03月04日 綜合消息:大多數(shù)企業(yè)都需要保護(hù)互聯(lián)網(wǎng)通信。對(duì)于很多企業(yè)來說,保護(hù)通信最簡(jiǎn)單的方法是利用虛擬專用網(wǎng)絡(luò)(VPN)在需要通信的系統(tǒng)之間創(chuàng)建加密通道。
VPN最常見的用例包括連接遠(yuǎn)程工作人員到中央數(shù)據(jù)中心,讓他們安全訪問其工作所需的內(nèi)部資源,在物理分離的位置之間創(chuàng)建永久連接,并保護(hù)內(nèi)部系統(tǒng)或網(wǎng)絡(luò)區(qū)域之間的連接。
雖然有很多變型,但絕大多數(shù)VPN主要分為兩種技術(shù)類型。第一種利用安全套接字層(SSL)技術(shù),通過SSL或可信層安全(TLS)證書來加強(qiáng)連接。第二種是基于互聯(lián)網(wǎng)協(xié)議安全(IPSec)的VPN來提供更高級(jí)的安全選項(xiàng)。
SSL VPN
在大多數(shù)情況下,SSL VPN主要為需要安全訪問應(yīng)用和系統(tǒng)的員工提供連接。很多SSL VPN提供商提供本地集成和配置選項(xiàng)來處理常見應(yīng)用,這些常見應(yīng)用包括電子郵件、辦公工具、文件共享以及通常通過瀏覽為訪問的web應(yīng)用。這些VPN的優(yōu) 勢(shì)是它們不需要在連接端點(diǎn)安裝任何客戶端,并且,當(dāng)訪問常見應(yīng)用時(shí),安裝和配置非常簡(jiǎn)單。
IPSec VPN
對(duì)于非web應(yīng)用和更復(fù)雜的安全需求,IPSec VPN可能是更好的選擇。雖然有其他遠(yuǎn)程訪問VPN協(xié)議,例如點(diǎn)對(duì)點(diǎn)通道協(xié)議和2層網(wǎng)絡(luò)通道協(xié)議,但不同的是,IPSec完全封裝了端點(diǎn)和安全網(wǎng)關(guān)之間 (或兩個(gè)安全網(wǎng)關(guān)之間)所有IP協(xié)議流量,并提供更強(qiáng)的加密選項(xiàng)。IPSec是一組更復(fù)雜的協(xié)議,它為企業(yè)提供了更靈活的方法來在網(wǎng)關(guān)和系統(tǒng)之間建立專用 通道,以處理大多數(shù)類型的通信。大多數(shù)企業(yè)級(jí)VPN都被作為硬件設(shè)備部署,但其實(shí),較小型企業(yè)可以選擇在傳統(tǒng)服務(wù)器硬件上安裝VPN軟件。
架構(gòu)不同,但都依賴于防火墻背后的服務(wù)器
我們有幾種類型的架構(gòu)可用于部署VPN平臺(tái)。用于遠(yuǎn)程訪問的最常見架構(gòu)涉及在隔離區(qū)(DMZ)的外圍防火墻背后建立VPN服務(wù)器,允許特定端口或網(wǎng)址通過 防火墻訪問服務(wù)器。DMZ可以設(shè)置在兩個(gè)不同防火墻之間(或者在連接到一個(gè)防火墻的單個(gè)網(wǎng)段上),VPN服務(wù)器則位于該子網(wǎng)內(nèi)。客戶端連接到VPN服務(wù) 器,然后VPN服務(wù)器根據(jù)用戶的角色和身份驗(yàn)證憑據(jù)來將用戶連接到內(nèi)部應(yīng)用和服務(wù)。在某些部署中,VPN和防火墻可能是相同的設(shè)備,只要同時(shí)連接的數(shù)量可 以得到管理,而不會(huì)對(duì)性能帶來顯著影響。
這種架構(gòu)已經(jīng)經(jīng)受住了時(shí)間的考驗(yàn),現(xiàn)在大多數(shù)部署方案涉及“VPN+防火墻”或“DMZ中VPN”模式。這種模式的主要缺點(diǎn)是需要信任來自VPN平臺(tái)的流量,在很多情況下這些流量沒有進(jìn)行內(nèi)部加密。不過,傳統(tǒng)網(wǎng)絡(luò)監(jiān)控工具(入侵檢測(cè)系統(tǒng))可以監(jiān)控這種流量。
第二種VPN架構(gòu)是兩個(gè)物理位置之間的站點(diǎn)到站點(diǎn)連接,這通常配置在外圍網(wǎng)關(guān)設(shè)備(通常是路由器)之間。對(duì)于這種架構(gòu),最關(guān)鍵的安全問題是遠(yuǎn)程VPN平臺(tái)和網(wǎng)絡(luò)的可信度。這是因?yàn)?,這種連接通常是永久性的。
最后,還有一個(gè)所謂的內(nèi)部VPN,這是在更先進(jìn)的安全架構(gòu)中最常見的架構(gòu)。在這種方法中,VPN服務(wù)器作為通往關(guān)鍵網(wǎng)絡(luò)區(qū)域及系統(tǒng)的網(wǎng)關(guān)。建立內(nèi)部網(wǎng)關(guān)來控制對(duì)敏感數(shù)據(jù)和資源的訪問可以幫助企業(yè)滿足合規(guī)要求,并可以監(jiān)控特權(quán)用戶行為。
良好VPN設(shè)計(jì)的共同屬性
不管部署哪種架構(gòu),我們有很多配置選項(xiàng)可用于鎖定VPN平臺(tái)及其提供的功能。所有VPN部署應(yīng)該具備下面這些特性:
身份驗(yàn)證和訪問控制:SSL VPN使用SSL/TLS證書來對(duì)端點(diǎn)進(jìn)行身份驗(yàn)證,以創(chuàng)建一個(gè)加密通道,然后通常還會(huì)提供一個(gè)web界面,支持密碼或多因素方法(令牌、客戶端證書或一 次性密碼或代碼)的傳統(tǒng)身份驗(yàn)證。IPSec VPN通常預(yù)配置了網(wǎng)關(guān)和客戶端之間的身份驗(yàn)證選項(xiàng),遠(yuǎn)程用戶可以提供用戶名和密碼、令牌代碼等來驗(yàn)證身份。驗(yàn)證終端設(shè)備安全和可信度:在過去幾年,VPN產(chǎn)品逐漸增加了終端設(shè)備安全評(píng)估功能。很多VPN現(xiàn)在可以確定終端設(shè)備的操作系統(tǒng)、補(bǔ)丁修復(fù)水平、瀏覽器版本和安全設(shè)置,以及是否安裝了反惡意軟件(還有部署了什么簽名版本)。機(jī)密性和完整性:SSL VPN支持分組密碼和流加密算法,包括3DES、RC4、IDEA和AES等。IPSec VPN只支持分組密碼進(jìn)行加密。這兩種類型的VPN都支持哈希密碼進(jìn)行完整性驗(yàn)證,并且都有不同的方法來檢測(cè)數(shù)據(jù)包篡改和重放攻擊—通過序列號(hào)和哈?;蛳?息身份驗(yàn)證。