由於 VPN 低廉的使用成本和良好的安全性,許多大型企業及其分佈在各地的辦事處或分支機構成瞭 VPN 順理成章的用戶群。對於那些最需要 VPN 業務的中小企業來說,一樣有適合的 VPN 策略。當然,不論何種 VPN 策略,它們都有一個基本目標:在提供與現有專用網絡基礎設施相當或更高的可管理性、可擴展性以及簡單性的基礎之上,進一步擴展公司的網絡連接。
1 .大型企業自建 VPN
大型企業用戶由於有雄厚的資金投入做保證,可以自己建立 VPN ,將 VPN 設備安裝在其總部和分支機構中,將各個機構低成本且安全地連接在一起。企業建立自己的 VPN ,最大優勢在於高控制性,尤其是基於安全基礎之上的控制。一個內部 VPN 能使企業對所有的安全認證、網絡系統以及網絡訪問情況進行控制,建立端到端的安全結構,集成和協調現有的內部安全技術。
企業還可以確保得到業內最好的技術以滿足自身的特殊需要,這要優於 ISP 所提供的普通服務。而且,建立內部 VPN 能使企業有效節省 VPN 的運作費用。企業可以節省用於外包管理設備的額外費用,並且能將現有的遠程訪問和端到端的網絡集成起來,以獲取最佳性價比的 VPN .
雖然 VPN 外包能避免技術過時,但並不意味著企業可以節省開支。因為,企業最終還要為高額產品支付費用,以作為使用新技術的代價。雖然 VPN 外包可以簡化企業網絡部署,但這同樣降低瞭企業對公司網的控制等級。網絡越大,企業就越依賴於外包 VPN 供應商。因此,自建 VPN 是大型企業的最好選擇。
2 .中小型企業外包 VPN
雖然每個中小型企業都是相對集中和固定的,但是部門與部門之間、企業與其業務相關企業之間的聯系依然需要廉價而安全的信息溝通,在這種情況下就用得上 VPN .電信企業、 IDC 目前提供的 VPN 服務,更多的是面向中小企業,因為可以整合現有資源,包括網絡優勢、托管和技術力量來為中小企業提供整體的服務。中小型企業如果自己購買 VPN 設備,則財務成本較高,而且一般中小型企業的 IT 人員短缺、技能水平不足、資金能力有限,不足以支持 VPN ,所以,外包 VPN 是較好的選擇。
* 外包 VPN 比企業自己動手建立 VPN 要快得多,也更為容易。
* 外包 VPN 的可擴展性很強,易於企業管理。有統計表明,使用外包 VPN 方式的企業,可以支持多於 2300 名用戶,而內部 VPN 平均隻能支持大約 150 名用戶。而且,隨著用戶數目的增長,對用於監控、管理、提供 IT 資源和人力資源的要求也將呈指數增長。
* 企業 VPN 必須將安全和性能結合在一起,然而,實際情況中兩者不能兼顧。例如,對安全加密級別的配置經常降低 VPN 的整體性能。而通過提供 VPN 外包業務的專業 ISP 的統一管理,可大大提高 VPN 的性能和安全。 ISP 的 VPN 專傢還可幫助企業進行 VPN 決策。
* 對服務水平協議( SLA )的改進和服務質量( QoS )保證,為企業外包 VPN 方式提供瞭進一步的保證。
三 .VPN 安全技術
由於傳輸的是私有信息, VPN 用戶對數據的安全性都比較關心。目前 VPN 主要采用四項技術來保證安全,這四項技術分別是隧道技術( Tunneling )、加解密技術( Encryption Decryption )、密鑰管理技術( Key Management )、使用者與設備身份認證技術( Authentication )。
1. 隧道技術是 VPN 的基本技術,類似於點對點連接技術,它在公用網建立一條數據通道(隧道),讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的,分為第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到 PPP 中,再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有 L2F 、 PPTP 、 L2TP 等。 L2TP 協議是目前 IETF 的標準,由 IETF 融合 PPTP 與 L2F 而形成。第三層隧道協議是把各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有 VTP 、 IPSec 等。 IPSec ( IP Security )是由一組 RFC 文檔組成,定義瞭一個系統來提供安全協議選擇、安全算法,確定服務所使用密鑰等服務,從而在 IP 層提供安全保台灣商標申請障。
