关键字: IPsec
他将以这样的叙述开始。一个拥有1650个员工的机构,员工广泛分布在25个部门——包括主校区,一个在纽约的单独的医院,四个人造卫星修复办公室,一个门诊中心和20个在外的医生办公室。此时要去管理一个这个机构中的一个以IPsec(Internet Protocol Security网际协议安全)为基础的VPN,你可以想象,这将会是多么的疯狂的一件事。
“我过去要在充满各种各样的不安全的远程连接的地方工作。”Smith说,“那时候在一个月内我们的VPN从0个涨到了10个。我们一直设法让在外面的用户拥有全部的安全访问的权利。”
他说使用IPsec的麻烦就是当用户基地扩大的时候,它管理起来将会变得极度的复杂和昂贵。当更多的医生办公室寻求VPN连接的时候,防火墙将会变得越来越混乱。IT职员要迫使自己成为一个专家,来搞清楚第三方在使用的任何技术,什么东西将花费你额外的时间和金钱。
他说当SVHS发明了SSL这种方法以后,所有的痛苦就烟消云散了。
SSL VS IPsec
IPSec VPN是在网络第三层的一个技术,这个技术在远程站点和共同网之间提供了一个安全的通道。他需要以主机为基础的客户机程序以及在中央区的昂贵硬件。日常进行中的各种结构维护和账户管理也是一个沉重的负担。在使用IPSec VPN的时候,用户拥有所有的办公功能,在访问控制方面却几乎没有间隔。访问通常是允许或者被拒绝,而大部分共享的网络资源对于任何用户来说都是可以获得的。
Smith的公司是Check Point的消费者,他表示这里的头痛之事并不只是仅限于第三方的用户。
“我们有一组8个放射学家,他们并不愿意一天24个小时待在那里工作。”Smith说,“他们希望能够在家里也能进行工作。在SSL出现以前,我们的解决方法是在他们住宅外面装上一个防火墙/VPN连接口,这样他们就可以获取我们医院的图像了。起初,这种方法很奏效。但是然后我们就拥有太多的防火墙要管理,太多的编码需要去升级。我们必须给外面的承包人付钱让他们去那些地方,升级编码以及检修故障。”
相比之下,SSL VPN在网络第四层到网络第七层之间工作并且不需要下载客户机程序。远程的连接是通过网络浏览器或者一个可下载的Java或ActiveX代理来完成。安全管理人员可以给每个用户和应用软件分配一个以角色为基础的访问权限,而且客户管理也可省去不要。
Smith最喜欢后面的一个特色。“我们可以撤掉防火墙或者让用户们保持按他们自己的意图去办事!”他说,“只要用户能够满足某种基线标准,他们就可以使用(SSL)。”
如果现在医生的办公室或者在家工作的员工需要通过VPN访问,所有Smith需要做的就是去判定如果要顺利的工作他们需要什么样水平的访问并且给他们分配一个最合适的访问文件夹。如果用户的访问需求和已有的文件夹并不匹配,他可以轻而易举的建立一个新的文件夹。
