IPSec加速

由於網際網路的興起及使用的頻繁
大家都很重視這部份的安全防護
於是什麼VPN/防火牆....一堆的安全機制防來防去
但是大家卻都忽略了LAN才是網路安全的最大漏洞
在1999年FBI的一份調查報告中我們發現
來自於企業內部網路的安全問題比起外部網路嚴重許多
對於企業內部員工來說他不需要花很大功夫
就可以藉由分析封包得到MIS主管或老闆的帳號密碼
或是重要的企業資料
想想這是多麼可怕的一件事
基於這樣的原因業界開始用IPSec來保護內部網路傳輸的資料
一般在網際網路用的IPSec是tunnel mode
而在區域網路上用的IPSec是transport mode(如下圖)



看到這裡一切都OK啊
那...那關網卡屁事啊
各位看倌別急 待我細說分明
其實加解密是非常消耗系統資源的大工程
萬一有一堆用戶都要和伺服器玩IPSec安全連線
伺服器光是不停加解密可能就會口吐白沫不支倒地
那還提供啥服務啊
所以就和市面上有所謂的SSL加速器一樣
需要一個IPSec硬體加速的機制來解決這個問題
而這個IPSec硬體加速的機制最佳的棲身處所當然就是網卡囉

所以當我們看到網卡具備IPSec安全功能時
其實就是指在網路卡內建IPSec硬體加速的晶片組
藉由硬體加速來讓IPSec安全連線能夠真正實現
在企業裡面我們可以讓財務/會計/研發/主管的電腦和伺服器跑IPSec
其他一般員工則用一般網卡即可

由 zman 在 週三, 2006-10-04 01:48 提供 要發表回應,請先登入註冊 | 2845 閱讀次數