有没有人已经尝试过这种方法?我真的在考虑:不是依赖基于网络的 IDS 等,每个数据包都必须使用由我自己的 CA 颁发的证书发起的加密。
SSL 和 SSH 都可以。对互联网的访问将通过通往网关的 SSL 隧道完成。
可行吗?它会产生实际问题吗?如何实现和执行?你怎么认为?
我的目标是简化LAN 的安全概念 - 我还不确定,如果这是一个疯狂的想法!但我觉得,保护 HTTPS 或 SSH 服务器免受互联网威胁(如果使用相互身份验证)有时比监控 LAN 的狂野世界中可能发生的一切更容易。
在未加密的 LAN 上,我觉得要领先于潜在攻击者真的很难,因为存在以下威胁:
=> 为简单起见,假设 LAN 中始终存在攻击者不是更容易吗?
=> 我是否可以通过将其视为 WAN 来简化(小公司的)LAN 安全概念?或者我宁愿让它复杂化?
IPSec 听起来很有前途,但我也对 IPSec 的替代方案感兴趣 - 每个服务单独使用 SSL/SSH 并为网关创建 Stunnel?也许使用 Kerberos?... IPSec 或其他的优势是什么?
如果您能帮助我更好地掌握 IPSec,请参阅我专门针对 IPSec 的后续问题。