新一轮VPN技术:进化三步曲

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

VPN的出现已经不是一朝一夕了,从IPSec到SSL,VPN经历了大量的技术演进。不过,任何一种安全技术的本质都是应用,将VPN与企业业务相结合,促进企业的边界安全。同时将业务拓展到边缘,整合外在供应链,这将促进新一轮VPN技术的进化。

  力量一:可信VPN

  VPN的初衷是提供一个安全信道,以便远程用户可以访问私有网络。但在当前的计算环境中,对于试图接入企业网络的可管理或不可管理的设备,网络管理员根本无法在其接入网络前知晓它们的来源。

  如果用户可以从一台主机通过VPN接入内网,但主机本身不安全,如已被病毒感染或另有不安全的网络连接等,将对内网带来极大威胁。

  另外,绝大部分现有的内网安全或者是内网行为控制,仅仅考虑了内部局域网的行为安全,即对局域网内的主机访问行为进行监视和控制,还没涉及到大规模跨地域的企业全网的安全问题。

  事实上,Juniper的安全专家表示:由于VPN可以在公共电脑上建立,所以可能会为公司网络带来新的风险,这一点SSL VPN表现的特别明显。另外,公共电脑可能不支持两种以上的认证方式,因为它们自身没有智能卡阅读器,或直接被禁用了USB端口。

  在这种情况下,一种基于VPN的可信专用网络TPN(Trusted Private Network)开始出现。安达通的安全专家康浩在接受采访时表示,目前TPN技术综合了网关安全和通信端点安全技术,同时利用全局的统一管理来部署,以求实现全方位、多层次的安全。

  据悉,在TPN系统中,任何一个接入网络的主机都必须通过用户验证和主机验证的强制验证机制。只有在某个主机归类为受信任主机后才可以访问相应的系统资源。基本上,受信任意味着主机的风险受到管理。这种受管状态由负责配置主机的IT管理员和用户负责。如果受信任主机管理不当,很可能成为整个解决方案的弱点。

  当主机被视为受信任主机时,其他受信任主机可以合理地假定该主机不会发起恶意操作。例如,受信任主机应期望其他受信任主机不会执行攻击它们的病毒,因为所有受信任主机都要求使用一些用来缓解病毒威胁的机制(如防病毒软件)。

  康浩强调说,这种受信任状态不是一成不变的,它仅仅是一个过渡状态,会随着企业安全标准的更改而更改,并且要不断符合那些标准。由于新的威胁和新的防御措施会不断出现,因此,组织的管理系统必须经常检查受信任主机,以保持与标准相符。此外,在需要时,这些系统必须能够发布更新或配置更改,以帮助维持受信任状态。

  据介绍,可信专用网TPN系统对经过强制验证的主机和用户,使用“用户??角色??资源”的授权机制,实现“内网威胁”、“边界威胁”、“主机威胁”和“接入威胁”的统一管理。

  当企业用户接入TPN系统防护的网络时,首先必须进行“强制身份认证”(可采用Web方式或客户端方式登录TPN系统进行身份认证),在身份认证通过后,TPN安全网关中根据该用户的资源访问权限和登录认证时该用户使用的PC机的特征(IP/端口),动态在TPN安全网关中形成“元组+时间”的动态访问控制策略。该动态访问控制策略有短期时效性,当一段时间用户没有活动后,该策略即行失效,需要重新进行强制身份认证,再次在TPN安全网关中建立针对该用户的动态访问控制策略。

  不难看出,之所以说TPN系统可以实现更加安全的VPN,就是因为它对于通过VPN接入的移动用户和远地局域网进行类似本地用户一样的访问控制。比如,当VPN用户在和总部的TPN安全网关建立起加密隧道后,总部的TPN安全网关能够对远程接入的主机进行安全评估:如果发现主机上有威胁或不满足接入总部的安全级别(如没有打补丁等),则不允许该主机接入到总部。这就是所谓的“VPN准入控制”技术。

  目前,企业通过应用这种技术,可以确保外网的威胁(如木马、病毒、攻击等)不会通过VPN用户带进内网,避免了黑客进行“跳板”攻击。并且网络管理员能够像管理本地局域网一样,对整个VPN网络进行统一的安全策略管理,实现面向全网而不仅仅是本地局域网的全网行为管理。

