 |
前言 选择VPN的技术优势
实现网络安全很难,实现网络安全的成本很高,由于迅速发展的商业应用和商业实践在企业网基础设施上展开,各个企业都试图了解和控制与之相关的风险,使企业网络安全这个术语变得越来越流行。尽管这种状况使人感到有点担忧,但它却恰恰道出了一个事实:绝对的安全是不存在的。在公共网络基础结构上,企业使用VPN(虚拟专用网)建立起安全的、端到端的私有网络连接。使用内部或外部光纤设备以及广域网,许多企业已经建立了私有和可信任的网络基础结构,依靠物理安全提供一定程度的机密性。
当这些企业从采用昂贵的、专门的、安全的连接转而采用更低成本的因特网时,他们要求在通常认为是不安全的因特网上进行安全通信。VPN能够降低因特网传输数据的安全风险,它能够取代昂贵的专门的租用线路。从用户的观点来看,建立了隧道物理网络的性质无关紧要,因为看起来好像信息在专门的私有网络上传输。VPN隧道在IP报文分组中封装数据,传输那些需要额外安全性或者不符合因特网寻址标准的信息。
站点对站点的VPN
在一个企业网络环境中,主要有远程访问虚拟专用网、企业内部虚拟专用网和扩展的企业内部虚拟专用网。一个好的安全策略应该详细描述企业的基础结构、信息认证机制和访问权限,在很多情况下,它们将随着企业资源访问方式的改变而改变。例如,远程访问虚拟专用网中的认证机制比企业内部虚拟专用网或者扩展的企业内部虚拟专用网更加严格。
有些办事处要求在多个LAN之间共享信息,例如在两个办事处的网关设备之间通过安全VPN隧道路由使得站点通过LAN共享信息,站点到站点VPN通过VPN隧道在两个网络之间建立一对一的端点关联,其中一个单独的VPN隧道保护多台主机和文件服务器之间的通信。最简单的形式是:两台服务器或者路由器建立加密的的IP通道,确保安全的从因特网上来回传递报文分组。VPN隧道端点设备在因特网创建逻辑的点对点连接。可以在每个网关设备上配置路由器,这样报文分组就可以在VPN链路上进行路由选择。
客户端到站点VPN
当客户端要求从网络的LAN外部访问站点内部数据时,该客户端需要发起一个客户端到站点的VPN连接。这就保证了到站点的LAN的路径的安全。客户端到站点VPN是许多隧道的集合,这些隧道出口是在LAN一侧的通用共享的端点,一个或者多个客户端可以访问VPN服务器发起安全VPN连接,从一个不安全的远程位置并发的对内部数据进行安全访问,客户端从服务器那里获得一个IP地址,这样客户端看起来就好像是服务器所在LAN的成员。
有些从客户端到站点VPN解决方案使用客户端的分离隧道,这些隧道具有许多安全分支,远程客户端能够通过分离的数据路径发送数据流,而不必再经过加密的VPN隧道转发,而以明文发送的信息流通过使用过滤器来确定,但是用户需要注意其分离隧道避开了安全VPN的安全性,所以一定要慎用这个功能。
例如:许多客户端到站点VPN常常拥有一种机制,可以使得笔记本电脑用户能够安全的与企业办事处建立连接,其中一些VPN不要求用户认证机制,并且仅仅依赖设备认证。所以必须要特别谨慎,确保这些笔记本电脑的无力安全,避免发生任何危及安全的情况发生。
【责编:Zenghui】
|
相关文章
相关产品和培训
文章评论
专题推荐
今日更新
认证培训
频道精选
您现在的位置: 
佚名 
2008-1-28 