2. 加解密技術是數據通信中一項較成熟的技術, VPN 可直接利用現有技術。
3. 密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為 SKIP 與 ISAKMP/OAKLEY 兩種。 SKIP 主要是利用 Diffie-Hellman 的演算法則,在網絡上傳輸密鑰;在 ISAKMP 中,雙方都有兩把密鑰,分別用於公用、私用。
4. 身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。
四 . 堵住安全漏洞
安全問題是 VPN 的核心問題。目前, VPN 的安全保證主要是通過防火墻技術、路由器配以隧道技術、加密協議和安全密鑰來實現的,可以保證企業員工安全地訪問公司網絡。但是,如果一個企業的 VPN 需要擴展到遠程訪問時,就要註意,這些對公司網直接或始終在線的連接將會是黑客攻擊的主要目標。因為,遠程工作員工通過防火墻之外的個人計算機可以接觸到公司預算、戰略計劃以及工程項目等核心內容,這就構成瞭公司安全防禦系統中的弱點。雖然,員工可以雙倍地提高工作效率,並減少在交通上所花費的時間,但同時也為黑客、競爭對手以及商業間諜提供瞭無數進入公司網絡核心的機會。但是,企業並沒有對遠距離工作的安全性予以足夠的重視。大多數公司認為,公司網絡處於一道網台中申請商標費用絡防火墻之後是安全的,員工可以撥號進入系統,而防火墻會將一切非法請求拒之其外;還有一些網絡管理員認為,為網絡建立防火墻並為員工提供 VPN ,使他們可以通過一個加密的隧道撥號進入公司網絡就是安全的。這些看法都是不對的。
在傢辦公是不錯,但從安全的觀點來看,它是一種極大的威脅,因為,公司使用的大多數安全軟件並沒有為傢用計算機提供保護。一些員工所做的僅僅是進入一臺傢用計算機,跟隨它通過一條授權的連接進入公司網絡系統。雖然,公司的防火墻可以將侵入者隔離在外,並保證主要辦公室和傢庭辦公室之間 VPN 的信息安全。但問題在於,侵入者可以通過一個被信任的用戶進入網絡。因此,加密的隧道是安全的,連接也是正確的,但這並不意味著傢庭計算機是安全的。
黑客為瞭侵入員工的傢用計算機,需要探測 IP 地址。有統計表明,使用撥號連接的 IP 地址幾乎每天都受到黑客的掃描。因此,如果在傢辦公人員具有一條諸如 DSL 的不間斷連接鏈路(通常這種連接具有一個固定的 IP 地址),會使黑客的入侵更為容易。因為,撥號連接在每次接入時都被分配不同的 IP 地址,雖然它也能被侵入,但相對要困難一些。一旦黑客侵入瞭傢庭計算機,他便能夠遠程運行員工的 VPN 客戶端軟件。因此,必須有相應的解決方案堵住遠程訪問 VPN 的安全漏洞,使員工與網絡的連接既能充分體現 VPN 的優點,又不會成為安全的威脅。在個人計算機上安裝個人防火墻是極為有效的解決方法,它可以使非法侵入者不能進入公司網絡。當然,還有一些提供給遠程工作人員的實際解決方法:
* 所有遠程工作人員必須被批準使用 VPN ;
* 所有遠程工作人員需要有個人防火墻,它不僅防止計算機被侵入,還能記錄連接被掃描瞭多少次;
* 所有的遠程工作人員應具有入侵檢測系統,提供對黑客攻擊信息的記錄;
* 監控安裝在遠端系統中的軟件,並將其限制隻能在工作中使用;
* IT 人員需要對這些系統進行與辦公室系統同樣的定期性預定檢查;
* 外出工作人員應對敏感文件進行加密;
* 安裝要求輸入密碼的訪問控制程序,如果輸入密碼錯誤,則通過 Modem 向系統管理員發出警報
* 當選擇 DSL 供應商時,應選擇能夠提供安全防護功能的供應商。
上一頁1如何申請註冊商標台中2下一頁
- 台灣商標申請 【註冊商標達人推薦】台灣商標註冊代辦注意事項~讓我們告訴你
- 如何申請商標台中 【註冊商標達人推薦】台灣申請商標該找誰呢?推薦事務所
- 台灣商標查詢 【註冊商標達人推薦】台灣申請商標該找誰呢?推薦事務所
文章標籤
全站熱搜
留言列表