  此外,针对企业内网的威胁防护,TPN继承了传统的内网行为管理、网关防病毒、反垃圾邮件技术。同时,TPN将这些技术运用到整个企业网络,而不是仅仅局限在局域网内。因此,不论是VPN接入用户还是本地局域网的接入用户,TPN系统都采用 “强制身份”认证机制,没有通过认证的用户无法访问任何内/外网资源。

  针对这种新兴技术,新华人寿集团的IT经理表示,对于大型企业,可以通过借助TPN系统进行VPN控制,包括可以只允许合法的、值得信任的端点设备,如业务网点的PC、服务器、代理人的PDA接入网络,而不允许其他设备接入。而新系统中的“TPN网关”和“TPN客户端”形成联动防御体系,避免了依靠单一网关防御体系或单一客户端防御体系形成的功能瓶颈,给企业的IT部门减轻了压力。

  神州数码网络的高级产品经理王景辉曾解释说,集中安全与分布安全的边界是模糊的,正如保险企业一样,公司的信息安全与代理人的信息安全同样重要,而这才是可控VPN的魅力所在。

VPN的出现已经不是一朝一夕了,从IPSec到SSL,VPN经历了大量的技术演进。不过,任何一种安全技术的本质都是应用,将VPN与企业业务相结合,促进企业的边界安全。同时将业务拓展到边缘,整合外在供应链,这将促进新一轮VPN技术的进化。

  力量一:可信VPN

  VPN的初衷是提供一个安全信道,以便远程用户可以访问私有网络。但在当前的计算环境中,对于试图接入企业网络的可管理或不可管理的设备,网络管理员根本无法在其接入网络前知晓它们的来源。

  如果用户可以从一台主机通过VPN接入内网,但主机本身不安全,如已被病毒感染或另有不安全的网络连接等,将对内网带来极大威胁。

  另外,绝大部分现有的内网安全或者是内网行为控制,仅仅考虑了内部局域网的行为安全,即对局域网内的主机访问行为进行监视和控制,还没涉及到大规模跨地域的企业全网的安全问题。

  事实上,Juniper的安全专家表示:由于VPN可以在公共电脑上建立,所以可能会为公司网络带来新的风险,这一点SSL VPN表现的特别明显。另外,公共电脑可能不支持两种以上的认证方式,因为它们自身没有智能卡阅读器,或直接被禁用了USB端口。

  在这种情况下,一种基于VPN的可信专用网络TPN(Trusted Private Network)开始出现。安达通的安全专家康浩在接受采访时表示,目前TPN技术综合了网关安全和通信端点安全技术,同时利用全局的统一管理来部署,以求实现全方位、多层次的安全。

  据悉,在TPN系统中,任何一个接入网络的主机都必须通过用户验证和主机验证的强制验证机制。只有在某个主机归类为受信任主机后才可以访问相应的系统资源。基本上,受信任意味着主机的风险受到管理。这种受管状态由负责配置主机的IT管理员和用户负责。如果受信任主机管理不当,很可能成为整个解决方案的弱点。

  当主机被视为受信任主机时,其他受信任主机可以合理地假定该主机不会发起恶意操作。例如,受信任主机应期望其他受信任主机不会执行攻击它们的病毒,因为所有受信任主机都要求使用一些用来缓解病毒威胁的机制(如防病毒软件)。

  康浩强调说,这种受信任状态不是一成不变的,它仅仅是一个过渡状态,会随着企业安全标准的更改而更改,并且要不断符合那些标准。由于新的威胁和新的防御措施会不断出现,因此,组织的管理系统必须经常检查受信任主机,以保持与标准相符。此外,在需要时,这些系统必须能够发布更新或配置更改,以帮助维持受信任状态。

  据介绍,可信专用网TPN系统对经过强制验证的主机和用户,使用“用户??角色??资源”的授权机制,实现“内网威胁”、“边界威胁”、“主机威胁”和“接入威胁”的统一管理。

  当企业用户接入TPN系统防护的网络时,首先必须进行“强制身份认证”(可采用Web方式或客户端方式登录TPN系统进行身份认证),在身份认证通过后,TPN安全网关中根据该用户的资源访问权限和登录认证时该用户使用的PC机的特征(IP/端口),动态在TPN安全网关中形成“元组+时间”的动态访问控制策略。该动态访问控制策略有短期时效性,当一段时间用户没有活动后,该策略即行失效,需要重新进行强制身份认证,再次在TPN安全网关中建立针对该用户的动态访问控制策略。

