加困难。IPsec(IP安全)和PPTP(点对点隧道协议) ***,有时是SSH隧道,已经足够,但这些设置经常遇到NAT(网络地址转换)遍历,防火墙和客户端管理问题。一个SSL(安全套接字层)***应解决这些问题,同时仍提供强大而安全的远程访问。但是,SSL设置有其自身的困难,例如浏览器支持问题,客户端计算机上除了纯HTTP应用程序之外的任何其他需要增加的权限以及浏览器上缓存数据的固有安全问题。
比较和对比
IPsec是第3层***:对于网络到网络和远程访问部署,在对等体之间建立加密的第3层隧道。相比之下,SSL ***通常是一种远程访问技术,为第7层应用程序提供第6层加密服务,并通过客户端上的本地重定向隧道传输其他TCP协议。从纯粹的技术角度来看,你可以同时运行IPsec和SSL ***,除非IPsec和SSL ***产品都使用用户计算机上安装的客户端软件。在这种情况下,你可能会遇到堆栈冲突。
光联集团认为企业通常根据成本,配置和可用性来选择***。如果你正在寻找网络到网络***,唯一真正的选择是IPsec。Check Point Software Technologies,Cisco Systems,Juniper Networks,Nortel Networks,Sonicwall和WatchGuard都提供带有集成防火墙的IPsec ***。如果你选择此路线,请查看供应商的客户支持跟踪记录,确定其产品是否已内置安全性,并了解可用的功能。
更容易的路径?
光联集团发现IPsec
***解决方案通常更容易管理。客户端到网关隧道形成类似于拨号网络的网络连接。本机支持短暂的TCP / UDP端口。如果你的旅行用户使用SIP(会话启动协议)或基于H.232的应用程序,则IPsec与SSL ***相比具有明显的优势,因为它在客户端是免提的。软件运行后,用户可以无缝地与其软件和远程服务进行交互。
IPsec ***是从桌面客户端到目标网络的开放网络,但这并不意味着桌面只是一个IP路由器。由于可能存在拆分隧道问题,同时访问受信任和不受信任的网络,你可以通过IPsec网关上设置的策略来限制访问。但是,正如SQL Slammer演示的那样,通过IPsec连接到内部网络的受蠕虫感染的主机可以感染内部网络。使用嵌入式IPsec网关防火墙或在网关和网络其余部分之间放置防火墙以获得额外保护。
据光联集团观察Cisco和Nortel领先的IPsec ***网关易于管理,提供分层组管理,与外部认证服务器的紧密集成以及网关上非常有用和详细的事件记录。在解决远程用户连接问题时,后者至关重要。
但是,从长远来看,IPsec
***可能会花费更多。让我们考虑许可证成本:IPsec ***的成本通常在10美元到25美元之间,而SSL
***500个用户许可证的每个座位从50美元到120美元不等。乍一看,IPsec ***看起来很有吸引力。但是,一旦考虑到部署和管理IPsec客户端的成本,在修补OS客户端之前需要进行额外的测试(记住Windows XP Service Pack 2打破了许多客户端应用程序,包括IPsec)以及不能用户的生产力损失通过IPsec连接到网关,它可能看起来不像这样讨价还价。此外,许多IT经理发现IPsec ***对其员工来说是非常耗时的,因为最终用户在下载软件或维护他们的连接时经常需要帮助。
去SSL
由于具有吸引力的价格和降低的安全风险,大多数用户在构建外联网时会跳转到SSL ***。SSL可以限制远程访问仅用户需要的资源。
据Meta Group称,事实上,今年每三家大公司中就有一家使用SSL ***。研究人员表示,到2006年,80%的公司将使用SSL ***作为一种连接手段。毫无疑问,SSL ***在夏天的销售就像gelato一样,也许最大的驱动因素是443端口的普遍性并降低了管理开销。
据光联集团观察随身携带笔记本电脑,家庭,客户网站,咖啡店,以及通过TCP 443(默认HTTPS端口)的Internet访问应该可用,除非你在具有严格出口策略的网络上。借助SSL ***无处不在的访问,任何具有浏览器和Internet访问权限的计算机都可以成为客户端。我们不相信大多数企业希望在公共信息亭向用户开放他们的关键业务应用程序,但能够让远程用户或旅行用户访问他们的Web邮件和其他应用程序是令人信服的。
