用视频会议加强沟通，用SaaS化/云化的应用改变访问习惯，用桌面云把办公电脑“搬回家”，总之你能想到黑科技，都用上了…

　　可是你知道吗，VPN从诞生到现在已经有30多年的历史了，这门技术多年来，基本上没啥大变化，翻来覆去都是那些东西，核心要义就靠隧道和加密。

　　可是这两年，VPN这个前浪，正在被SDP后浪超越，越来越多的人开始看好基于SDP的零信任模式。

　　在VPN的惯性思维里，有个明确的「边界」概念苹果ios vpn，就像我们长期以来，区分内网、外网、DMZ，或者划分不同级别的安全域，然后在边界上会架设隔离装置、安全网关，比如防火墙。

　　此时，VPN一般都是通过隧道的模式，与边界网关建立连接，实现从外网到内网的访问。基于“隧道”和“加密”，在不安全的开放网络上，构造一个相对安全的访问路径。

　　内网有业务、公有云上有业务，还有一大把SaaS化的应用要访问，同时，业务使用者的位置，也是飘忽不定的，今天在家，明天坐班，后天出差…

　　SDP讲究的就是“软件定义边界”，根据实际业务需求来自由划定边界，“处处有边界，处处无边界”。这样，保证有权限的人，在任何位置都可以访问任何业务。

　　所以，第一轮比下来，SDP更符合新形势下的业务特点，无处不在的访问需求，无所不在的业务位置。而VPN则先输一场。

　　拿典型的L2TP或者IPsec VPN来说，虽然有隧道、有加密，可以防止敏感数据在公网上被嗅探。

　　可是VPN用户一旦拨入内网，即便针对VPN地址池做些ACL控制，用户获得的仍然是网络级的粗粒度权限，能搞很多事，一旦账号失陷，就可能对内网造成威胁。

　　同时，VPN很难做到服务隐藏，容易把关键业务服务器的位置（地址/端口），暴露在攻击者的面前。

　　SDP架构的安全性就高多了，它采用服务隐身设计，被保护的业务服务只允许被认为合法的报文访问，丢弃“非法”报文。

　　在具体实现上，它不再沿用传统VPN的CHAP/PAP认证，而是采用了全新的SPA单包认证机制。

　　SPA单包认证是一种先认证后连接的机制，通常基于UDP来承载，没有监听端口，客户端直接向SDP控制器扔“敲门砖”，这个砖一般是“共享密钥+随机数”。

　　只有敲门敲对了（验签成功），控制器才会通知SDP网关，打开相应的校验端口，接受该用户的终端状态和用户身份校验。

　　传统VPN缺乏对用户认证成功后的监测机制，一旦认证成功，就会畅通无阻，万一遇到哪个“失控玩家”，往往搞出大动静。

　　而SDP基于零信任理念，一般会配合MSG微隔离技术，给予访客最小授权，认证通过获得访问权限以后，想搞出大动静也很难，也不会有什么横移的机会。

　　看到这里，你就明白了吧，作为后浪，SDP自带零信任光环，它不是一个人在战斗，充分利用集体的力量，形成一套严密的防控体系。

　　所以，VPN为什么会败？除了协议本身的局限性，更多的是被时代趋势打败了，而SDP把握住了时代密码，成为构建下一代访问管理技术的基石。

　　而且，如果原来客户使用防火墙来做SSL VPN网关，那么SSL VPN客户端可以沿用，自动升级成双模式客户端，支持SSL VPN和SDP接入。

　　用户可以根据网络规模大小，选上一台山石A系列iNGFW防火墙，安全隔离、路由NAT、访问控制、应用识别、URL过滤、情报联动、入侵防御、病毒检测、VPN加密、SDP零信任接入，一站式搞定！

　　同时，山石网科这种极致的“All in One”设计，有助于打造更安全的SDP：终端用户匹配零信任策略后，还要经受IPS/AV/URL等应用层安全考验。

　　毕竟大家当年都吃过某些UTM的亏，觉得这类所谓全能型产品“样样通”，必然“样样松”，流量一大，用户一多，肯定趴窝。

　　这种担心大可不必，与那些用x86工控机造墙的同行不一样，山石历来有自研安全硬件的传统，这次更是秘密研发了一款代号为「HillStone Mars」的“硬件加速引擎”。

