Isi kandungan:
Video: Lumison Data Center Tour - Promotional Video - Single Servers - Storage Area Networks - Cooling 2024
Rangkaian peribadi maya (VPN) telah diwujudkan untuk menangani dua masalah yang berbeza: kos yang tinggi untuk talian sewa khusus yang diperlukan untuk komunikasi pejabat cawangan dan keperluan untuk membenarkan pekerja kaedah selamat menyambung ke rangkaian ibu pejabat apabila mereka berada di luar bandar atau bekerja dari rumah.
Bagaimana kerja VPN
VPN menggunakan protokol khas untuk menubuhkan saluran maya antara dua mesin atau dua rangkaian. Bayangkan jika anda boleh meniup gelembung sabun dalam bentuk tiub dan hanya anda dan rakan anda boleh bercakap menerusinya. Bubble adalah sementara dan apabila anda ingin mempunyai perbualan lain, anda perlu membuat gelembung yang lain. Itulah seperti saluran VPN. Saluran ini sebenarnya merupakan sesi terus sementara. Inilah yang lazim disebut sebagai terowong .
Kemudian VPN juga menukar sekumpulan rahsia yang dikongsi untuk membuat kunci penyulitan. Lalu lintas yang bergerak di sepanjang saluran yang ditetapkan adalah dibungkus dengan pakej yang disulitkan yang mempunyai alamat di luar bungkusan, tetapi kandungannya tersembunyi dari pandangan. Ia seperti pembungkus gula-gula. Anda boleh melihat gula-gula, tetapi anda tidak tahu apa yang kelihatan seperti gula-gula di bahagian dalam. Perkara yang sama berlaku dengan lalu lintas yang disulitkan. Isi asal tersembunyi dari pandangan, tetapi ia mempunyai maklumat yang mencukupi untuk sampai ke tujuannya. Selepas data mencapai destinasinya, pembalut itu dikeluarkan dengan selamat.
Menyediakan VPN
Anda boleh menyediakan dua cara VPN: Cara pertama biasanya digunakan antara rangkaian dan firewall atau penyulitan penyulitan untuk melakukan penyulitan dan penyahsulitan lalu lintas. Dalam penubuhan ini tidak perlu perisian khusus pada desktop atau komputer klien. Kaedah kedua adalah untuk mempunyai firewall, penyulitan penyulitan, atau pelayan VPN pada hujung destinasi dan perisian klien VPN khas pada komputer desktop atau komputer riba. Ini semua bergantung kepada sama ada VPN adalah operasi dua hala atau operasi sehala.
Tentukan perhubungan
Dalam hubungan dua hala anda mempunyai dua rangkaian yang ingin bekerja bersama dan masing-masing pada dasarnya mempunyai persediaan VPN yang sama dengan yang lain. Permintaan untuk mewujudkan sambungan VPN boleh datang dari arah yang sama. Tiada perisian khas yang diperlukan pada komputer desktop kerana semua enkripsi dan penyahsulitan dilakukan di pintu masuk dan keluar rangkaian. Kedua-dua rangkaian juga mempunyai sistem pengurusan utama supaya mereka boleh membuat kunci rahsia untuk sesi VPN.Adalah penting bahawa kedua-dua rangkaian mempunyai komponen VPN yang serasi atau mereka tidak akan berjaya dalam bercakap antara satu sama lain.
Dalam hubungan sehala, rangkaian destinasi mempunyai persediaan VPN dan tiada persetujuan dengan rangkaian lain untuk dikongsi. Dalam hal ini, komputer yang ingin membuat sambungan dengan rangkaian harus mempunyai perisian klien VPN dan permintaan itu hanya boleh dibuat dalam satu arah - dari klien ke rangkaian. Perisian pelanggan boleh meminta dan mengesahkan dirinya sendiri, tetapi mekanisme membuat kunci rahsia hanya di rangkaian. Komputer klien akan mempunyai kunci rahsia yang tersimpan pada dirinya sendiri, tetapi ia tidak boleh membuat kunci baru.
