52d6c6af Asked: 2009-10-28 10:43:27 +0800 CST2009-10-28 10:43:27 +0800 CST 2009-10-28 10:43:27 +0800 CST VPN 安全与普通旧 TLS 772 我们想通过 Internet 公开一个网络应用程序。显而易见的解决方案是通过带有 TLS 和 RBAC 的 HTTP 使其可用。 通过使用 VPN 是否会进一步锁定访问权限以增强安全性,如果是,如何?据我了解,VPN 肯定会增加使用的麻烦,因为客户端需要 VPN 客户端,并且在连接到 VPN 时并发网络活动可能会受到限制。 vpn 2 个回答 Voted Best Answer user10234 2009-10-28T11:17:05+08:002009-10-28T11:17:05+08:00 解决方案很大程度上取决于您的身份验证方法和用户群。仅 VPN 访问更易于构建,但是您可能会为这些应用程序用户暴露比您想要的更多的内部网络,并且您将听到来自用户的无休止抱怨,这些用户现在必须跳过至少 2 圈才能连接和对 VPN 进行身份验证。 您必须首先确定服务器的位置: 使用 VPN 在防火墙内 在您的 DMZ 内使用反向代理、共享身份验证 使用共享身份验证或单独的用户帐户管理位于同一地点或云端 然后,如果它仅适用于内部用户与外部成员。使用 Kerberos、NTLM、PKI、内部应用程序身份验证(数据库)或 Web 服务器 (.htpass/LDAP) 与现有用户数据库集成有许多选项。 如果是针对内部员工,那么通过 Verisign 或 Entrust 管理的 PKI 可能值得研究。这允许您管理和部署用于公钥/私钥身份验证的安全证书。您可以将服务器置于反向代理 (mod_security) 中以监视和过滤 Internet 攻击,然后通过证书进行身份验证(示例)。虽然它相当昂贵。 如果是公共消费,那么标准的 HTTPS + LDAP 往往是最经济的选择。您可以每晚同步 LDAP 角色数据库等,以避免必须管理多组用户帐户。 我们实际上选择在我们的网络应用程序的前几个阶段坚持使用 VPN。我们对用户笔记本电脑有足够的控制权,能够支持开销并维护安全性。最终,我们将使用托管 PKI 以及 AD/LDAP 同步。对于 RBAC。祝你好运。 womble 2009-10-28T10:57:23+08:002009-10-28T10:57:23+08:00 我认为 VPN 不会为您的应用程序的安全性增加任何积极因素。
解决方案很大程度上取决于您的身份验证方法和用户群。仅 VPN 访问更易于构建,但是您可能会为这些应用程序用户暴露比您想要的更多的内部网络,并且您将听到来自用户的无休止抱怨,这些用户现在必须跳过至少 2 圈才能连接和对 VPN 进行身份验证。
您必须首先确定服务器的位置:
然后,如果它仅适用于内部用户与外部成员。使用 Kerberos、NTLM、PKI、内部应用程序身份验证(数据库)或 Web 服务器 (.htpass/LDAP) 与现有用户数据库集成有许多选项。
如果是针对内部员工,那么通过 Verisign 或 Entrust 管理的 PKI 可能值得研究。这允许您管理和部署用于公钥/私钥身份验证的安全证书。您可以将服务器置于反向代理 (mod_security) 中以监视和过滤 Internet 攻击,然后通过证书进行身份验证(示例)。虽然它相当昂贵。
如果是公共消费,那么标准的 HTTPS + LDAP 往往是最经济的选择。您可以每晚同步 LDAP 角色数据库等,以避免必须管理多组用户帐户。
我们实际上选择在我们的网络应用程序的前几个阶段坚持使用 VPN。我们对用户笔记本电脑有足够的控制权,能够支持开销并维护安全性。最终,我们将使用托管 PKI 以及 AD/LDAP 同步。对于 RBAC。祝你好运。
我认为 VPN 不会为您的应用程序的安全性增加任何积极因素。