網(wǎng)絡(luò)安全之遠(yuǎn)程訪問VPN

虛擬專用網(wǎng)（遠(yuǎn)程訪問VPN）絡(luò)設(shè)備是網(wǎng)絡(luò)安全設(shè)備市場上的一個(gè)重要成員，但其角色已經(jīng)發(fā)生了變化。企業(yè)WLAN的擴(kuò)展，再加上正在消失的網(wǎng)絡(luò)外圍，都意味著VPN用戶不再是“遠(yuǎn)程的”。

如今，VPN可以向任何移動(dòng)設(shè)備（包括漫游的智能電話）提供公司資源的安全（經(jīng)認(rèn)證的、加密的）訪問。從遠(yuǎn)在異地的筆記本電腦到本地的平板電腦，我們要確認(rèn)安全的訪問需要，并關(guān)注VPN設(shè)備如何強(qiáng)化自身，以滿足企業(yè)日益增長的需要。

遠(yuǎn)程訪問VPN的演化

二十年前，需要遠(yuǎn)程網(wǎng)絡(luò)訪問的雇員，必須撥號進(jìn)入私有的Modem池。而十年前，多數(shù)單位用其基于互聯(lián)網(wǎng)的訪問代替撥號訪問，它們使用的IPSec在VPN網(wǎng)關(guān)和客戶端之間建立隧道。到2006年的時(shí)候，趨勢又發(fā)生變化，SSL（安全套接字層）成為基于瀏覽器的“無客戶端”遠(yuǎn)程訪問的一種普遍選擇。

如今，業(yè)界普遍認(rèn)為基于SSLv3及TLSv1(傳輸層安全)的VPN是企業(yè)級安全的最佳實(shí)踐。但在發(fā)展過程中，企業(yè)開始注重可訪問性和透明性。具體而言，雖然TLS自身是一種IETF標(biāo)準(zhǔn)， VPN產(chǎn)品卻以不同的方式使用TLS和DTLS，在端點(diǎn)的限制、風(fēng)險(xiǎn)與每個(gè)用戶、應(yīng)用程序的需要之間尋求平衡。

這種靈活性已變得日益重要，但這樣同時(shí)使得產(chǎn)品的選擇和部署變復(fù)雜了。例如，當(dāng)代SSL VPN設(shè)備常常提供：

1、對有風(fēng)險(xiǎn)的端點(diǎn)，在訪問特定的應(yīng)用程序時(shí)，保障WEB入口訪問的安全。

2、對多數(shù)端點(diǎn)而言，在訪問常見的應(yīng)用程序時(shí)，保障代理訪問的安全。

3、對支持Java/ActiveX的端點(diǎn)而言，保障端口轉(zhuǎn)發(fā)到應(yīng)用程序的安全。

4、借助TLS或IPSec VPN客戶端，保障網(wǎng)絡(luò)通道的安全。

但這些功能如何工作，支持哪些應(yīng)用程序，哪些端點(diǎn)可以使用，以及部署后帶來的影響都千差萬別。過去幾年，SSL VPN的功能及其部署方式已經(jīng)有了很大進(jìn)步，例如，使用第三層的TLS或DTLS隧道來支持對延遲敏感的語音和多媒體應(yīng)用。然而，我們?nèi)孕枭钊胙芯考?xì)節(jié)，看看某種特定設(shè)備是否滿足企業(yè)需求。

IT的消費(fèi)化及自帶設(shè)備

SSL VPN可以減少遠(yuǎn)程訪問支持的成本和復(fù)雜性。通過使用瀏覽器而不是客戶端，SSL VPN可確保從大量端點(diǎn)遠(yuǎn)程訪問時(shí)的安全性，包括非IT管理的家用和公用電腦。

如今，無需安裝軟件，就可以從任何授權(quán)的PC訪問遠(yuǎn)程VPN。同樣，從很多授權(quán)的智能電話或平板電腦也可以訪問VPN。許多無法管理的或移動(dòng)端點(diǎn)會(huì)受到限制，只能訪問VPN入口或代理訪問。

有些訪問限制是由策略驅(qū)使的。為管理端點(diǎn)的風(fēng)險(xiǎn)，IT可以僅給予合伙人很小的訪問權(quán)，只能訪問很少的URL。當(dāng)代的遠(yuǎn)程訪問VPN可以提供這種精細(xì)的訪問控制。

