联系我们
  • 联系人: 侯女士 

    电 话: 025-58630787 

    邮 箱: 81561919@qq.com 

    手 机: 18052008777

    公司地址:南京市雨花台区雨花大道2号邦宁科技园1-4层


部署VPN需要考虑的安全和设计因素
2013-11-6
来源:www.cnitsec.com
点击数: 6986          作者:江苏天网
  • 大多数企业都需要保护互联网通信。对于很多企业来说,保护通信最简单的方法是利用虚拟专用网络(VPN)在需要通信的系统之间创建加密通道。 


        VPN最常见的用例包括连接远程工作人员到中央数据中心,让他们安全访问其工作所需的内部资源,在物理分离的位置之间创建******连接,并保护内部系统或网络区域之间的连接。


        虽然有很多变型,但绝大多数VPN主要分为两种技术类型。******种利用安全套接字层(SSL)技术,通过SSL或可信层安全(TLS)证书来加强连接。第二种是基于互联网协议安全(IPSec)的VPN来提供更高级的安全选项。


        SSL VPN


        在大多数情况下,SSL VPN主要为需要安全访问应用和系统的员工提供连接。很多SSL VPN提供商提供本地集成和配置选项来处理常见应用,这些常见应用包括电子邮件、办公工具、文件共享以及通常通过浏览为访问的web应用。这些VPN的优势是它们不需要在连接端点安装任何客户端,并且,当访问常见应用时,安装和配置非常简单。


        IPSec VPN


        对于非web应用和更复杂的安全需求,IPSec VPN可能是更好的选择。虽然有其他远程访问VPN协议,例如点对点通道协议和2层网络通道协议,但不同的是,IPSec完全封装了端点和安全网关之间(或两个安全网关之间)所有IP协议流量,并提供更强的加密选项。IPSec是一组更复杂的协议,它为企业提供了更灵活的方法来在网关和系统之间建立专用通道,以处理大多数类型的通信。大多数企业级VPN都被作为硬件设备部署,但其实,较小型企业可以选择在传统服务器硬件上安装VPN软件。


        架构不同,但都依赖于防火墙背后的服务器


        我们有几种类型的架构可用于部署VPN平台。用于远程访问的最常见架构涉及在隔离区(DMZ)的外围防火墙背后建立VPN服务器,允许特定端口或网址通过防火墙访问服务器。DMZ可以设置在两个不同防火墙之间(或者在连接到一个防火墙的单个网段上),VPN服务器则位于该子网内。客户端连接到VPN服务器,然后VPN服务器根据用户的角色和身份验证凭据来将用户连接到内部应用和服务。在某些部署中,VPN和防火墙可能是相同的设备,只要同时连接的数量可以得到管理,而不会对性能带来显著影响。


        这种架构已经经受住了时间的考验,现在大多数部署方案涉及“VPN+防火墙”或“DMZ中VPN”模式。这种模式的主要缺点是需要信任来自VPN平台的流量,在很多情况下这些流量没有进行内部加密。不过,传统网络监控工具(入侵检测系统)可以监控这种流量。


        第二种VPN架构是两个物理位置之间的站点到站点连接,这通常配置在外围网关设备(通常是路由器)之间。对于这种架构,最关键的安全问题是远程VPN平台和网络的可信度。这是因为,这种连接通常是******性的。


        最后,还有一个所谓的内部VPN,这是在更先进的安全架构中最常见的架构。在这种方法中,VPN服务器作为通往关键网络区域及系统的网关。建立内部网关来控制对敏感数据和资源的访问可以帮助企业满足合规要求,并可以监控特权用户行为。


        良好VPN设计的共同属性


        不管部署哪种架构,我们有很多配置选项可用于锁定VPN平台及其提供的功能。所有VPN部署应该具备下面这些特性:


        身份验证和访问控制:SSL VPN使用SSL/TLS证书来对端点进行身份验证,以创建一个加密通道,然后通常还会提供一个web界面,支持密码或多因素方法(令牌、客户端证书或一次性密码或代码)的传统身份验证。IPSec VPN通常预配置了网关和客户端之间的身份验证选项,远程用户可以提供用户名和密码、令牌代码等来验证身份。


        验证终端设备安全和可信度:在过去几年,VPN产品逐渐增加了终端设备安全评估功能。很多VPN现在可以确定终端设备的操作系统、补丁修复水平、浏览器版本和安全设置,以及是否安装了反恶意软件(还有部署了什么签名版本)。


        机密性和完整性:SSL VPN支持分组密码和流加密算法,包括3DES、RC4、IDEA和AES等。IPSec VPN只支持分组密码进行加密。这两种类型的VPN都支持哈希密码进行完整性验证,并且都有不同的方法来检测数据包篡改和重放攻击—通过序列号和哈希或消息身份验证。

版权所有 Copyright(C)2009-2013 江苏天网计算机技术有限公司 苏ICP备16029720号