我們購買了防火牆(sonicwall nsa),它附帶 2 個 SSLVPN 許可證。有了它,我們還可以下載 NetExtender,我將其理解為在本機用戶端和我們的防火牆之間建立某種 VPN 會話,並使本機 PC 成為我們 LAN 的一部分。我對此進行了一些搜索,因為我非常擔心用戶的筆記型電腦會成為我們區域網路的一部分。假設這是建立某種 IPSec 連線?如果我理解正確的話,這些資料包都是經過加密和加密的。問題:
但我不確定如果用戶筆記型電腦現在成為整個網路的一部分有什麼好處?其上的任何內容(例如病毒)現在都可以自由地傳遞到 LAN 的其他部分。這樣安全嗎?如果不是,那麼正確的用法是只允許VPN用於配置了正確配置(防火牆、病毒檢查等)的「管理」筆記型電腦和PC?
在這種情況下,SSLVPN(在這種特殊情況下我只有 Sonicwall 的 SSLVPN 用戶端)是更好的選擇嗎?至少,對於Sonicwall來說,他們的SSLVPN只允許RDP和SSH終端,限制應用程式使用?且本地電腦不會成為網路的一部分。或者它實際上並不像看起來那麼安全。
先致謝
編輯:回應評論,我們大多數用戶使用 SSLVPN 的目的是能夠使用遠端桌面。
答案1
我覺得你這是本末倒置了。您尚未概述遠端使用者需要使用的應用程式的任何要求。如果沒有這一點,就很難給出具體的答案。
無論您選擇哪種技術,重要的部分是實施適當的存取控制。 VPN 上的電腦通常沒有任何理由與除了一組選定的伺服器之外的任何物件進行通信,並且很可能不會與遠端辦公室上的工作站進行通信,並且很可能不會與其他VPN 用戶端進行通信。
根據所使用的接入技術,可以透過不同的方式實現這一目標。對於您描述的第一個選項,這種存取控制將使用防火牆規則在網路層完成。對於第二個選項,您可以透過配置允許使用者存取的應用程式來限制它。
通常,像上面的 SSLVPN 解決方案這樣的解決方案可能會提供更多的粒度和控制,但會犧牲應用程式相容性。