網絡安全之遠程訪問VPN

虛擬專用網（遠程訪問VPN）絡設備是網絡安全設備市場上的一個重要成員，但其角色已經發生了變化。企業WLAN的擴展，再加上正在消失的網絡外圍，都意味著VPN用戶不再是“遠程的”。

如今，VPN可以向任何移動設備（包括漫游的智能電話）提供公司資源的安全（經認證的、加密的）訪問。從遠在異地的筆記本電腦到本地的平板電腦，我們要確認安全的訪問需要，并關注VPN設備如何強化自身，以滿足企業日益增長的需要。

遠程訪問VPN的演化

二十年前，需要遠程網絡訪問的雇員，必須撥號進入私有的Modem池。而十年前，多數單位用其基于互聯網的訪問代替撥號訪問，它們使用的IPSec在VPN網關和客戶端之間建立隧道。到2006年的時候，趨勢又發生變化，SSL（安全套接字層）成為基于瀏覽器的“無客戶端”遠程訪問的一種普遍選擇。

如今，業界普遍認為基于SSLv3及TLSv1(傳輸層安全)的VPN是企業級安全的最佳實踐。但在發展過程中，企業開始注重可訪問性和透明性。具體而言，雖然TLS自身是一種IETF標準， VPN產品卻以不同的方式使用TLS和DTLS，在端點的限制、風險與每個用戶、應用程序的需要之間尋求平衡。

這種靈活性已變得日益重要，但這樣同時使得產品的選擇和部署變復雜了。例如，當代SSL VPN設備常常提供：

1、對有風險的端點，在訪問特定的應用程序時，保障WEB入口訪問的安全。

2、對多數端點而言，在訪問常見的應用程序時，保障代理訪問的安全。

3、對支持Java/ActiveX的端點而言，保障端口轉發到應用程序的安全。

4、借助TLS或IPSec VPN客戶端，保障網絡通道的安全。

但這些功能如何工作，支持哪些應用程序，哪些端點可以使用，以及部署后帶來的影響都千差萬別。過去幾年，SSL VPN的功能及其部署方式已經有了很大進步，例如，使用第三層的TLS或DTLS隧道來支持對延遲敏感的語音和多媒體應用。然而，我們仍需深入研究細節，看看某種特定設備是否滿足企業需求。

IT的消費化及自帶設備

SSL VPN可以減少遠程訪問支持的成本和復雜性。通過使用瀏覽器而不是客戶端，SSL VPN可確保從大量端點遠程訪問時的安全性，包括非IT管理的家用和公用電腦。

如今，無需安裝軟件，就可以從任何授權的PC訪問遠程VPN。同樣，從很多授權的智能電話或平板電腦也可以訪問VPN。許多無法管理的或移動端點會受到限制，只能訪問VPN入口或代理訪問。

有些訪問限制是由策略驅使的。為管理端點的風險，IT可以僅給予合伙人很小的訪問權，只能訪問很少的URL。當代的遠程訪問VPN可以提供這種精細的訪問控制。

不過，許多限制來自于端點的操作系統或用戶（缺乏）許可。TLS網絡隧道傾向于要求安裝VPN客戶，如Win32/64和Mac OS，卻鮮有iOS或Android等系統。通過TLS的端口轉發通常涉及按需下載的Java或ActiveX,但ActiveX并非在哪里都可以運行，且端口轉發會要求管理員權限。

而且，當今的遠程訪問VPN產品提供了許多可以減輕風險的特性，從預連接掃描到會話后的清理。任何考慮購買VPN來管理端點的企業都應當密切關注這些產品，看其是否滿足企業需要，并評估對需要此產品的支持程度，尤其要重視策略檢查。

正在消失的外圍

隨著移動性的增長，企業網絡的外圍被擠壓、撕裂。在所有的端點都是遠程端點時，在網絡邊緣部署VPN網關是很有益處的，這可以將授權的加密隧道與私有的子網或資源連接起來。但現在，端點也許將太多的時間用在這些領域：從連接局域網的網本到連接Wi-Fi的雇員智能電話的諸多方面，后面是不是應該有個結論。

這種情況如何影響到遠程訪問的VPN產品？對于初入此道的人來說，VPN已經被迫日益透明，從永遠在線的VPN到“移動”的VPN。此外，異地的VPN已經開始融入本地的NAC，幫助企業將連續的安全訪問交付給每一個用戶/端點，而不管它在什么位置。

