VPN:左手应用 右手安全

当远程遭遇安全

  随着互联网的发展和电子商务的普及,越来越多的企业员工已经不再局限于坐在办公室里处理日常事务,特别是对于经常出差的员工,以及时常在家处理业务的员工,他们都非常渴望能够通过网络,远程访问公司内部资源和各种应用。

  与此同时,这种网络连接的发生,也为企业网络引入了新的安全威胁。为此,越来越多的企业需要一种简单实用的技术,既可以安全地实现员工、合作伙伴和客户对企业内部网络资源的远程访问,又不会为企业带来较大的成本压力。在这种情况下,VPN无疑成为了最佳的选择。

  目前的情况是,企业通过Internet建立数据传输平台,实施加密的VPN接入,主要有两种方式,即 IPSec VPN和SSL VPN。两种技术在不同领各有其优势,在实施固定的点到点的VPN和复杂应用的移动用户接入VPN时,一般采用IPSec 技术;在实施普通应用的移动用户接入VPN 时,通常采用SSL 技术。

  从国内主要VPN代理商腾蒙公司披露的数据看,目前60%以上的VPN案例集中在IPSec VPN,而SSL VPN作为后起之秀,保持了较大的增长幅度,可以预见的是,今后会有更多的企业选择SSL VPN作为自己的远程安全访问技术。

  需要指出的是,无论采用哪种方式,都可以满足企业的需要,不仅为企业的员工、合作伙伴提供对内网资源的安全远程访问,同时也消除了因为远程用户客户端的维护等带来的诸多不便。

  减少用户投资

  利用VPN可以减少远程访问的安全投资么?至少从目前的案例来看,确实是这样。这里,我们以Juniper的SSL VPN安全访问产品(IVE)为例。

  由于IVE设备的部署和维护都十分的简单,不需要任何客户端软件的安装,也不需要对服务器端进行特殊的设置,因此通过很短时间的配置,就可以为成千用户提供远程访问支持。同时,采用这种方案不需要指定单独的客户端设备,不需要其他的安全设备和应用程序的支持,仅仅利用标准Web浏览器的安全功能就可以实现安全的远程访问。

  另外,IVE平台也兼容已经存在的网络服务器和网络资源,这就是说,用户不需要再做单独的定制开发和软件集成,IVE平台大大减少了系统部署的费用。此外,由于不存在客户端软件的安装,也就减少了由此而引起的出差维护和管理的费用。

  从整体考虑部署

  从国内用户的实际情况分析,当前优秀的VPN方案决不是孤立的产品,而是一套整体的网络安全设计,通过坚固的系统完成对外部应用请求的转换,同时对各种连接进行细粒度的访问控制,而这种安全上的保障,是不以投资、复杂性和稳定性的牺牲为前提的。

  主流的VPN平台可以为用户提供方便安全的远程访问,因此至少要包含以下应用:内部网络的内容应用和基于Web的应用;客户端/ 服务器应用;所有的消息服务器(MS Exchange、Lotus Notes)、文件服务器(MS CIFS、NFS)应用。

  另外,整体设计的VPN方案也要考虑到员工、合作伙伴对于远程安全访问系统的应用问题。因此VPN方案的设计必须确保任何使用Web浏览器的用户,都可以方便地使用远程访问系统。像Juniper IVE的用户,可以通过Web浏览器登陆IVE服务器的主页后, 就可以访问内部网络的Email、文件服务器和Web资源,也包括其他的C/S服务。用户身份认证结束后, 其所用的主机客户端与IVE服务器就应建立SSL连接, 用户可以通过Web浏览器, 标准的Email客户端以及其他的一些客户端程序, 访问系统中指定的、得到授权的资源。 同时系统会安全地保存用户的身份, 而不需要用户进行多次的登陆。

  网管的好帮手

  要想切实把VPN用在实处,必须确保网络管理员可以实现简单部署与管理。通常的基于客户端的VPN 解决方案, 在部署的时候, 无论是VPN 服务器, 还是数量众多的客户端, 都需要花费大量的资金, 并且在系统的管理和维护上也需要IT 部门大量的时间。为此,当前主流的VPN厂家为网管提供了一揽子解决方案,为的就是确保最快速地部署远程访问系统。

  从腾蒙公司实施的案例来看,目前主流的VPN部署一般比较人性化,仅仅需要网管安装并且启动远程访问系统,之后再将远程访问系统接入Internet,然后进行简单的网络设置和用户访问控制设置,如接口的IP 地址、用户的认证授权服务器等即可。而这时候网管需要做的,只是告诉企业的员工、客户和合作伙伴,已经可以提供这项服务,告诉他们一个URL地址,通过这个地址可以远程访问内部的资源。

  据悉,当前的主流VPN系统大多采用Web管理的方式,一般都提供了系统管理器、配置管理器、用户(组)管理器、访问控制管理器、日志管理器、用户界面定制管理器、证书管理器等模块,因此企业的网管人员只需采用标准的Web浏览器,就可以访问和配置设备。

  新设备新特点

  对于目前主流的VPN设备来说,由于网络安全的环境愈发复杂,因此,VPN的功能特性也是水涨船高,至少要具备以下六个要素:

  第一,VPN平台必须能够抵挡针对系统软硬件的安全性和完整性的攻击。为此,系统必须坚固,并且可以对网络数据包进行过滤。

  第二,VPN平台尽可能抵挡针对所有通过它的数据的机密性和完整性的攻击。为此,系统最好采用SSL安全协议对传输数据进行加密, 并且对保存在本地文件系统的数据也进行加密。

  第三,VPN部署配置必须简洁快速。比如可以通过一个简洁的、基于Web的控制台进行管理, 系统必须含有大量的预定义策略, 管理员只需要定义少量的系统和网络设定后, 连接到互联网当中就可以部署完该设备。

  第四,VPN必须对用户透明。系统应当让用户感觉就像直接访问到企业的内网当中。为此, 系统最好采用交换引擎,将透明的系统资源传送给远程用户。

  第五,VPN必须可靠, 并且支持多种应用系统。为此,系统需要实现集群配置,可以实现热备份或者负载分担两种方式, 能够以主备或者多主的模式部署。

  第六,VPN设备应该包含多个子系统。这些子系统可以是WEB 请求处理器、客户端请求处理器、内容交换引擎、协议连接器、系统数据存储系统、系统同步和高可用性子系统等。利用多个子系统以及各种组件,可以保证通过一台单独的设备就可以完成简单安全的远程访问。

  用VPN实现网络的远程访问

  ◆无论IP sec还是SSL,它们都可以保证企业实现安全的远程访问需求。

  ◆VPN可以减少花在远程部署上的钱。

  ◆部署VPN要从全局出发。

  ◆主流的VPN非常容易使用与管理。

  ◆随着网络环境的发展,VPN的发展将会越来越快。