我们买了一个防火墙(sonicwall nsa),它带有2个SSLVPN许可证。 有了它,我们也可以下载NetExtender,我将它理解为在本地客户端和我们的防火墙之间build立某种VPN会话,并使本地PC成为我们局域网的一部分。 我search了一下安全性,因为我非常担心用户的笔记本电脑成为我们局域网的一部分。 假设这是build立某种IPSec连接? 如果我理解正确,数据包是密钥和encryption和所有。 问题:
但是我不确定如果用户笔记本电脑现在是整个networking的一部分,那有什么好处呢? 它上面的任何东西,比如病毒,现在都可以自由传递到局域网的其他部分。 这安全吗? 如果不是的话,假设正确使用这个function是允许VPN只用于configuration了正确configuration(防火墙,病毒检查等)的“pipe理型”笔记本电脑和个人电脑。
在这种情况下,SSLVPN(在这种情况下,我只有Sonicwall的SSLVPN客户端)是更好的select吗? 至less,对于Sonicwall来说,他们的SSLVPN只允许RDP和SSHterminal,限制性应用使用? 而本地PC不成为networking的一部分。 或者它确实没有看起来那么安全。
提前致谢
编辑:回应评论,SSLVPN的目的大部分用户是能够使用远程桌面。
我想你在这里把马车放在马前。 您尚未概述远程用户需要使用的应用程序的任何要求。 没有这个,就很难给出具体的答案。
无论您select哪种技术,最重要的部分就是您实施适当的访问控制。 VPN上的计算机通常没有任何理由与其他服务器进行通信,而且可能不是远程办公室的工作站,也可能不是其他VPN客户端。
这个目标可以根据使用的接入技术以不同的方式实现。 对于你描述的第一个选项,这种访问控制将在networking层使用防火墙规则完成。 对于第二个选项,您可以通过configuration允许用户访问的应用程序来限制它。
通常,像上面的SSLVPN解决scheme这样的解决scheme可以提供更多的粒度和控制,但应用程序兼容性的代价。