簡言之，今天任何想購買遠程訪問VPN設備的人都應當思考更大的問題。即使在線的端點不是首先需要進行連接的，也應當在考慮移動性的前提下設計VPN架構，并且評估對策略和用戶透明性的影響。最后，考慮監管需要：VPN設備控制著授權用戶的訪問，因而能夠強化分段規則并報告其合規性。

評估標準

以此為基礎，你可以確認自己對于遠程訪問VPN設備的需求。為應對員工們的移動性工作需要，不妨根據角色將員工分成小組。對每一個組，要全面列示其使用端點的設備種類，這些設備必須到達的應用程序類型，準許其訪問的特定資源及特定條件等。

為將企業需求與個別產品的功能和特性匹配起來，首先應考慮VPN的功能。下面列舉幾個重要方面供參考：

認證：VPN的安全是基于認證的，最好的當然是相互認證。SSL VPN通常都支持多用戶的認證方法，包括口令、智能卡、雙因素令牌、證書等。許多IPSec VPN使用IKEv2來支持EAP協議所使用的任何方法。應當選擇一個支持所需認證方法的設備，并與用戶數據庫相集成（如活動目錄）。不太常見的特性包括無需重新驗證的單點驗證和漫游等。

加密和集成保護：安全隧道協議，如SSL、TLS、DTLS、IPSec等都對信息進行加密、集成、重播保護，有時還有來源認證等。IPSec封裝安全協議（ESP）適用于第3層，可以保護整個IP包。其它協議可應用在第三層或第四層。應當選擇一個可以滿足企業的傳輸數據保護策略的設備，其中包括加密，認證和互操作性要求。

訪問控制：早期的VPN設備建立隧道并將所有的通信從用戶傳送給網關，或僅傳送目的地為私有子網的通信（即分割隧道）。SSL VPN增加了精細控制，包括對特定應用程序、URL或操作（例如，文件只讀而不能寫入等）的訪問。此功能還在不變發生變革。單位不妨根據端點的風險、合規性或位置、基于組或角色的訪問控制，選擇可以支持透明適應每一個用戶的策略。

端點安全控制：基于風險的多種訪問類型都要求識別端點、評估其安全狀態和合規性，或是上述組合。例如，如果試圖從一臺可管理的網本訪問，檢查器可以確認端點是否擁有操作系統補丁或反惡意軟件。如果試圖從一個智能電話訪問，VPN仍可以查找IT所安裝的“水印”。無論在操作系統的控制廣度和深度上，這都是一個快速變化的領域。對于筆記本而言，不妨考慮數據倉庫等先進功能。對移動設備而言，可關注指紋識別等服務器端技術。

入侵防御：連接前的檢查很有幫助，卻遠遠不夠。為減少風險，VPN可以將很少的訪問權授與有風險的端點，或運用應用全面的入侵防御來阻止惡意軟件進入安全隧道。這是區分不同VPN產品的另一個要素。廠商們競相集成安全特性，并提供更深入的功能，特別是進入80端口以強化每個應用程序的策略，并且阻止惡意活動。類似的功能有很多，從移動安全代理，到基于聲譽的WEB防御，企業要注意過多的功能可能導致的價格和總成本問題。

可管理性：這是任何產品的一個重要特征，對遠程訪問的VPN而言這尤其重要。購買價格、維護費用、安裝成本、策略變化、日常維護等都會影響到總成本，因而購買時需要注意。

高可用性和可擴展性：企業級遠程訪問VPN產品提供高可用性和可擴展性選項，如熱同步的主動負載均衡網關。單位不但應當關注可用性和可擴展性，還應看一下許可協議。例如，那些部署遠程訪問VPN用于災難恢復的單位可能需要“量入為出”的許可。

定制：遠程訪問VPN常常從定制中獲益。這種定制的范圍很廣，從根據每用戶/組的入口頁來組織源鏈接，一直到為私有應用程序增加代理VPN轉換。

注：以上只是當代杰出的遠程訪問VPN設備的許多重要功能的一個重要而非全面的清單。

遠程訪問VPN設備在選購設備時，企業應當根據自己的業務特點和需要，有重點地進行考查和評估，只有這樣才能真正做到“有的放矢”。