数据库备份恢复策略

VPN的出现已经不是一朝一夕了，从IPSec到SSL，VPN经历了大量的技术演进。不过，任何一种安全技术的本质都是应用，将VPN与企业业务相结合，促进企业的边界安全。同时将业务拓展到边缘，整合外在供应链，这将促进新一轮VPN技术的进化。

　　力量一：可信VPN

　　VPN的初衷是提供一个安全信道，以便远程用户可以访问私有网络。但在当前的计算环境中，对于试图接入企业网络的可管理或不可管理的设备，网络管理员根本无法在其接入网络前知晓它们的来源。

　　如果用户可以从一台主机通过VPN接入内网，但主机本身不安全，如已被病毒感染或另有不安全的网络连接等，将对内网带来极大威胁。

　　另外，绝大部分现有的内网安全或者是内网行为控制，仅仅考虑了内部局域网的行为安全，即对局域网内的主机访问行为进行监视和控制，还没涉及到大规模跨地域的企业全网的安全问题。

　　事实上，Juniper的安全专家表示：由于VPN可以在公共电脑上建立，所以可能会为公司网络带来新的风险，这一点SSL VPN表现的特别明显。另外，公共电脑可能不支持两种以上的认证方式，因为它们自身没有智能卡阅读器，或直接被禁用了USB端口。

　　在这种情况下，一种基于VPN的可信专用网络TPN（Trusted Private Network）开始出现。安达通的安全专家康浩在接受采访时表示，目前TPN技术综合了网关安全和通信端点安全技术，同时利用全局的统一管理来部署，以求实现全方位、多层次的安全。

　　据悉，在TPN系统中，任何一个接入网络的主机都必须通过用户验证和主机验证的强制验证机制。只有在某个主机归类为受信任主机后才可以访问相应的系统资源。基本上，受信任意味着主机的风险受到管理。这种受管状态由负责配置主机的IT管理员和用户负责。如果受信任主机管理不当，很可能成为整个解决方案的弱点。

　　当主机被视为受信任主机时，其他受信任主机可以合理地假定该主机不会发起恶意操作。例如，受信任主机应期望其他受信任主机不会执行攻击它们的病毒，因为所有受信任主机都要求使用一些用来缓解病毒威胁的机制（如防病毒软件）。

　　康浩强调说，这种受信任状态不是一成不变的，它仅仅是一个过渡状态，会随着企业安全标准的更改而更改，并且要不断符合那些标准。由于新的威胁和新的防御措施会不断出现，因此，组织的管理系统必须经常检查受信任主机，以保持与标准相符。此外，在需要时，这些系统必须能够发布更新或配置更改，以帮助维持受信任状态。

　　据介绍，可信专用网TPN系统对经过强制验证的主机和用户，使用“用户??角色??资源”的授权机制，实现“内网威胁”、“边界威胁”、“主机威胁”和“接入威胁”的统一管理。

　　当企业用户接入TPN系统防护的网络时，首先必须进行“强制身份认证”（可采用Web方式或客户端方式登录TPN系统进行身份认证），在身份认证通过后，TPN安全网关中根据该用户的资源访问权限和登录认证时该用户使用的PC机的特征（IP/端口），动态在TPN安全网关中形成“元组+时间”的动态访问控制策略。该动态访问控制策略有短期时效性，当一段时间用户没有活动后，该策略即行失效，需要重新进行强制身份认证，再次在TPN安全网关中建立针对该用户的动态访问控制策略。

　　不难看出，之所以说TPN系统可以实现更加安全的VPN，就是因为它对于通过VPN接入的移动用户和远地局域网进行类似本地用户一样的访问控制。比如，当VPN用户在和总部的TPN安全网关建立起加密隧道后，总部的TPN安全网关能够对远程接入的主机进行安全评估：如果发现主机上有威胁或不满足接入总部的安全级别（如没有打补丁等），则不允许该主机接入到总部。这就是所谓的“VPN准入控制”技术。

　　目前，企业通过应用这种技术，可以确保外网的威胁（如木马、病毒、攻击等）不会通过VPN用户带进内网，避免了黑客进行“跳板”攻击。并且网络管理员能够像管理本地局域网一样，对整个VPN网络进行统一的安全策略管理，实现面向全网而不仅仅是本地局域网的全网行为管理。