　　“Mars”专注于流量卸载，把CPU解放出来处理综合安全业务。有了它的加持，山石防火墙1U的小小身板，就释放出大能量！

　　以山石A7600型号为例，集成20个万兆+4个100G，小包性能高达140Gbps，大包性能320Gbps，秒杀业内所有1U设备，妥妥性能天花板。

　　依靠超强的处理能力打底，山石防火墙就有实力交付更多功能。这一次，它又成为了构建零信任架构的基石。

　　①终端发起SPA请求；②完成SPA，推送网关列表；③连接网关，发送身份和终端信息；④联动IAM平台进行终端标签动态匹配；⑤用户获取应用资源列表，发起业务访问；⑥访问应用资源。

　　首先，零信任讲究“永不信任，持续验证”，对每个访问者进行“头发丝”般的细粒度管控，这依赖于丰富详尽的终端标签，进行全面的身份和终端状态识别。

　　没问题，山石防火墙支持百万级的策略容量，满足海量用户、海量业务的精准控制，动态规则自动添加。

　　如果遇到更大规模的“全域”零信任访问需求，山石还提供分布式部署和统一编排，一个SMP管理平台，纳管多台零信任网关。

　　这种架构，不仅接入规模更大，冗余性更强，终端用户还可以根据链路质量，灵活选路，自动寻找最佳接入点，提升访问体验。

　　金融政府有国产化要求的边界，部署K系列国产化防火墙；大型数据中心、大集团边界，则可使用X系列高性能防火墙；中小园区、分支，选用A系列作为网关；而在云计算、虚拟化场景下，可以直接使用云·界vFW。

　　有人也许会问，市面上推零信任、ZTNA之类方案的很多，基于SDP搞东搞西的也不少，为啥偏偏要选山石？

　　这是个好问题，让我禁不住想起了一个情结：这么多年在我眼里，国内安全圈，山石防火墙就是YYDS。

　　山石这套零信任解决方案，就是以其招牌产品防火墙为底座来构建的，山石墙在业内以“能打”著称，无论是超大规模的园区网/企业网出口，还是大型数据中心“南北”、“东西”流量防控，都有它战斗的身影。

　　这次华丽升级，对大量山石老客户来说，堪称福利，轻松实现产品「物尽其用」，而对志在重构零信任体系的新客户来讲，山石防火墙的All in One能力，同样可以成为最好的基石。

　　而山石的底气，来自于四个方面：➊硬核技术底座➋HCMA安全理念➌边界安全产品矩阵➍边界安全场景化解决方案。

　　①全域适应：适配各种传统IT和新IT环境，边界无处不在，防护无处不在；②基于零信任的管控；③云端情报协同、SaaS化安全能力交付；④协同安全运维&运营。

　　山石网科是中国网络安全行业的技术创新领导厂商，自成立以来一直专注于网络安全领域前沿技术的创新，提供包括边界安全、云安全、数据安全、内网安全在内的网络安全产品及服务，致力于为用户提供全方位、更智能、零打扰的网络安全解决方案。

　　山石网科为金融、政府、运营商、互联网、教育、医疗卫生等行业累计超过23,000家用户提供高效、稳定的安全防护。山石网科在苏州、北京和美国硅谷均设有研发中心，业务已经覆盖了中国、美洲、欧洲、东南亚、中东等50多个国家和地区。

　　特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

　　今夜，全线下跌！以色列传来大消息，国际油价跳水；光刻机巨头业绩“爆雷”，股价跌掉15%；金龙指数也跌了5%

　　新消费日报 荣耀X50销量达1500万台；阿迪达斯上调全年营业利润预期；京东物流将全面接入淘宝天猫平台……

　　《妖精的尾巴2》试玩报告：值得期待的战斗玩法大更新/

　　主站 商城 论坛 自运营 登录 注册 《妖精的尾巴2》试玩报告：值得期待的战斗玩法大更新 海涅...