  不难看出,之所以说TPN系统可以实现更加安全的VPN,就是因为它对于通过VPN接入的移动用户和远地局域网进行类似本地用户一样的访问控制。比如,当VPN用户在和总部的TPN安全网关建立起加密隧道后,总部的TPN安全网关能够对远程接入的主机进行安全评估:如果发现主机上有威胁或不满足接入总部的安全级别(如没有打补丁等),则不允许该主机接入到总部。这就是所谓的“VPN准入控制”技术。

  目前,企业通过应用这种技术,可以确保外网的威胁(如木马、病毒、攻击等)不会通过VPN用户带进内网,避免了黑客进行“跳板”攻击。并且网络管理员能够像管理本地局域网一样,对整个VPN网络进行统一的安全策略管理,实现面向全网而不仅仅是本地局域网的全网行为管理。

  此外,针对企业内网的威胁防护,TPN继承了传统的内网行为管理、网关防病毒、反垃圾邮件技术。同时,TPN将这些技术运用到整个企业网络,而不是仅仅局限在局域网内。因此,不论是VPN接入用户还是本地局域网的接入用户,TPN系统都采用 “强制身份”认证机制,没有通过认证的用户无法访问任何内/外网资源。

  针对这种新兴技术,新华人寿集团的IT经理表示,对于大型企业,可以通过借助TPN系统进行VPN控制,包括可以只允许合法的、值得信任的端点设备,如业务网点的PC、服务器、代理人的PDA接入网络,而不允许其他设备接入。而新系统中的“TPN网关”和“TPN客户端”形成联动防御体系,避免了依靠单一网关防御体系或单一客户端防御体系形成的功能瓶颈,给企业的IT部门减轻了压力。

  神州数码网络的高级产品经理王景辉曾解释说,集中安全与分布安全的边界是模糊的,正如保险企业一样,公司的信息安全与代理人的信息安全同样重要,而这才是可控VPN的魅力所在。

力量三:与ERP做整合
  
  无论是内网还是远端,VPN技术的发展一直面向企业应用,而由此也引发了VPN与ERP系统的整合。

  据记者调查,VPN的整合化趋势早在三年前就已经开始,只不过当时的技术与部署条件还不完美。从目前的趋势看,VPN与ERP的整合已经在不少大型企业和政府机构得以实现。

  侠诺科技行销总监张建清建议,企业的IT人员应该关注一下VPN与ERP的整合过程。因为一直以来,ERP都是企业解决业务扩展与分支机构增多的工具,包括渠道、合作伙伴、远程或移动办公种种需求,都属于ERP管理的范畴,或者说是业务系统的一部分。

  从技术上分析,ERP的远程管理模块与VPN整合,可以实现基于业务的远程安全访问。据王景辉介绍,无论是B/S模式还是C/S模式的系统,都可以利用SSL VPN或者IPSec VPN进行整合。不过要注意的是,在C/S模式下客户端和服务器之间不一定使用TCP/IP协议,链路所需带宽通常在100K-500Kbps范围,C/S架构往往从局域网角度开发。实际上,若没做优化,所需带宽可能大到3-5Mbps。因此,在这种情况下,对于VPN的吞吐能力有较高要求。

  另外,在对企业应用的支持上,王景辉认为IPSec和SSL对ERP的支持有所不同,有些时候甚至大相径庭。首先,当用户们试图在饭店里或者其他类似所在地建立VPN连接ERP系统时,常常会碰到的一个问题是一些网络或者防火墙的管理员关闭了VPN协议所使用的端口。不过,由于绝大多数网络都会允许进行安全HTTPS通信,所以这种情况下,SSL VPN依旧能够正常工作,而其他的VPN协议就无能为力了。但另一方面,他也强调,使用SSL VPN自然也就无法获得使用其他传统VPN技术所能获得的相应存取级别权限。

  另外,根据经验,IPSec在IP层对数据进行加密,因此它可以对终端站点间所有的传输数据进行保护,而不管是哪类业务应用。换句话说,不论是企业分支机构还是上下游供应链,利用IPSec都能够在不同局域网之间以及远程客户端与中心节点之间建立安全的传输通道,因此,对于传统上的ERP支持较广。