　　此外，针对企业内网的威胁防护，TPN继承了传统的内网行为管理、网关防病毒、反垃圾邮件技术。同时，TPN将这些技术运用到整个企业网络，而不是仅仅局限在局域网内。因此，不论是VPN接入用户还是本地局域网的接入用户，TPN系统都采用 “强制身份”认证机制，没有通过认证的用户无法访问任何内/外网资源。

　　针对这种新兴技术，新华人寿集团的IT经理表示，对于大型企业，可以通过借助TPN系统进行VPN控制，包括可以只允许合法的、值得信任的端点设备，如业务网点的PC、服务器、代理人的PDA接入网络，而不允许其他设备接入。而新系统中的“TPN网关”和“TPN客户端”形成联动防御体系，避免了依靠单一网关防御体系或单一客户端防御体系形成的功能瓶颈，给企业的IT部门减轻了压力。

　　神州数码网络的高级产品经理王景辉曾解释说，集中安全与分布安全的边界是模糊的，正如保险企业一样，公司的信息安全与代理人的信息安全同样重要，而这才是可控VPN的魅力所在。

力量二：SSL VPN的两个突破
　　
　　SSL VPN在今年出现了两个重大突破。首先，在去年美国微软公司宣布，成功收购了在VPN和远程安全接入产品方面具有领先优势的专业厂商Whale公司之后，微软在今年的Windows Vista系统中就推出了新的VPN协议??安全套接字隧道协议SSTP（Secure Socket Tunneling Protocol）。

　　据悉，新的SSTP协议以SSL为基础，它将会出现在即将到来的Windows Longhron Server Beta3以及Windows Vista SP1中。微软的安全专家表示，SSTP将会用来替代PPTP和L2TP协议，以提高VPN访问的灵活性。

　　其实，很多企业用户在使用PPTP和L2TP协议进行VPN连接的时候，都会遇到过VPN连接不能正常工作的情况，很多时候是因为防火墙或者NAT路由器没有开放PPTP GRE或者L2TP ESP的端口。对于用户来说，这样的VPN连接体验肯定是不好的。企业用户希望的是VPN连接就像IE连接一样好用，而SSTP就是为了解决这样的问题而出现的。

　　据微软的工程师介绍，为了避开防火墙或者NAT对VPN连接的影响，SSTP通过HTTPS（SSL）建立VPN隧道，大部分防火墙是允许出方向的SSL访问通过的。但是SSTP并不支持站点到站点的VPN，只适合于客户端到站点的远程访问连接。

　　此外，作为SSTP协议的支持者，王景辉为记者描述了在一个标准的SSTP协议中进行VPN连接的七个步骤：

　　第一，客户端通过Internet和服务器建立TCP连接，这个连接是通过TCP端口443进行的。假定客户端的IP地址是100.100.100.1，服务器的IP地址就是200.200.200.1。

　　第二，当这个TCP会话开始之初，将进行SSL协商。通过SSL协商过程，客户端将获取并验证服务器的证书（如果验证失败，连接将终止）。在这个过程中，服务器并不验证客户端的身份。

　　第三，客户端将通过加密的SSL会话，往服务器发送HTTPS请求。

　　第四，通过HTTPS会话，SSTP协议将开始运作，客户端将发送SSTP控制数据包，在客户端和服务器上开启SSTP状态机，然后将在PPP层建立链路通信。

　　第五，在PPP会话（这个会话建立于SSTP over HTTPS之上）的初始将进行PPP验证，验证的方法取决于验证算法，一般情况下，此时服务器将验证客户端的身份，而客户端对服务器的身份验证是可选的。

　　第六，PPP验证结束后，SSTP将在客户端和服务器通过VPN连接接口进行通信，该接口将使用“内部IP”，比如客户端为192.168.1.2，服务器为192.168.1.1。这个IP地址是在RRAS服务器上进行配置，用来访问公司的内部网络。

　　第七，客户端和服务器通过SSTP进行VPN通信，发送数据包。假设客户端（192.168.1.2）需要发送一个数据包到服务器（192.168.1.1），此时SSTP将提交此数据包到SSL层进行加密，然后SSL层添加新的数据包头部（源地址为100.100.100.1，目的地址为200.200.200.1），通过Internet连接接口将数据包发往服务器。

　　其实在很多方面，SSTP和其他VPN协议一样，都将通过在服务器上的RRAS（路由以及远程访问服务）进行配置。目前，SSTP通讯默认使用TCP 443端口。SSTP在IPv6上的信道也将被支持。

