从安全的angular度来看,ssl或vpn的“密码隧道”有什么区别? 场景是:一个服务器Web,为less数(已知)的人员提供服务。 现在authentication是基于iis的基本authentication(通过ssl)和kerberos系统。 它可能会使用VPN在Web服务上进行身份validation,并使用它来代替ssl + kerberos? 它会从安全的angular度来获得收益吗?
神秘的版本:这取决于。 ;)
部署SSL(v2,md5,重新协商攻击)和VPN(某些VPN解决scheme使用深度漏洞encryptionalgorithm,如RC4)有一些非常不安全的方法。
两种技术的现代configuration实施的安全级别大致相当(并且相当好)。
对于你的问题的另一方面 – SSL可能是你的最佳解决scheme; 连接到VPN并打到未encryption的页面将失去SSL(特别是服务器身份validation)的一些优点,并会在VPN终止的地方和Web服务器之间以明文forms留下您的请求。
如果服务仅限于一组已知的用户,那么VPN和防火墙设置将很容易设置。
如果您知道用户IP地址是静态的(内部公司networking),您甚至可以在这里使用防火墙。 你所做的只是添加规则来允许已知的主机,然后拒绝所有其他的。
如果用户来自外部的dynamic地址,那么一个VPN加防火墙将在这里很好地工作。
您也可以使用SSL来增加另一层安全性,这对您的用户来说不会很不方便,因为它是透明的,不需要任何东西。