几乎所有SSL ***产品都支持并鼓励严格的访问控制策略 - 实际上,通常很难允许开放访问。添加资源时,必须定义其特定的访问权限。对于非HTTP应用程序,通常涉及快速地址/端口定义。但是,根据产品的不同,HTTP应用程序访问可以控制到URI(统一资源标识符)和用于访问资源的方法。例如,如果用户可以访问Web服务器而不是/ admin目录,则SSL ***网关将不授予访问权限,从而为Web服务器权限添加了另一层保护。类似的访问控制可以应用于ftp和Windows文件共享。
通常,可以根据客户端的位置授予或拒绝对资源的访问,无论是在操作系统补丁上是最新的还是可以加载SSL ***网关移动代码以进行缓存清理。高级保护功能(如URI访问控制和动态ACL(访问控制列表))因供应商而异。
对于需要安全访问非HTTP应用程序的用户,SSL ***产品提供两种方法。使用所谓的“无客户端”方法,用户在他或她的浏览器中下载Java或ActiveX组件,在本地主机地址(例如,127.0.0.1)上设置代理,并临时修改本地主机文件将主机名解析为本地主机地址。客户端在1023以下的端口上启动本地代理所需的用户访问级别和更改本地主机文件因每个产品而异 - 大多数都需要本地管理员访问权限。此外,SSL ***产品很少支持UDP协议,因此请确保你已牢牢掌握应用程序要求并确保SSL ***网关支持它们。不要忽视内部开发的应用程序。
如果你想要使用经过验证的路由,请在客户端上使用已安装的客户端,并通过SSL ***转发敏感数据包。Aventail和Juniper支持这种方法。但是,没有任何内容可供下载或安装,你无需使用用户的权限跳过任何环节。
有这两种方式
你可以同时使用IPsec和SSL ***。如果你的主要应用程序是基于Web的,并且你只支持少数非HTTP应用程序,则SSL ***是一个不错的选择:易用性更高,远程用户的细粒度访问控制优于IPsec产品。但是,如果你的企业必须支持更复杂的应用程序和站点到站点***,那么你真的无法阻止IPsec。
误区1: IPsec ***打开一条不受限制的管道进入网络。这取决于***网关。IPsec在第3层上工作,以传输绑定到受保护网络的IP数据包。所以在某种意义上说,它是一个开放的管道。但是,大多数IPsec ***网关都具有内部的状态包过滤防火墙,因此可以将流量限制在特定目的地。要获得相同的结果,你可以将***置于具有严格访问规则的DMZ中。
误区2: IPsec ***与NAT不兼容。多年来,供应商在将IPsec流量放入网络之前已将其封装到UDP中,因此NAT问题并不像以前那样普遍存在。标准化NAT遍历是IKE(Internet密钥交换)2的可选组件,许多供应商采用了专有的遍历方法。
误区3: SSL ***是一种无客户端***。这仅适用于直接HTML流量。使用移动代码组件(例如Java小程序或Flash)的Web应用程序(其建立连接回服务器)或非HTTP应用程序通常需要客户端浏览器组件来通过SSL ***隧道传输流量。在许多情况下,远程用户必须以本地管理员身份登录才能动态运行组件,或者必须由管理员安装。
误区4: SSL ***提供来自任何计算机的安全访问。同样,这仅适用于HTML流量。许多信息亭不允许用户以管理员身份运行或将组件安装到浏览器中。此外,你真的希望你的用户将机密公司数据下载到非托管计算机吗?
Normal
0
7.8 磅
0
2
false
false
false
EN-US
ZH-CN
X-NONE
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:普通表格;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.5pt;
mso-bidi-font-size:11.0pt;
font-family:等线;
mso-ascii-font-family:等线;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:等线;
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:等线;
mso-hansi-theme-font:minor-latin;
mso-font-kerning:1.0pt;}
