什么是VPN
VPN英文全称是“VirtualPrivateNetwork”,即“虚拟专用网络”。
VPN最早出现于上世纪90年代,被用于通过公共网络(如:互联网)建立一个临时的、安全的连接,是一条穿过不可信的公用网络的安全、加密隧道。
虚拟专用网是对企业内网的扩展,可以帮助远程用户、公司分支机构、合作伙伴及供应商远程的与企业内部网络建立可信的安全连接。
VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
VPN是三十年前基于网络边界防护而开发的产品,设计初衷是在不可信网络之上建立一个加密隧道,将远端终端接入到企业内网中,旨在扩展可信网络范围,目标是满足有特定远程访问需求的相对较小比例的用户。
VPN在接入的时候需要身份验证,当身份验证成功,远端的终端将分配一个企业内网IP地址,并生成一条默认路由,将访问企业内网IP地址的流量全部通过建立的VPN隧道加密转发到部署在企业内网的VPN网关上,再由VPN网关转发到对应的内网IP地址。
VPN仅对身份进行一次校验,当身份被验证后即可远程的接入到企业内网,远程终端的后续访问行为不再进行身份的验证,远程终端可任意访问所有网络访问控制策略允许的内网资源。
信域与VPN的相同点
都支持远程访问内网业务资源
信域与VPN都支持让远程终端通过互联网访问企业内部资源,当远程终端经过身份验证都将在本地系统上新建一个虚拟网卡,自动配置虚拟IP地址,用于在虚拟网络内进行通信。
在不可信网络中都采用加密传输
信域与VPN都支持在不可信网络之间对网络流量进行加密,以避免在不可信网络中通信被监听或篡改。
信域与VPN的不同点
网络结构不同
传统VPN基于边界防御模型设计,属于典型的星型网络结构。远程终端与VPN网关建立加密访问隧道,并且一个远程终端只能同时与一个VPN网关建立隧道,无法同时与多个VPN网关同时建立隧道。当终端访问不同VPN网关后的业务资源时,需要在VPN网关之间来回切换。
在实际应用场景中,企业通常让所有远程终端统一地接入到办公区的VPN网关,将终端所有网络流量都引流到办公区。办公区则与多个云或数据中心通过专线或Site-to-SiteVPN进行连接,远程终端通过办公区绕行访问位于不同位置的业务资源。企业通过这种方式避免了终端用户切换VPN网关的问题,但这样的做法增大了终端用户访问业务的延迟,也增加了办公区带宽资源成本,同时还会导致办公区的网络权限管理变得非常复杂。
信域则是基于分布式网络结构设计,属于Full-Mesh网络结构,远程终端并非与某一个信域网关单独建立隧道,而是加入到整个Mesh结构的虚拟网络中,终端可以同时与所有信域网关进行通信。在信域的应用场景中,企业无需让远程终端通过某一个网络节点进行跳转访问,而是可以直接访问分布在任意位置的授权业务资源。
信域的这种点对点网络结构避免了绕行带来的访问延时,减少了企业带宽消耗,同时网络访问控制策略管理也变得非常简洁。
对安全边界的定义不同
VPN基于物理网络设定安全边界,远程终端接入VPN网关后即可访问内网业务资源,在内网中通过防火墙基于IP地址执行网络访问控制。
信域则是基于身份设定的安全边界,远程终端接入信域安全云网后,自身便成为了云网的一部分。虽然终端加入了信域安全云网,但默认情况下并不能访问云网中的任何业务资源,只有当被明确授权后终端才可访问授权的业务资源。
身份验证方式不同
VPN终端用户在接入VPN网关的时候需要进行身份验证,验证通过后远程终端与VPN网关建立加密隧道,通过隧道进行业务访问数据传输。
而信域采用控制面与数据面分离的架构方案,终端用户在接入信域安全云网时需要通过管控平台(TMC)进行帐号、终端的身份验证,并分配当前的网络访问权限。经过验证后的用户终端成功加入到信域安全云网中,成为云网的一个网络实体。
用户终端并不需要跟某一个信域网关建立隧道,而是跟信域安全云网中的所有网络实体形成网络对等关系(包括所有已加入信域安全云网的终端和信域组件),形成一个Full-Mesh结构的点对点加密网络。在网络中的所有数据包都将标记身份信息后发送,接收方在收到数据包后,基于发送方身份进行逐包认证和解密。
不仅如此,信域还会持续监控终端环境状态和用户访问行为,一旦出现终端环境或行为异常,则自动触发二次身份验证,如验证失败则限制用户和终端的访问授权。
访问控制模型不同
VPN是基于边界防御模型设计,采用传统的网络五元组ACL执行网络访问控制,即数据包到达VPN网关后,VPN网关对其进行解密,然后进行网络五元组ACL策略匹配,命中后则触发放行或阻断策略。
信域采用的是基于身份的分布式网络访问控制模型,所有网络访问控制策略在控制平台上进行统一地编排和计算,并实时同步到每一个信域客户端和信域网关上同步执行,避免了策略执行的性能瓶颈问题。