这是第❷篇神扯:VPN,你懂的。
你和公司的距离,就差一条VPN了
不知不觉,已是正月廿八
日子就这样一天天过去…
鼠小弟是只勤劳又聪明的仓鼠
今年是本命年,但它依然很劳碌
每天都要从粮仓搬粮食回家
可是,粮仓离家很远——
这条路,就像是internet线路,充满不确定性,延迟、抖动、网络攻击。
对于要从事生产业务的企业来讲,如果直接采用互联网线路来联网,风险很大。
和养尊处优的喵星人不同,鼠小弟为了养家糊口,面临“鼠身”安全和“搬仓”效率的双重难题,必须做出选择。
比如:雇人修条通往粮仓的高速公路,并设好护栏,只归鼠小弟一人独享。
这就是“专线”,又安全、又可靠。
可是拉专线费时费力,成本又高,让很多企业望而却步。
于是,聪明的鼠小弟,不愧打洞世家,
想出了另一种方案,“投机取巧”。
鼠小弟自己购买“挖掘机”,在原有的internet路面之上,挖出一条秘密“隧道”,直达粮仓。
鼠小弟用来挖洞的挖掘机,俗称“VPN网关”,有很多种型号:
❶ 能挖地二尺的:L2TP和PPTP挖掘机
❷ 能挖地三尺的:IPsec挖掘机
❸ 能挖地四尺的:SSL挖掘机
在隧道里面穿行,鼠小弟为了更安全,还穿上夜行衣,用口罩蒙面,口念“加密诀”!
鼠小弟学会了多种“加密”口诀,分别用于不同场景,确保自己在隧道里运粮安全。
❶用SHA1等口诀,进行完整性检查,保证粮食不会被掉包。
❷用RSA口诀,来进行身份验证,密钥分发,保证此鼠非彼鼠。
❸用AES、DES/3DES等口诀,来进行数据加密,即使粮食被坏人捡到也没事。
就酱,鼠小弟越玩越6。并开始将打洞、挖地道能力在家族内全面推广。
不仅临时去粮库用上了VPN,鼠辈们去七大姑、八大姨家串门,也不再走高危的地面,全部改走安全地道。
于是,就有了更丰富VPN组网场景
•
•
•
•
•
•
的确,VPN并不能保证绝对安全。
现有的加密方式,都有被
暴力破解的可能
如果密钥或者VPN证书设置不当,还可能遭受中间人攻击。
所以,真正的机密业务,还是推荐专线专网,物理隔离。
更重要的是,传统VPN还有其他不足。
❶ 与internet相比,传统VPN提高了安全性,但并不能明显改善延迟、抖动,无论多牛逼的隧道技术也hold不住渣一样的底层网络,如果再背上加解密开销的锅,传统VPN的真实体验往往不佳。
❷ 目前,随着云和SaaS的普及,企业的应用系统已经不仅仅局限在内网,传统VPN并不能更好的保护这种无处不在的访问诉求。
【END】
主编丨小黑羊 插画丨庭作
往届神扯推荐
撸猫撸懂云计算
小黑羊,首席IT吐槽官,腹黑人士,毒舌大叔。
閱讀更多 網絡安全晴雨表 的文章