Secara amnya, sistem sehala digunakan untuk pengguna jauh yang berada di rumah atau semasa mereka dalam perjalanan. Mereka mendail melalui ISP mereka dan mekanisme untuk mewujudkan dan mengekalkan sambungan VPN semuanya terkandung di rangkaian destinasi. Sekiranya seseorang dengan komputer riba tanpa perisian klien VPN cuba menyambung ke rangkaian syarikat, dia tidak akan terlalu jauh kerana dia tidak akan mempunyai perisian klien atau kunci rahsia. Di samping itu, pengguna yang tidak dibenarkan tidak akan disenaraikan dalam pangkalan data VPN pengguna yang dibenarkan. Walau bagaimanapun, apabila seseorang mendail dan disahkan, akses mereka adalah sama seperti jika mereka duduk di bangunan yang sama dengan rangkaian destinasi.
Di dalam atau di luar?
Anda boleh menyediakan VPN endpoint di pelbagai lokasi. Titik akhir ialah trafik VPN yang masuk ke rangkaian anda. Dalam sesetengah kes, titik akhir juga firewall kerana banyak firewall datang dengan keupayaan VPN pada masa kini. Titik akhir juga boleh berada di hadapan firewall, di DMZ dari satu sisi ke firewall, atau di dalam firewall. Setiap konfigurasi ini mempunyai plus dan minusnya.
Jika anda memilih untuk meletakkan VPN anda di hadapan firewall, mekanisme itu semua menyulitkan dan menyulitkan sendiri. Ini bermakna tidak ada keperluan untuk membenarkan terowong VPN terbuka melalui firewall anda. Semua lalu lintas melalui firewall akan diprataskan sebelum dan diformat supaya firewall dapat membacanya. Walau bagaimanapun, jika VPN gagal atau diturunkan, anda akan menghadapi situasi di mana semua lalu lintas keluar tanpa diskriminasi, atau tiada lalu lintas sama sekali. Ia bergantung kepada sama ada atau tidak VPN anda akan gagal dalam kedudukan terbuka atau tertutup.
VPN pada firewall akan kelihatan seperti penyelesaian yang baik kerana, sekali lagi, anda tidak perlu meninggalkan terowong terbuka melalui firewall. Firewall akan mengendalikan semua enkripsi, penyahsulitan, dan tugas kerap pemeriksaan lalu lintas. Jenis penyelesaian ini memberi beban besar kepada firewall kecil yang miskin, walaupun. Penyulitan dan penyahsulitan adalah intensif buruh untuk komputer, seperti pemeriksaan lalu lintas, dan ini boleh menyebabkan kesesakan lalu lintas.
Cara lain adalah meletakkan VPN di bahagian dalam firewall. Ini melegakan firewall dan / atau penghala yang perlu mengendalikan penyulitan dan penyahsulitan trafik, tetapi anda perlu membenarkan terowong VPN melewati firewall.Firewall tidak dapat membaca lalu lintas yang disulitkan dan ia akan membenarkan lalu lintas itu melewati tanpa dicabar. Sudah tentu, lalu lintas masih akan dihentikan oleh mekanisme VPN, tetapi pada masa itu, ia sudah berada dalam rangkaian dalaman.
Mengamankan pelanggan
Mungkin cara paling mudah untuk memecahkan keselamatan VPN adalah untuk mendapatkan memegang komputer riba yang digunakan untuk mendail untuk sambungan VPN. Komputer riba yang dicuri akan mempunyai perisian klien VPN, UserID, dan kunci rahsia semua disimpan pada satu mesin. Pemilik laptop pintar tidak akan menyimpan kata laluan untuk terowong VPN di komputernya. Jika dia ada, pencuri baru saja mendapat tiket percuma untuk bersiar-siar di dalam rangkaian anda!
Pengguna yang menggunakan komputer riba untuk menubuhkan sambungan VPN dengan rangkaian anda perlu diberikan pelajaran dalam menjaga keselamatan yang baik. Mereka harus mempunyai perisian anti-virus terkini dan memastikan ia berjalan setiap kali mereka memulakan komputer mereka. Di samping itu, komputer riba hendaklah mempunyai perisian firewall peribadi yang disediakan. Sesetengah pelanggan VPN sudah termasuk firewall peribadi, jadi anda perlu menyemak dengan vendor anda sama ada milik anda atau tidak. Firewall peribadi dapat memastikan bahawa hanya klien VPN yang membuat sambungan dan itu sebenarnya bukan program kuda Trojan yang menyamar sebagai klien VPN. Satu lagi langkah berjaga-jaga yang baik adalah untuk membolehkan kata laluan BIOS. Dengan cara itu, jika komputer dicuri, ia tidak boleh dimulakan tanpa kata laluan.
