1. Oracle CloudおよびVMwareリソースへの接続について学ぶ
  2. リモート・アクセスVPNのオプションの理解

リモート・アクセスVPNのオプションの理解

IPSec VPNおよびSSL VPNのオプションと、それぞれのプロキシと構成について学習します。

IPSec VPN

IPSec VPNは、IPプロトコル50を超えてセキュリティ・ペイロード(ESP)をカプセル化する3つのプロトコルです。また、暗号化キーを管理するためにUDPポート500 (ivke)が必要な場合や、IPSec nat -走査(nat - t)用のUDPポート4500が必要な場合もあります。UDPポートがブロックされている場合、VPNデバイスはTCPポート500およびTCPポート4500を使用しようとすることがあります。

フェーズ1とフェーズ2の設定の変数により、安定したスケーラブルなトンネルを確立するために、2つの異なるベンダーを獲得することが困難になる場合があります。また、一部のベンダーは、ルーターベースまたはポリシーベースのトンネルのみをサポートする場合があります。IPSecトンネルの両端に同じベンダーを使用することをお薦めします。

IPSec VPNには、次のものがあります。

次のものがあります。
  • デプロイのクイック
  • 組込みの暗号化および認証
  • サイト間トンネルは、リンク間で関心のあるトラフィック・フローがあるかぎり有効です
  • セキュリティ・アルゴリズムは、時間の経過とともにリフレッシュされます。
  • 既存のインターネット接続で接続を確立できる
  • IKEv2では、natおよびパブリック・クラウド接続のユースケースに対するサポートを強化できます。
整合性:
  • 相互運用性の問題により、接続性を安定させることが困難になります。
  • 接続を有効にするために専用のハードウェアまたはソフトウェア・クライアント(あるいはその両方)が必要です
  • ペイロード全体が暗号化されているため、パケットが断片化されないようにPath MTU Discoveryを有効化する必要があります。
  • プロトコルの複雑さによってトラブルシューティングが困難になる可能性があります
  • ネットワーク・アクセスを制限するには、アクセス・リストまたはルート・フィルタリングが必要です

SSL VPN

SSL vpnは、アプリケーション層であるOSI層4で動作します。このため、クライアントとサーバーは、より簡単に相互に接続できます。TCPポート443はインターネット経由の多数のWebサーバーで開かれ、ほとんどのネットワークベースのファイアウォールではTCPポート80 (HTTP)およびTCPポート443 (HTTPS/SSL)を使用してWebベースのトラフィックを有効化できます。

SSL VPNには、次のプロキシと子音が備わっています。

次のものがあります。
  • クライアント・ソフトウェアは必要ありません
  • SSL/TLSは、ほとんどのベンダーとアプリケーション間で標準化されています
  • ほとんどのWebブラウザでサポートされています
  • サーバー側証明書を一元管理できます
  • ネットワーク全体ではなく、特定のアプリケーションに対してトンネルを構築できます。
整合性:
  • オプションのユーザー認証(またはIPSecを使用した組込み)
  • Java/ActiveXのコントロールを有効にしないかぎり、Webベースのアプリケーションにのみアクセスできます
  • プロセス集中型で処理可能なため、高い負荷の下でパフォーマンスが低下する可能性があります。
  • 多くの場合、VPN分割トンネリング機能が許可され、ハッカーや脆弱なWebブラウザのセキュリティ設定で活用できます。