我们购买了防火墙 (sonicwall nsa),它附带 2 个 SSLVPN 许可证。有了它,我们还可以下载 NetExtender,我将其理解为在本地客户端和防火墙之间建立某种 VPN 会话,并使本地 PC 成为我们 LAN 的一部分。我搜索了一下它的安全性,因为我非常担心用户的笔记本电脑会成为我们 LAN 的一部分。假设这是在建立某种 IPSec 连接?如果我理解正确的话,数据包都是经过密钥和加密的。问题:
但我不确定如果用户笔记本电脑现在成为整个网络的一部分,这有什么好处?现在,它上面的任何东西(例如病毒)都可以自由地传递到 LAN 的其他部分。这安全吗?如果不安全,那么正确的用法应该是只允许“受管理”的笔记本电脑和 PC 使用 VPN,并且这些笔记本电脑和 PC 已配置了适当的配置(防火墙、病毒检查等)?
SSLVPN(在这种特定情况下,我只有 Sonicwall 的 SSLVPN 客户端)在这种情况下是否是更好的选择?至少,对于 Sonicwall 来说,他们的 SSLVPN 仅允许 RDP 和 SSH 终端,限制应用程序使用?并且本地 PC 不会成为网络的一部分。或者它确实不像看起来那么安全。
提前致谢
编辑:回应评论,我们大多数用户使用 SSLVPN 的目的是能够使用远程桌面。
答案1
我认为您本末倒置了。您没有列出远程用户需要使用的应用程序的任何要求。没有这些要求,很难给出具体的答案。
无论你选择哪种技术,重要的是要实施适当的访问控制。VPN 上的计算机通常没有理由与除选定的一组服务器之外的任何设备通信,并且很可能不会与远程办公室的工作站通信,也很可能不会与其它 VPN 客户端通信。
根据所使用的访问技术,可以通过不同的方式实现此目标。对于您描述的第一个选项,这种访问控制将在网络层使用防火墙规则完成。对于第二个选项,您可以通过配置允许用户访问的应用程序来限制它。
通常,类似上述 SSLVPN 解决方案的解决方案可能会提供更多的粒度和控制,但会以牺牲应用程序兼容性为代价。