云计算和大数据时代的网络技术 - 第四章 网络加密 读书笔记 #8
Description
由于IPSec解决的是两个地理位置隔离的网络的互通问题,那么在技术角度上来说就是使两个在Internet上不相连的两个网络能够私密的胡同,IPSec的加解密动作是在Internet VPN出口网关来做的。
由于IPSec的工作方式原来是设计给分支机构和总部互通需求设计的,分支机构的报文在出分支机构后进入Internet前IPSec VPN网关来加密报文,对端IPSec VPN网关来解密报文并发送给对应的目的地。
由于移动办公方式的出现导致IPSec的工作方式带来了挑战:
- 管理成本比较高 - 因为要维护客户电脑的软件的安装、调试。证书的分发和回收。导致管理成本上升以及难以维护。
- 安全隐患 - IPSec在移动端接入后,由于是直接接入到IPSec网关上的,那么云客户实际上是可以和所有的IPSec可达的租户来通信的,那么这不是云主机需要带来的功能,明显是安全隐患。
- 网络复杂性 - 由于IPSec是工作在第三层IP层的,那NAT、Firewall、广域网加速设备都需要对IPSec做特定的配置这无疑增加了网络管理的复杂性。
SSL (Secure Socket Layer) 加密套接字的出现,来代替IPSec在移动领域以及云计算领域的VPN方案。
SSL是基于IP上,Application之下的一层,那么在套接字socket一层来完成认证、加密、传输、和解密的操作,对上层应用来说这是个透明的过程。
由于是IP报文,那么可以简单的进行防火墙穿越。
SSL的握手过程需要在找个时间单独写一下。