远程接入VPN能够通过互联网建立加密隧道,以保护对公司资源的访问。随着互联网的不断普及,以及当今VPN技术的快速发展,各机构能够经济、高效并安全地将其网络扩展到任意时间、任意地点和任何人。
由于下述原因,VPN已经变成了远程接入的逻辑解决方案:
• 利用对员工、合同商或合作伙伴等每类用户的定制权限,提供安全通信;
• 扩展公司网络和应用,提高生产率;
• 降低通信成本,提高灵活性。
如何合理部署\选择IPsec 或 SSL VPN?
部署远程接入VPN主要有两种方法:IP Security(IPsec)和安全套接字层(SSL)。根据用户和机构IT流程的接入要求,两种方法都各有千秋。与提供IPsec或SSL的很多解决方案不同,思科®远程接入VPN解决方案能够利用统一管理,将两种技术集成在同一个平台上。由于该解决方案能够同时提供IPsec 和 VPN技术,因此,各机构不需要增加硬件或管理复杂性就能够定制自己的远程接入VPN。
IPsec 和SSL VPN 技术都能提供对所有网络应用或资源的访问。SSL VPN 还提供其它特性,例如从非公司管理的桌面建立连接,几乎不需要维护桌面软件,以及可以利用用户定制的Web门户登录等。这两种技术的比较如表1所示。
表1 IPsec 与 SSL VPN 技术的比较
|
|
特性
|
|
应用与网络资源访问
|
SSL(使用全面网络接入)和IPsec VPN 几乎能够提供对所有应用或网络资源的访问。
|
|
最终用户接入方法
|
|
|
最终用户访问设备选择
|
|
|
桌面软件要求
|
|
|
桌面软件更新
|
|
|
可定制用户接入
|
|
IPsec 是一种已经被最终用户接受的广为部署的技术,已经建立了IT部署支持流程。很多机构都发现,IPsec 完全能够满足用户的要求。但是,由于SSL VPN 不但配备了能够自我更新的动态桌面软件,允许从非公司管理的桌面接入,并支持高度可定制的用户访问,而且能降低远程接入VPN的运作成本,并能够将网络接入扩展到合同商和商业合作伙伴等难以服务的用户,因而逐渐受到了各机构的欢迎。因此,很多机构通常同时部署SSL 和IPsec 技术。一般情况下,会在原有安装的基础上继续保留IPsec,而新用户、具有"任意"接入要求的用户、合同商以及外部业务合作伙伴则部署SSL。由于思科远程接入VPN 解决方案能够在同一个平台上提供两种技术,因而使客户更容易作出选择--只需要根据部署和运作环境选择最适当的技术即可。评估哪种VPN技术最适合自身的运作环境时应考虑的问题如表2所示。
表2 选择远程接入VPN技术
|
|
SSL VPN
|
IPsec VPN
|
|
从非公司管理的设备实现“任意”接入,例如员工拥有的桌面和互联网接入点
|
×
|
|
|
业务合作伙伴接入
|
×
|
|
|
用户可定制接入门户
|
×
|
|
|
减轻桌面支持和软件分发负担
|
×
|
|
|
最大程度地为最终用户提高灵活性
|
×
|
×
|
|
最大程度地提高VPN客户端可定制性
|
|
×
|
|
保留现有IT部署和支持流程
|
|
×
|
远程接入VPN的安全问题如何?
蠕虫、病毒、间谍件、黑客、数据盗窃和应用滥用都是当今网络中最严重的安全问题。由于VPN的设计和部署存在缺陷,因此远程接入和远程机构VPN连接是这些网络威胁的常用侵入点。对于新旧IPsec和SSL VPN安装,VPN在部署时通常都没有考虑端点和网络的安全性。未加保护或不完整的VPN安全性可能会引发以下网络威胁:
• 远程用户VPN会话可能会将坏件带入主办公网络,致使病毒感染其他用户和网络服务器;
• 用户可能会产生不需要的应用流量,例如对等文件共享,并进入主办公网络,减慢网络流量的传输,并消耗昂贵的广域网带宽;
• 使VPN用户桌面的敏感信息被窃,例如下载客户数据;
• 黑客可能会窃取远程接入VPN会话,像合法用户那样访问网络。
为抵御这些威胁,作为VPN部署的一部分,用户桌面以及与用户连接的VPN网关必须提供适当的保护。用户桌面应当采取端点安全措施,例如为VPN会话过程中产生或下载的数据和文件提供数据安全性、防间谍件、防病毒和部署个人防火墙。VPN网关应当提供集成式防火墙、防病毒、防间谍件和入侵防御。如果VPN网关不提供这些安全功能,可以在VPN网关附近部署独立的安全设备,以提供适当的保护。
思科远程接入VPN解决方案利用完全防火墙、防病毒、防间谍件、入侵防御、应用控制和完全端点安全功能提供威胁防御VPN服务。这些安全服务集成到VPN平台中,既能提供威胁防御VPN解决方案,又不会增加设备、设计、部署或运作的复杂性。
保护远程接入VPN的步骤是什么?
消除蠕虫、病毒和间谍软件等坏件,以及预防应用滥用、数据被盗和黑客袭击的各种技术已经存在于很多机构网络的安全基础设施中。但是,多数情况下,由于对VPN流量进行了本地加密,因而无法保护远程接入VPN。尽管可以购买和安装其它安全设备,以保护VPN的安全,但保护远程接入VPN流量的最经济高效的方法是,查找作为产品集成的一部分,提供本地坏件防御和应用防火墙服务的VPN网关(见图1)。
图1 保护远程接入VPN--集成在VPN网关上的外部安全设备或安全服务
思科远程接入VPN解决方案
思科系统®公司为大、中、小型机构提供多种远程接入VPN解决方案。思科远程接入解决方案在Cisco ASA 5500 系列 VPN 版和思科集成多业务路由器上运行,包括不需要预装桌面VPN软件的基于Web的无客户端接入和全面网络接入;可以预防坏件和黑客,经济高效且不需要隐秘的"按特性收费"许可证的威胁防御VPN;以及同时针对SSL和IPSec VPN,能够从一个平台提供强大远程接入和站点到站点VPN服务的单设备解决方案。
Cisco ASA 5500 系列安全设备是思科非常先进的SSL VPN解决方案,通过集成式负载均衡,每台设备的并发用户会话数能够从10扩展到5000,每个集群的会话数可以扩展到数万个。ASA 5500将VPN服务与全面威胁防御技术结合在一起,不但能提供高度可定制的远程网络接入,还能提供完全受保护的连接。
思科集成多业务路由器使各机构能够利用现有路由器同时向100个用户提供核心SSL VPN功能。它将安全性、业内领先的路由以及融合数据、语音和无线与Cisco IOS® WebVPN集成在一起,能够为中小企业和机构提供高度可管理的经济高效的网络解决方案。
