部署VPN需要考虑的安全和设计因素VPN最常见的用例包括连接远程工作人员到中央数据中心,让他们安全访问其工作所需的内部资源,在物理分离的位置之间创建永久连接,并保护内部系统或网络区域之间的连接。 这种架构已经经受住了时间的考验,现在大多数部署方案涉及“VPN+防火墙”或“DMZ中VPN”模式。这种模式的主要缺点是需要信任来自VPN平台的流量,在很多情况下这些流量没有进行内部加密。不过,传统网络监控工具(入侵检测系统)可以监控这种流量。 第二种VPN架构是两个物理位置之间的站点到站点连接,这通常配置在外围网关设备(通常是路由器)之间。对于这种架构,最关键的安全问题是远程VPN平台和网络的可信度。这是因为,这种连接通常是永久性的。 最后,还有一个所谓的内部VPN,这是在更先进的安全架构中最常见的架构。在这种方法中,VPN服务器作为通往关键网络区域及系统的网关。建立内部网关来控制对敏感数据和资源的访问可以帮助企业满足合规要求,并可以监控特权用户行为。 良好VPN设计的共同属性 不管部署哪种架构,我们有很多配置选项可用于锁定VPN平台及其提供的功能。所有VPN部署应该具备下面这些特性: 身份验证和访问控制:SSL VPN使用SSL/TLS证书来对端点进行身份验证,以创建一个加密通道,然后通常还会提供一个web界面,支持密码或多因素方法(令牌、客户端证书或一次性密码或代码)的传统身份验证。IPSec VPN通常预配置了网关和客户端之间的身份验证选项,远程用户可以提供用户名和密码、令牌代码等来验证身份。 验证终端设备安全和可信度:在过去几年,VPN产品逐渐增加了终端设备安全评估功能。很多VPN现在可以确定终端设备的操作系统、补丁修复水平、浏览器版本和安全设置,以及是否安装了反恶意软件(还有部署了什么签名版本)。 机密性和完整性:SSL VPN支持分组密码和流加密算法,包括3DES、RC4、IDEA和AES等。IPSec VPN只支持分组密码进行加密。这两种类型的VPN都支持哈希密码进行完整性验证,并且都有不同的方法来检测数据包篡改和重放攻击—通过序列号和哈希或消息身份验证。 责编:王雅京  微信扫一扫实时了解行业动态 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc|
|
