在使用VPN的同时,是否可以使用Microsoft的“安全连接规则”来validation/encryption连接?
什么是必要的configuration?
它应该是这样的:
Client A <-- VPN --> VPN Gateway <-- LAN --> Client B FTPd <------------- IPSec -------------> FTP (我知道有其他方法来保护FTP,我只是用它来testing)
谢谢
更新1:
澄清目标:
是的,可以使用嵌套的VPN。 这实际上比你在更高的安全环境中所想到的更less见。
请参阅下面的更高级安全性环境中更常见的使用
1 Host A --------Router/FW ---IPSEC GRE -------------- Router/FW ------ Host B 2 Host A ----IPSEC in Tunnel Mode ------------------------------------- Host B 3 Host A -- Secure protocol, take your pick, ssh, etc ----------------- Host B 4 Host A -- Cleartext / Insecure protocol ----------------------------- Host B
图层3并没有给你多less额外的,但它是一种可能性!
在国防部,看到的并不less见
1 Host A --------Router/FW1 ---IPSEC GRE----------------- Router/FW10 ------ Host B 1 Host A --------Router/FW2 ---IPSEC GRE----------------- Router/FW9 ------- Host B 1 Host A --------Router/FW3 ----IPSEC GRE---------------- Router/FW8 ------- Host B 2 Host A ----IPSEC in Tunnel Mode ------------------------------------------ Host B 3 Host A -- Secure protocol, take your pick, ssh, etc ---------------------- Host B
注意你的目标:
1)encryption并不意味着IDS不可读。 使用预先共享的秘密或证书将使IDS窃听性能。
2)您可以通过802.1x进行networkingauthentication
3)如果您不能共享机密/证书,您需要使用AH来查看IDS
4)使用ESP保密
5)本地和远程主机上的基于主机的IDS可以缓解共享Secerts / Certs的需求
6) NIST 800-77 IPSEC VPN指南是关于这个主题的一个很好的免费出版物。
如果你非常关心信息的价值,那么也许你应该从IPSEC加强到像HAIPE这样的更安全的东西,并开始寻找types1的encryption器? 🙂
IPSec策略是基于源/目的地地址应用的,所以他们不应该关心stream量实际在哪里stream动; 所以,是的,将它们应用于通过VPN进行通信的计算机应该可以工作。
但是,为什么你需要这样的东西,当你可以encryptionVPN本身?
为了使IPSec正常工作,一些stream量需要在涉及的机器之间stream动:
更多信息在这里 。
我不知道这是否可以通过VPN来实现…低级IP协议看起来非常像是一个可能的问题。
这是一个可能的原因:您需要符合PCI要求,并且您的企业LAN中有一个持卡人数据环境。 所以,虽然支持从家里或路上,你VPN到业务局域网,但你不能容易地连接到CDE进行pipe理。 您需要双重身份validation,显然不希望未经授权的人员(即几乎业务LAN中的每个人)都能够进入CDE。