不過，許多限制來自于端點(diǎn)的操作系統(tǒng)或用戶（缺乏）許可。TLS網(wǎng)絡(luò)隧道傾向于要求安裝VPN客戶，如Win32/64和Mac OS，卻鮮有iOS或Android等系統(tǒng)。通過TLS的端口轉(zhuǎn)發(fā)通常涉及按需下載的Java或ActiveX,但ActiveX并非在哪里都可以運(yùn)行，且端口轉(zhuǎn)發(fā)會(huì)要求管理員權(quán)限。

而且，當(dāng)今的遠(yuǎn)程訪問VPN產(chǎn)品提供了許多可以減輕風(fēng)險(xiǎn)的特性，從預(yù)連接掃描到會(huì)話后的清理。任何考慮購買VPN來管理端點(diǎn)的企業(yè)都應(yīng)當(dāng)密切關(guān)注這些產(chǎn)品，看其是否滿足企業(yè)需要，并評估對需要此產(chǎn)品的支持程度，尤其要重視策略檢查。

正在消失的外圍

隨著移動(dòng)性的增長，企業(yè)網(wǎng)絡(luò)的外圍被擠壓、撕裂。在所有的端點(diǎn)都是遠(yuǎn)程端點(diǎn)時(shí)，在網(wǎng)絡(luò)邊緣部署VPN網(wǎng)關(guān)是很有益處的，這可以將授權(quán)的加密隧道與私有的子網(wǎng)或資源連接起來。但現(xiàn)在，端點(diǎn)也許將太多的時(shí)間用在這些領(lǐng)域：從連接局域網(wǎng)的網(wǎng)本到連接Wi-Fi的雇員智能電話的諸多方面，后面是不是應(yīng)該有個(gè)結(jié)論。

這種情況如何影響到遠(yuǎn)程訪問的VPN產(chǎn)品？對于初入此道的人來說，VPN已經(jīng)被迫日益透明，從永遠(yuǎn)在線的VPN到“移動(dòng)”的VPN。此外，異地的VPN已經(jīng)開始融入本地的NAC，幫助企業(yè)將連續(xù)的安全訪問交付給每一個(gè)用戶/端點(diǎn)，而不管它在什么位置。

簡言之，今天任何想購買遠(yuǎn)程訪問VPN設(shè)備的人都應(yīng)當(dāng)思考更大的問題。即使在線的端點(diǎn)不是首先需要進(jìn)行連接的，也應(yīng)當(dāng)在考慮移動(dòng)性的前提下設(shè)計(jì)VPN架構(gòu)，并且評估對策略和用戶透明性的影響。最后，考慮監(jiān)管需要：VPN設(shè)備控制著授權(quán)用戶的訪問，因而能夠強(qiáng)化分段規(guī)則并報(bào)告其合規(guī)性。

評估標(biāo)準(zhǔn)

以此為基礎(chǔ)，你可以確認(rèn)自己對于遠(yuǎn)程訪問VPN設(shè)備的需求。為應(yīng)對員工們的移動(dòng)性工作需要，不妨根據(jù)角色將員工分成小組。對每一個(gè)組，要全面列示其使用端點(diǎn)的設(shè)備種類，這些設(shè)備必須到達(dá)的應(yīng)用程序類型，準(zhǔn)許其訪問的特定資源及特定條件等。

為將企業(yè)需求與個(gè)別產(chǎn)品的功能和特性匹配起來，首先應(yīng)考慮VPN的功能。下面列舉幾個(gè)重要方面供參考：

認(rèn)證：VPN的安全是基于認(rèn)證的，最好的當(dāng)然是相互認(rèn)證。SSL VPN通常都支持多用戶的認(rèn)證方法，包括口令、智能卡、雙因素令牌、證書等。許多IPSec VPN使用IKEv2來支持EAP協(xié)議所使用的任何方法。應(yīng)當(dāng)選擇一個(gè)支持所需認(rèn)證方法的設(shè)備，并與用戶數(shù)據(jù)庫相集成（如活動(dòng)目錄）。不太常見的特性包括無需重新驗(yàn)證的單點(diǎn)驗(yàn)證和漫游等。

