 |
安全方面
使用VPN的目的是提供一个安全信道,以便远程用户可以存取私有网络。而允许任何类型的远程存取都会导致一定的风险,包括VPN.比方说,用户口令可能会被“破解”,从而允许未经授权的人通过VPN服务器存取网络资源。但这种风险可以通过加强口令的复杂度来降低,并通过使用两种以上的认证方式(比如智能卡)来更进一步的削减风险。
而对所有种类的VPN连接来说,另一个风险则是所谓的“分裂信道”。当远程电脑在连接公司电脑的同时,如果又同时连接到Internet的某个资源上,“分裂信道”就会发生。如果远程电脑遭受了来自Internet连接的入侵,那么入侵者就可以利用VPN信道来存取公司的网络。VPN客户端可以通过配置来阻止分裂信道的发生。
因为SSL VPN可以在公共电脑上建立,所以可能会为公司网络带来额外的风险,因为这些公共电脑并不一定都打上了最新的系统补丁或者进行了最新的系统更新,所使用的反病毒软件可能也不是最新的病毒库,而且很可能并没有使用防火墙。另外,公共电脑可能不支持两种以上的认证方式,因为它们自身没有智能卡阅读器,或直接被禁用了USB端口。
好的SSL VPN执行过程,会允许你对试图建立VPN连接公司网络的远程电脑自身的“健康状况”进行检查。这个技术让你可以设定检查标准(比如要求具备反病毒软件,防火墙,以及打上了系统最新补丁包/更新),当远程电脑达不到标准的要求时,就会阻止其向公司网络建立VPN连接。
期待SSTP
微软面向Longhorn Server以及Vista的全新SSTP VPN将有助于解决许多用户在使用PPTP以及L2TP/IPsec连接时遇到的被防火墙、代理服务器以及NAT设备拦截的问题,特别是在那些用户对这些设备没有任何配置控制权的网络上。
就像其他VPN协议一样,SSTP将通过在服务器上的RRAS(路由以及远程存取服务,Routing and Remote Access Services)进行配置。SSTP通讯使用TCP 443端口。SSTP在IPv6上的信道也将被支持;Vista和Longhorn都已经在系统中安装了IPv6,并默认启用。而多因素认证,比如智能卡或者SecurID令牌,也和RRAS远程存取策略一样,受到支持。而连接系统管理工具包(CMAK,Connection Manager Administration Kit),则可以为SSTP VPN连接建立不同的配置文件。
总结
以前,SSL VPN解决方案一般都很昂贵,因此更多的是被大型级别的企业采用。但是,现在已经出现了低价的SSL VPN设备和软件,而且微软也将在下一版本的Windows服务器以及客户端操作系统中内置SSL信道协议,因此对中小企业来说,SSL VPN已经成为一个切实可行的选择。
【责编:Zenghui】
|
相关文章
相关产品和培训
文章评论
专题推荐
今日更新
认证培训
频道精选
您现在的位置: 
佚名 
2007-8-23 
