作为架构在应用层的VPN,系统有效的屏蔽了VPN服务器的网络结构,也屏蔽了常见的">网络攻击手段,系统根据授权与认证访问授信网络。更重要的是,在系统的客户端,可以指定特定的应用程序才能发起连接,连接到服务器,完成应用的代理过程,根据这个控制,系统可以阻止病毒程序不能通过VPN隧道传输到VPN服务器端,有效保护了服务器数据资源的病毒威胁。(如下图)
由于IPSec VPN打通了网络低层,一旦被侵入,整个网络都将暴露,建立隧道后,远程PC就像物理地运行在企业局域网上一样,相当于为远程访问者敞开了访问所有资源的大门,并对全部网络可视,为企业网络带来了安全风险。所以非常容易成为黑客攻击的目标。而且一旦客户端被黑客利用,他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍,而且后果也越来越严重。例如,如果雇员从家里的计算机通过公司VPN访问企业资源,在他创建隧道前后,由于个人家用电脑一般缺乏安全防护措施,安全级别很低,如果黑客侵入了这台没有保护的PC,他就获得了经过IPSec VPN隧道访问公司局域网的能力,而且这台接入电脑一旦中毒也非常容易通过VPN在整个内网传输。 作为架构在会话层的VPN,在VPN服务器端,系统有效地屏蔽了的网络结构,也屏蔽了常见的网络攻击手段,如PING 、UDP、ICMP包等,系统根据授权与认证访问授信网络;在VPN的客户端,可以指定特定的应用程序才能发起连接,连接到VPN服务器,完成应用的代理过程,根据这个控制,不仅可以实现精细的访问控制功能,重要的是可以阻止病毒和黑客程序不能通过VPN隧道传输到VPN服务器端,有效保护了服务器端数据资源受到安全防范措施弱的异地端的威胁。 SOCKS5 VPN要求远程接入者必须正确地使用客户端软件或接入设备,将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上,也不允许从公共Internet发起访问,从而提供了更高水平的安全性。同时提供不需用户任何干预就可以自动将客户端机器硬件信息作为用户认证机制,完美实现了易用、经济又安全的解决方案。
SSL VPN由于完全没有客户端,使得SSL VPN允许用户利用不安全的计算机访问企业网络,这些计算机易于受到键盘敲击记录软件和特洛伊木马的攻击,对企业网络造成威胁。同时用户在Internet上发起访问时,SSL VPN客户端为企业网络带来了风险。为了避免这个缺陷,必须启用硬件KEY这样的外设来做辅助认证工具,这样又会增加它的整体购买成本,同时也削弱了SSL VPN的便利性特性。另外,SOCKS5的代理机制实现了应用服务器与internet的逻辑隔离。在设备中,支持端口的多个VLAN,应用服务器只需要与设备的其中一个VLAN能实现通讯则可,而应用服务器不必与其他任何第三方有网络的相关连接,除了与设备外。如何实现两个被隔离了的区域之间的访问,即应用用户对核心区的访问?通过代理机制:代理服务器的工作原理就是接受用户的请求并把请求转发给用户原本要访问的目的主机,反过来,目的主机的应答通过代理服务器再转发给用户。代理服务器根据支持的协议不同而又有所区别, 采用SOCKS5作为代理协议,可以支持所有基于应用层的通信协议。
文章转自:惠尔顿信息技术有限公司www.wholeton.com.cn