云時(shí)代的遠程安全接入

?

　　一個(gè)基于網(wǎng)絡(luò )的安全解決方案，必然是一個(gè)端到端的安全體系架構。也就是說(shuō)，在進(jìn)行初始的網(wǎng)絡(luò )安全解決方案設計時(shí)，我們就必須考慮到各個(gè)環(huán)節可能引入的安全威脅和風(fēng)險。因此，安全接入所涵蓋的需求范圍，不應是單指接入終端的安全性，而是一個(gè)涉及到“接入終端安全、傳輸通道安全、內部資源安全”的完整安全體系。

　　能夠完整實(shí)現上述安全體系的接入技術(shù)，可以是一種技術(shù)，也可以是多種技術(shù)的組合。比如在“接入終端安全”方面，我們可以通過(guò)終端準入控制、終端安全管理等技術(shù)來(lái)實(shí)現，而在“內部資源安全”方面，我們可以選擇結合網(wǎng)絡(luò )域認證進(jìn)行資源授權等方式來(lái)完成。

　　IPsec 和SSL

　　IPsec 和SSL ，兩者的共同特點(diǎn)一是都能實(shí)現數據的安全加密;二是都對沿途轉發(fā)節點(diǎn)沒(méi)有額外技術(shù)要求。但是，由于兩者在技術(shù)上采用不同的網(wǎng)絡(luò )層次來(lái)進(jìn)行安全加密處理以建立網(wǎng)絡(luò )安全通道，因此在連通性、安全性方面還是存在著(zhù)差異。

　　IPsec ，是網(wǎng)絡(luò )層的技術(shù)，對應用層協(xié)議完全透明，一旦建立IPsec 加密隧道后，就可以在通道內實(shí)現各種類(lèi)型的連接，如Web、電子郵件、文件傳輸、VoIP等這是IPsec 的最大優(yōu)點(diǎn)。另外，IPsec 在實(shí)際部署時(shí)，通常向遠端開(kāi)放的是一個(gè)網(wǎng)段，針對單個(gè)主機、單個(gè)傳輸層端口的安全控制部署較復雜，因此其安全控制的粒度相對較粗。

　　SSL ，基于SSL 協(xié)議，而SSL協(xié)議內嵌在瀏覽器中，因此任何擁有瀏覽器的終端都天然支持SSL ，這讓SSL 技術(shù)在瘦終端日益普及的云時(shí)代如魚(yú)得水。同時(shí)，SSL協(xié)議位于TCP/IP協(xié)議與應用層協(xié)議之間，其安全控制粒度可以做到精細化，可以?xún)H開(kāi)放一個(gè)主機、一個(gè)端口甚至一個(gè)URL。但相應的，其應用兼容性整體上則更弱一些。SSL 相對于IPsec 的另外一個(gè)核心優(yōu)勢在于：無(wú)需增加設備、無(wú)需改動(dòng)接入側的網(wǎng)絡(luò )結構即可實(shí)現安全接入。這非常適用于租賃型的云計算應用場(chǎng)景，比如：超算中心。

　　由于IPsec 和SSL 各自不同的技術(shù)特點(diǎn)，在實(shí)際部署中，IPsec 技術(shù)通常部署于站點(diǎn)對站點(diǎn)(site to site)模式的安全互聯(lián)場(chǎng)景，而SSL 技術(shù)則更多的用于終端對站點(diǎn)(client to site)的應用場(chǎng)景。相應的，IPsec 技術(shù)要求兩端網(wǎng)絡(luò )出口成對部署IPsec 網(wǎng)關(guān)，而SSL 技術(shù)則要求核心網(wǎng)絡(luò )部署SSL 網(wǎng)關(guān)、接入端采用集成SSL協(xié)議的瀏覽器即可。

云杰通信是一家專(zhuān)業(yè)從事企業(yè)網(wǎng)絡(luò )優(yōu)化加速服務(wù)的企業(yè)，助力企業(yè)信息化建設、數字化轉型及全球化互聯(lián)。可實(shí)現SD-WAN SaaS加速，海外加速，SDWAN組網(wǎng)，跨境組網(wǎng)，Fortinet SD-WAN，FortiGate防火墻，ZTNA，SASE服務(wù)，有效提升國際間辦公溝通效率，助力中國企業(yè)開(kāi)拓國際市場(chǎng)。服務(wù)熱線(xiàn)：136-3177-9516，客服微信：gdyunjie2023，歡迎咨詢(xún)。