我可能需要在hub-spokedevise中添加(启动)10个IPSec隧道,而为了在中央数据库服务器中收集数据,通信是单向的(spoke => hub)。 每个事务都很小,可能是10Kb的XML数据,每个小时发起可能是10-20个事务。 另外我应该注意到,我无法控制辐条networking, 所有的辐条都有一个静态的,可公开分配的IP地址; 所有的辐条实际上只是NAT防火墙的主机,需要将数据发送到中央数据库。 中央数据库位于NAT防火墙的后面,用于讨论,位于192.168.0.0/24子网上。
我最初的想法是IPSec隧道开销过大,因为我不得不考虑每个分支的networking拓扑(我不能控制),只要路由不提到维持所有这些IPSec隧道所需的硬件(尤其是如果它扩大到数百)。
然而,我被“敦促”走上IPSec隧道,因为它们是最“安全”的,但在我看来,我觉得IPSec对于大型可信networking,甚至大部分可信任的LAN到LAN通信在分支机构之间,特别是对networking拓扑结构有完全控制权的地方,但是对于一个非常狭窄的目的来说并不是那么多,而且(我认为)可以通过SSH隧道或SFTP批处理作业(或者可能是按需/移动VPN?)。
如果我必须去IPSec,我该如何处理路由? 我的意思是,如果我的中央数据库位于192.168.0.0/24子网上,并且发生了碰巧有相同的(或者另一个隧道在其他地方),我将如何能够解决这个问题? 每个“发送”主机上的静态路由可能工作,但是如果该主机需要访问其他地方的同一个子网呢?
如果不是IPSec,你会推荐什么来保护交易从同行到中央主机?
我一直站在这一边 – 注册成为一家大公司的许多合作伙伴之一,我们必须得到一个IPSec隧道。 他们的工作方式是:
我知道隧道被locking到只有应用程序所需的端口。
你的位置:
另一个外卖 – FFS,只是使用一个安全的协议。 SSH / SFTP / HTTPS都是标准和安全的,例如,有符合FIPS标准的SFTP服务器。
这样做通过IPSec隧道将要么花费你的团队的时间(这是钱),或者只是简单的钱用于networkingpipe理合同。 如果您的企业无法从新合作伙伴处获得回报,那么只需要确保产品/stream程的安全。
如果你坚持这样做,不要自己动手,因为你最终不得不支持每一个有SOHO路由器的小店和喜欢BitTorrent的内部小伙子,当路由器破坏时,你会打电话给你,找出你的申请失败的原因。
另外 – 处理重叠私有IP子网的具体问题由额外的复杂NAT处理,您还必须维护。 这绝对不是一场表演,只是更多的工作。