加密和集成保護(hù)：安全隧道協(xié)議，如SSL、TLS、DTLS、IPSec等都對信息進(jìn)行加密、集成、重播保護(hù)，有時(shí)還有來源認(rèn)證等。IPSec封裝安全協(xié)議（ESP）適用于第3層，可以保護(hù)整個(gè)IP包。其它協(xié)議可應(yīng)用在第三層或第四層。應(yīng)當(dāng)選擇一個(gè)可以滿足企業(yè)的傳輸數(shù)據(jù)保護(hù)策略的設(shè)備，其中包括加密，認(rèn)證和互操作性要求。

訪問控制：早期的VPN設(shè)備建立隧道并將所有的通信從用戶傳送給網(wǎng)關(guān)，或僅傳送目的地為私有子網(wǎng)的通信（即分割隧道）。SSL VPN增加了精細(xì)控制，包括對特定應(yīng)用程序、URL或操作（例如，文件只讀而不能寫入等）的訪問。此功能還在不變發(fā)生變革。單位不妨根據(jù)端點(diǎn)的風(fēng)險(xiǎn)、合規(guī)性或位置、基于組或角色的訪問控制，選擇可以支持透明適應(yīng)每一個(gè)用戶的策略。

端點(diǎn)安全控制：基于風(fēng)險(xiǎn)的多種訪問類型都要求識別端點(diǎn)、評估其安全狀態(tài)和合規(guī)性，或是上述組合。例如，如果試圖從一臺可管理的網(wǎng)本訪問，檢查器可以確認(rèn)端點(diǎn)是否擁有操作系統(tǒng)補(bǔ)丁或反惡意軟件。如果試圖從一個(gè)智能電話訪問，VPN仍可以查找IT所安裝的“水印”。無論在操作系統(tǒng)的控制廣度和深度上，這都是一個(gè)快速變化的領(lǐng)域。對于筆記本而言，不妨考慮數(shù)據(jù)倉庫等先進(jìn)功能。對移動(dòng)設(shè)備而言，可關(guān)注指紋識別等服務(wù)器端技術(shù)。

入侵防御：連接前的檢查很有幫助，卻遠(yuǎn)遠(yuǎn)不夠。為減少風(fēng)險(xiǎn)，VPN可以將很少的訪問權(quán)授與有風(fēng)險(xiǎn)的端點(diǎn)，或運(yùn)用應(yīng)用全面的入侵防御來阻止惡意軟件進(jìn)入安全隧道。這是區(qū)分不同VPN產(chǎn)品的另一個(gè)要素。廠商們競相集成安全特性，并提供更深入的功能，特別是進(jìn)入80端口以強(qiáng)化每個(gè)應(yīng)用程序的策略，并且阻止惡意活動(dòng)。類似的功能有很多，從移動(dòng)安全代理，到基于聲譽(yù)的WEB防御，企業(yè)要注意過多的功能可能導(dǎo)致的價(jià)格和總成本問題。

可管理性：這是任何產(chǎn)品的一個(gè)重要特征，對遠(yuǎn)程訪問的VPN而言這尤其重要。購買價(jià)格、維護(hù)費(fèi)用、安裝成本、策略變化、日常維護(hù)等都會(huì)影響到總成本，因而購買時(shí)需要注意。

高可用性和可擴(kuò)展性：企業(yè)級遠(yuǎn)程訪問VPN產(chǎn)品提供高可用性和可擴(kuò)展性選項(xiàng)，如熱同步的主動(dòng)負(fù)載均衡網(wǎng)關(guān)。單位不但應(yīng)當(dāng)關(guān)注可用性和可擴(kuò)展性，還應(yīng)看一下許可協(xié)議。例如，那些部署遠(yuǎn)程訪問VPN用于災(zāi)難恢復(fù)的單位可能需要“量入為出”的許可。

定制：遠(yuǎn)程訪問VPN常常從定制中獲益。這種定制的范圍很廣，從根據(jù)每用戶/組的入口頁來組織源鏈接，一直到為私有應(yīng)用程序增加代理VPN轉(zhuǎn)換。

注：以上只是當(dāng)代杰出的遠(yuǎn)程訪問VPN設(shè)備的許多重要功能的一個(gè)重要而非全面的清單。

遠(yuǎn)程訪問VPN設(shè)備在選購設(shè)備時(shí)，企業(yè)應(yīng)當(dāng)根據(jù)自己的業(yè)務(wù)特點(diǎn)和需要，有重點(diǎn)地進(jìn)行考查和評估，只有這樣才能真正做到“有的放矢”。