瞭解遠端存取 VPN 選項
IPSec VPN
IPSec VPN 是一個透過 IP 協定 50 封裝安全有效負載 (ESP) 通訊的第 3 層協定。它也可能需要使用 UDP 連接埠 500 進行 Internet Key Exchange (IKE) 來管理加密金鑰,以及使用 IPSec NAT-Traversal (NAT-T) 的 UDP 連接埠 4500。有時候,如果封鎖 UDP 連接埠,VPN 裝置會嘗試使用 TCP 連接埠 500 和 TCP 連接埠 4500。
由於階段 1 和階段 2 設定的變數,因此很難讓兩個不同的供應商建立穩定且可擴充的通道。另外,某些供應商可能只支援以路由為基礎或原則為基礎的通道。最佳作法是在 IPSec 通道的兩端使用相同的廠商。
IPSec VPN 具有以下方式與諮詢。
- 快速部署
- 內建加密與認證
- 只要所有連結都有感興趣的流量流量,網站與網站通道都能維持運作
- 安全演算法會隨時間重新整理
- 可透過現有的網際網路連線建立連線
- IKEv2 可為 nat 和公用雲連線使用案例提供更好的支援
- 互通性問題讓它挑戰穩定的連線能力
- 必須要有專用的硬體、軟體從屬端或二者,才能夠啟用連線功能
- 由於整個有效負載已加密、因此必須啟用路徑 MTU 尋找、以確保封包未分散
- 協定的複雜性可以讓疑難排解變得困難
- 需要存取清單或路由篩選,才能限制網路存取
SSL VPN
SSL VPNs 在 OSI 層 4 作業,應用程式層。因此,從屬端和伺服器可以更容易連線到彼此。TCP 連接埠 443 在網際網路上的許多 Web 伺服器開啟,大部分網路式防火牆都允許 TCP 連接埠 80 (HTTP) 和 TCP 連接埠 443 (HTTPS/SSL) 啟用 Web 式流量。
SSL VPN 具有下列證明和諮詢。
- 不需要從屬端軟體
- SSL/TLS在大多數的供應商和應用程式之間是標準化
- 大多數的 Web 瀏覽器都支援
- 可以集中管理伺服器端憑證
- 可以建置通道到特定應用程式,而非整個網路
- 選擇性使用者認證 (與 IPSec 建立相比)
- 除非您啟用 Java/ActiveX 控制項,否則只能存取 Web 式應用程式。
- 可處理大量的效能因素,造成高載的效能不佳
- 通常允許 VPN 分割通道功能,駭客和弱 Web 瀏覽器安全設定值可以補充這些功能