大多數(shù)企業(yè)都需要保護(hù)互聯(lián)網(wǎng)通信。對(duì)于很多企業(yè)來(lái)說(shuō)，保護(hù)通信最簡(jiǎn)單的方法是利用虛擬專用網(wǎng)絡(luò)(VPN)在需要通信的系統(tǒng)之間創(chuàng)建加密通道。 

[[109573]]

VPN最常見(jiàn)的用例包括連接遠(yuǎn)程工作人員到中央數(shù)據(jù)中心，讓他們安全訪問(wèn)其工作所需的內(nèi)部資源，在物理分離的位置之間創(chuàng)建永久連接，并保護(hù)內(nèi)部系統(tǒng)或網(wǎng)絡(luò)區(qū)域之間的連接。

雖然有很多變型，但絕大多數(shù)VPN主要分為兩種技術(shù)類型。第一種利用安全套接字層(SSL)技術(shù)，通過(guò)SSL或可信層安全(TLS)證書(shū)來(lái)加強(qiáng)連接。第二種是基于互聯(lián)網(wǎng)協(xié)議安全(IPSec)的VPN來(lái)提供更高級(jí)的安全選項(xiàng)。

SSL VPN

在大多數(shù)情況下，SSL VPN主要為需要安全訪問(wèn)應(yīng)用和系統(tǒng)的員工提供連接。很多SSL VPN提供商提供本地集成和配置選項(xiàng)來(lái)處理常見(jiàn)應(yīng)用，這些常見(jiàn)應(yīng)用包括電子郵件、辦公工具、文件共享以及通常通過(guò)瀏覽為訪問(wèn)的web應(yīng)用。這些VPN的優(yōu)勢(shì)是它們不需要在連接端點(diǎn)安裝任何客戶端，并且，當(dāng)訪問(wèn)常見(jiàn)應(yīng)用時(shí)，安裝和配置非常簡(jiǎn)單。

IPSec VPN

對(duì)于非web應(yīng)用和更復(fù)雜的安全需求，IPSec VPN可能是更好的選擇。雖然有其他遠(yuǎn)程訪問(wèn)VPN協(xié)議，例如點(diǎn)對(duì)點(diǎn)通道協(xié)議和2層網(wǎng)絡(luò)通道協(xié)議，但不同的是，IPSec完全封裝了端點(diǎn)和安全網(wǎng)關(guān)之間(或兩個(gè)安全網(wǎng)關(guān)之間)所有IP協(xié)議流量，并提供更強(qiáng)的加密選項(xiàng)。IPSec是一組更復(fù)雜的協(xié)議，它為企業(yè)提供了更靈活的方法來(lái)在網(wǎng)關(guān)和系統(tǒng)之間建立專用通道，以處理大多數(shù)類型的通信。大多數(shù)企業(yè)級(jí)VPN都被作為硬件設(shè)備部署，但其實(shí)，較小型企業(yè)可以選擇在傳統(tǒng)服務(wù)器硬件上安裝VPN軟件。

架構(gòu)不同，但都依賴于防火墻背后的服務(wù)器

我們有幾種類型的架構(gòu)可用于部署VPN平臺(tái)。用于遠(yuǎn)程訪問(wèn)的最常見(jiàn)架構(gòu)涉及在隔離區(qū)(DMZ)的外圍防火墻背后建立VPN服務(wù)器，允許特定端口或網(wǎng)址通過(guò)防火墻訪問(wèn)服務(wù)器。DMZ可以設(shè)置在兩個(gè)不同防火墻之間(或者在連接到一個(gè)防火墻的單個(gè)網(wǎng)段上)，VPN服務(wù)器則位于該子網(wǎng)內(nèi)?？蛻舳诉B接到VPN服務(wù)器，然后VPN服務(wù)器根據(jù)用戶的角色和身份驗(yàn)證憑據(jù)來(lái)將用戶連接到內(nèi)部應(yīng)用和服務(wù)。在某些部署中，VPN和防火墻可能是相同的設(shè)備，只要同時(shí)連接的數(shù)量可以得到管理，而不會(huì)對(duì)性能帶來(lái)顯著影響。

這種架構(gòu)已經(jīng)經(jīng)受住了時(shí)間的考驗(yàn)，現(xiàn)在大多數(shù)部署方案涉及“VPN+防火墻”或“DMZ中VPN”模式。這種模式的主要缺點(diǎn)是需要信任來(lái)自VPN平臺(tái)的流量，在很多情況下這些流量沒(méi)有進(jìn)行內(nèi)部加密。不過(guò)，傳統(tǒng)網(wǎng)絡(luò)監(jiān)控工具(入侵檢測(cè)系統(tǒng))可以監(jiān)控這種流量。

第二種VPN架構(gòu)是兩個(gè)物理位置之間的站點(diǎn)到站點(diǎn)連接，這通常配置在外圍網(wǎng)關(guān)設(shè)備(通常是路由器)之間。對(duì)于這種架構(gòu)，最關(guān)鍵的安全問(wèn)題是遠(yuǎn)程VPN平臺(tái)和網(wǎng)絡(luò)的可信度。這是因?yàn)?，這種連接通常是永久性的。

最后，還有一個(gè)所謂的內(nèi)部VPN，這是在更先進(jìn)的安全架構(gòu)中最常見(jiàn)的架構(gòu)。在這種方法中，VPN服務(wù)器作為通往關(guān)鍵網(wǎng)絡(luò)區(qū)域及系統(tǒng)的網(wǎng)關(guān)。建立內(nèi)部網(wǎng)關(guān)來(lái)控制對(duì)敏感數(shù)據(jù)和資源的訪問(wèn)可以幫助企業(yè)滿足合規(guī)要求，并可以監(jiān)控特權(quán)用戶行為。

良好VPN設(shè)計(jì)的共同屬性

不管部署哪種架構(gòu)，我們有很多配置選項(xiàng)可用于鎖定VPN平臺(tái)及其提供的功能。所有VPN部署應(yīng)該具備下面這些特性：

身份驗(yàn)證和訪問(wèn)控制：SSL VPN使用SSL/TLS證書(shū)來(lái)對(duì)端點(diǎn)進(jìn)行身份驗(yàn)證，以創(chuàng)建一個(gè)加密通道，然后通常還會(huì)提供一個(gè)web界面，支持密碼或多因素方法(令牌、客戶端證書(shū)或一次性密碼或代碼)的傳統(tǒng)身份驗(yàn)證。IPSec VPN通常預(yù)配置了網(wǎng)關(guān)和客戶端之間的身份驗(yàn)證選項(xiàng)，遠(yuǎn)程用戶可以提供用戶名和密碼、令牌代碼等來(lái)驗(yàn)證身份。

驗(yàn)證終端設(shè)備安全和可信度：在過(guò)去幾年，VPN產(chǎn)品逐漸增加了終端設(shè)備安全評(píng)估功能。很多VPN現(xiàn)在可以確定終端設(shè)備的操作系統(tǒng)、補(bǔ)丁修復(fù)水平、瀏覽器版本和安全設(shè)置，以及是否安裝了反惡意軟件(還有部署了什么簽名版本)。

機(jī)密性和完整性：SSL VPN支持分組密碼和流加密算法，包括3DES、RC4、IDEA和AES等。IPSec VPN只支持分組密碼進(jìn)行加密。這兩種類型的VPN都支持哈希密碼進(jìn)行完整性驗(yàn)證，并且都有不同的方法來(lái)檢測(cè)數(shù)據(jù)包篡改和重放攻擊—通過(guò)序列號(hào)和哈希或消息身份驗(yàn)證。