我们购买了防火墙 (sonicwall nsa),它带有 2 个 SSLVPN 许可证。有了它,我们还可以下载 NetExtender,我理解为在本地客户端和我们的防火墙之间建立某种 VPN 会话,并使本地 PC 成为我们局域网的一部分。我搜索了一下这个的安全性,因为我非常担心用户的笔记本电脑会成为我们局域网的一部分。假设这是建立某种 IPSec 连接?如果我理解正确,数据包是加密的和加密的。问题:
但是我不确定如果用户笔记本电脑现在是整个网络的一部分,那有什么好处?它上面的任何东西,例如病毒,现在都可以自由地传递到 LAN 的其他部分。这安全吗?如果不是,假设正确使用它是只允许 VPN 用于配置了正确配置(防火墙、病毒检查等)的“受管理”笔记本电脑和 PC?
SSLVPN(在这种特殊情况下,我只有 Sonicwall 的 SSLVPN 客户端)在这种情况下是更好的选择吗?至少,对于 Sonicwall,他们的 SSLVPN 只允许 RDP 和 SSH 终端,限制应用程序使用?并且本地电脑不会成为网络的一部分。或者它真的不像看起来那么安全。
提前致谢
编辑:回应评论,我们大多数用户使用 SSLVPN 的目的是能够使用远程桌面。
我认为你在这里本末倒置。您没有概述远程用户需要使用的应用程序的任何要求。没有这个,很难给出具体的答案。
无论您选择哪种技术,重要的部分是您实施了适当的访问控制。VPN 上的计算机通常除了一组选定的服务器之外没有任何理由与任何东西通信,很可能不是远程办公室的工作站,也很可能不是其他 VPN 客户端。
根据所使用的接入技术,可以以不同的方式实现这一目标。对于您描述的第一个选项,这种访问控制将使用防火墙规则在网络层完成。对于第二个选项,您可以通过配置允许用户访问的应用程序来限制它。
通常,像上面的 SSLVPN 解决方案这样的解决方案可能会提供更多的粒度和控制,但会牺牲应用程序的兼容性。