  需要强调的是,由于ERP环境中用户数据在被加密后仍然在公网上传输,因此加密技术非常重要,它直接影响到用户数据的安全。而IPSec是在这方面做的比较好的一种技术。

  相对而言,SSL属于应用层协议,它的优势主要集中在VPN客户端的部署和管理上,基本无须安装客户端。这样做的好处是,如果企业开展了基于B/S结构的ERP应用,用户可以直接使用浏览器完成SSL的VPN建立。

  不过这种模式也有局限性。因为对于非Web页面的业务访问,SSL往往要借助于应用转换。特别是有些SSL VPN产品所能支持的应用转换器和代理的数量非常少,而有些连基本的FTP和微软文件服务器的应用转换都不支持。这个特点决定了基于SSL VPN开展ERP应用,无法形成局域网对局域网的应用,因此在企业上下游供应链的整合上存在挑战。

  在ERP与VPN的部署上,江苏省粮食局的应用最有代表性。该局领导在接受采访时表示,粮食局在当初建立ERP系统的时候就发现,由于下辖粮库分散在全省各地,信息的收集相对烦琐。而基于信息安全考虑,最初的想法就是将ERP的信息采集与VPN相结合。据悉,粮食局IT负责人已表示,省局下辖的几十个地方粮库和多个地市分局,已利用统一的IPSec VPN网络,成功实现了与ERP局端的安全对接与数据采集。

  对此王景辉表示:很多企业都希望能够借助安全服务提升效率与竞争力,类似粮食局这种具备“分散型、高安全业务”特点的企业,都应该利用VPN技术建立一个防护??检测??响应体系,可以涵盖内部的业务系统甚至是后期的内网安全。

新型VPN一览
■ 可信专用网络TPN
● 使用“用户??角色??资源”的授权机制
● 采用“强制身份认证”技术
● 对接入的移动用户和远程局域网进行类似本地用户一样的访问控制
● 可以确保外网的威胁不会通过VPN用户带进内网
■ 点对点SSL VPN
● 可以实现两点间的安全连接
● 为企业提供了更加灵活的接入模式
● 在两点间实现基于角色和特定应用访问的安全控制
● 具备网络间独立的双向加密通道
● 提高了企业的管理效率并节约成本
■ SSTP建立连接的七个步骤
● 客户端通过Internet和服务器建立TCP连接
● 当这个TCP会话开始之初,将进行SSL协商
● 客户端将通过加密的SSL进行会话
● 通过HTTPS会话,SSTP协议将开始运作
● 在PPP会话的初始将进行验证
● SSTP在客户端和服务器通过VPN连接接口进行通信
● 客户端和服务器通过SSTP进行VPN通信
■ VPN与ERP整合
● VPN与ERP的整合已经在一些大型企业和政府机构中实现
● 整合可以实现基于业务的远程安全访问
● 整合不区分B/S或C/S模式的业务系统
● IPSec VPN和SSL VPN对企业ERP的支持有所不同
● SSL VPN与企业ERP整合时难以获得相应存取级别权限

 

  编看编想

  企业需要什么样的VPN


  用安全服务提升企业竞争力,将VPN与企业业务相结合,这已经成为了2007年的VPN主旋律。对于各类传统与新兴的VPN技术,企业必须根据自己的需求进行取舍。

  首先,传统的VPN协议非PPTP(点对点隧道协议)莫属。PPTP服务内置在Windows Server系统之中,从NT直到Longhorn都有,这样,企业用户就可以自行建立一个PPTP服务器。

  其次,企业分支机构和总部互联使用最多的,是使用IPSec加密的L2TP VPN。L2TP/IPsec VPN服务和客户端被内置在Windows 2000 Server以及更高版本之中。

  当然,大量基于IPSec的第三方VPN也不能忽视。Array Networks、Juniper、深信服、神州数码网络等都提供这类产品。

  最后,发展较快的是基于SSL的VPN解决方案。目前基于SSL的VPN设备以及软件可以从多个源头获得,而即将发布的微软下一版本服务器操作系统将会提供一个全新的SSTP协议。

标签: https ssl ssl vpn 安全 标准 防火墙 服务器 服务器操作系统 企业 权限 通信 网络 问题 信息安全 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:苹果承认BootCamp与微软Vista存在兼容问题

下一篇:微软推4月安全更新 Office三项漏洞没修补