除了傳統(tǒng)的VPN方式，職員還有其他一些遠程登陸公司網(wǎng)絡并使用其資源的選擇。Informit.com的一篇文章稱，如果你將訪問和安全的需求與開銷和復雜性相權衡，也許你會尋求除了傳統(tǒng)的VPN之外其他的選擇。

遠程訪問網(wǎng)絡的最好方式是什么?

固定的虛擬專用網(wǎng)絡(VPN)是最能使網(wǎng)絡管理員安然入夢的答案。VPN采用端到端的加密方式在公網(wǎng)上建立一條獨立傳輸信道。

最安全的VPN的傳統(tǒng)做法是，職員遠程從固定地點，最理想的是采用可控的，公司提供的設備，連接到安全的私有網(wǎng)絡。建立這樣的連接設置需要花費相當?shù)木?，不管用戶采用軟件，固件還是硬件，你都需要在兩端建立并維護硬件、軟件以及各種設置，同時還包括認證。但是所獲得的安全性將使你感到付出的勞動是值得的。

現(xiàn)在，我們看看相關的協(xié)議。在這方面，一共有三到四個協(xié)議。其中只有一個值得我們特別重視——IPSec，它足夠安全，特別是在和L2TP一同使用時。

IPSec是合格的選擇。它在數(shù)據(jù)包級進行加密。PPTP具有較弱的密鑰，較弱的密碼散列算法和不可靠的通信控制。L2TP數(shù)據(jù)可以被網(wǎng)絡嗅探器讀取。但是，當與IPSec結合進行加密時，L2TP變?yōu)椴豢勺x，并為IPSec提供多種協(xié)議的認證訪問。需要注意的是，購買的設備需要支持IPSec與L2TP結合的標準。

SSL

也許你的員工工作地點不固定，他需要從不同的地點進行訪問。銷售人員是最典型的例子，他們也許會從旅館房間或客戶那里連接到你的網(wǎng)絡。

對于這些用戶來說，事情可以變得更簡單，這取決于他們需要從你的網(wǎng)絡取得什么樣的權限。近年來，SSLVPN設備已經(jīng)浮出水面，如Aventail和Juniper公司的一些產(chǎn)品。它們對訪問者無任何其他要求——不需要安裝軟件，不需要匹配的硬件，只需要其使用支持SSL的瀏覽器。遠程用戶可以從任何具有SSL瀏覽器或公共信息亭的地方登陸VPN。

網(wǎng)絡管理員事先設置訪問權限和認證形式，根據(jù)不同的用戶以及他登陸位置的安全程度等因素制定不同的規(guī)則。如果用戶從公共信息亭電話撥入，那么他將看不到那些他從家中經(jīng)過許可的設備上登錄所能看到的信息，如病例檔案——如果網(wǎng)絡管理員設置正確的話。你不會希望你的醫(yī)生在機場查看你的病歷——因為他有可能忘記退出系統(tǒng)，那樣的話，其他機場的旅客也將會有機會對你的病歷進行一下分析。

以上是SSLVPN的一個安全問題。另一個SSLVPN的安全問題是，最近發(fā)現(xiàn)，盡管VPN具有清除自己緩存的工具，但是本地的桌面搜索引擎會保留SSLVPN會話，并對其建立索引。目前已經(jīng)出現(xiàn)了一些SSLVPN制造商提供的工具來對付這一新的安全威脅。

終端服務(TerminalServices)

微軟終端服務使用戶從遠程以精簡客戶機形式使用應用程序。終端服務，作為WindowsNTServer4.0TerminalServices版、Windows2000以及.NETServer的一部分，對許多具有身份胸牌的企業(yè)和遠程訪問時須出示認證標識的職員來說是一個歷史悠久的制度。從用戶登錄起，每30秒用戶得到一個新的密碼號，用戶需要將此信息連同他的登錄信息一起輸入。這當然只是認證的方法之一。

“終端服務器”從最初發(fā)布的時候，就象它的前輩CitrixSystems公司的CitrixWinFrame一樣，成為對諸多企業(yè)頗具吸引力的一種提供員工遠程登錄的方式，至今仍然如此。融合了Citrix的’SecureICAServices，128位端到端加密，TermServer的數(shù)據(jù)流變得更加安全。但你不得不去考慮那些在安全登錄以后發(fā)生的情況。

遠程控制

也許最易于設置，成本最低的遠程職員接入方法就是遠程控制，例如Symantec的PCAnywhere。這些產(chǎn)品使遠程用戶可以控制遠端辦公室中的設備。開放源碼的VNC是一種選擇，它可以在Windows、Mac、Linux和其他平臺上運行，它使用起來比較復雜，而且需要掌握相當?shù)念~外技能。但你只需在你覺得它勝任的情況下才為它埋單。

一些遠程控制軟件，如Netopia的TimbuktuVersion7，在將你屏幕的備份通過internet發(fā)送的時候，采用非標準化的加密。目前，Timbuktu采用私有的方法將位打亂，并將屏幕的部分隨機處理。專家建議不要采用私有的加密方法，因為，即使是很出名的方法也常常經(jīng)不起嚴格的檢測，此外，對于一種私有的加密方法來說，你很有可能會碰上掛羊頭賣狗肉的情況。(Netopia稱，在下一版本的Timbuktu中，它們將采用一種目前尚未公布的標準加密方法。)

目前，Altiri公司的CarbonCopy軟件只在認證時采用128位的MD5加密方法，在2004年曝光的MD5所具有的沖突性弱點對CarbonCopy來說將不會是個問題。CarbonCopy的數(shù)據(jù)流通過對每個發(fā)送的數(shù)據(jù)包采用64位的私有加密密鑰進行防護。用戶可以任意定義對數(shù)據(jù)流進行認證的密鑰——如果他們能提供密鑰的話。

Symantec剛剛發(fā)布了具備同時為認證和數(shù)據(jù)流進行AES加密(達到256位加密長度)的PCAnywhere11.5。此一新版本的PCAnywhere同樣提供了主機地址屏蔽，13種認證方法(包括RSASecurID認證)，可以識別TCP/IP地址和子網(wǎng)以決定是否允許接入，以及將PCAnywhere主機從TCP/IP瀏覽器列表中隱藏的選項。

在購買產(chǎn)品前，需要仔細閱讀安全規(guī)范說明，因為情況在不停地變化，到BugTraq根據(jù)產(chǎn)品名錄查找(按時間順序)相關的安全報告。

同時，確定你可以清空辦公室電腦的屏幕顯示，這樣遠程職員就不會擔心他們在家中所做的事情被其他人看到。

【編輯推薦】

1. 應用XAUTH技術部署企業(yè)VPN遠程訪問
2. VPN實現(xiàn)遠程寬帶訪問全功略