　　据微软透露，Vista和Longhorn都已经在系统中安装了IPv6，并默认启用。而多因素认证，比如智能卡或者SecurID令牌，也和RRAS远程访问策略一样，受到支持。而连接系统管理工具包（CMAK）则可以为SSTP VPN连接建立不同的配置文件。

　　而王景辉的看法是，SSTP协议集成了对NAP的支持，同时也支持IPv6。此外，SSTP使用的是单通道的HTTPS连接，相比于传统的多通道实现，有更好的网络利用率，以及更佳的负载均衡性能。不过他也认为，目前SSTP还不是一个标准，将来肯定还有一段路需要走。

　　SSL VPN的另一大突破就是迎来了“点对点”（Site2Site）的时代。以SSL为基础的点对点VPN技术最早出现在今年的RSA大会上。应该说，新技术打破了长久以来只能通过IPSec才能实现的两点间安全访问的唯一方式，为企业用户提供了一个更加灵活的点对点安全接入模式，确保了“将应用延展到网络”的可能性。

　　Array Networks的首席技术官徐乃丁博士在接受记者采访时表示，传统的IPSec VPN一直是点对点VPN的唯一选择，但这种方法已不能满足现在商业环境下的企业需求??即如何使两个基于不同网络和IP地址规则的企业间打通一个隧道，以及如何在两点间实现基于角色和特定应用访问的安全控制，一直是IPSec VPN无法实现的缺憾。

　　相比之下，新的点对点SSL VPN技术为用户、主机、任意两个或者更多站点之间的网络建立独立的双向加密通道，而企业的网管则不用担心内网的安全问题。同时，网络管理员可以在一个地点实现对全局用户安全访问权限的设置与控制，不再需要为同一用户定义多个访问控制策略，同时也可以不再考虑在核心交换器、SSL VPN装置和接入层交换器上设定和维持访问控制列表（ACL）。无疑，这种技术大大提高了管理效率，节约了企业的管理成本。

力量三：与ERP做整合
　　
　　无论是内网还是远端，VPN技术的发展一直面向企业应用，而由此也引发了VPN与ERP系统的整合。

　　据记者调查，VPN的整合化趋势早在三年前就已经开始，只不过当时的技术与部署条件还不完美。从目前的趋势看，VPN与ERP的整合已经在不少大型企业和政府机构得以实现。

　　侠诺科技行销总监张建清建议，企业的IT人员应该关注一下VPN与ERP的整合过程。因为一直以来，ERP都是企业解决业务扩展与分支机构增多的工具，包括渠道、合作伙伴、远程或移动办公种种需求，都属于ERP管理的范畴，或者说是业务系统的一部分。

　　从技术上分析，ERP的远程管理模块与VPN整合，可以实现基于业务的远程安全访问。据王景辉介绍，无论是B/S模式还是C/S模式的系统，都可以利用SSL VPN或者IPSec VPN进行整合。不过要注意的是，在C/S模式下客户端和服务器之间不一定使用TCP/IP协议，链路所需带宽通常在100K-500Kbps范围，C/S架构往往从局域网角度开发。实际上，若没做优化，所需带宽可能大到3-5Mbps。因此，在这种情况下，对于VPN的吞吐能力有较高要求。

　　另外，在对企业应用的支持上，王景辉认为IPSec和SSL对ERP的支持有所不同，有些时候甚至大相径庭。首先，当用户们试图在饭店里或者其他类似所在地建立VPN连接ERP系统时，常常会碰到的一个问题是一些网络或者防火墙的管理员关闭了VPN协议所使用的端口。不过，由于绝大多数网络都会允许进行安全HTTPS通信，所以这种情况下，SSL VPN依旧能够正常工作，而其他的VPN协议就无能为力了。但另一方面，他也强调，使用SSL VPN自然也就无法获得使用其他传统VPN技术所能获得的相应存取级别权限。

　　另外，根据经验，IPSec在IP层对数据进行加密，因此它可以对终端站点间所有的传输数据进行保护，而不管是哪类业务应用。换句话说，不论是企业分支机构还是上下游供应链，利用IPSec都能够在不同局域网之间以及远程客户端与中心节点之间建立安全的传输通道，因此，对于传统上的ERP支持较广。

　　需要强调的是，由于ERP环境中用户数据在被加密后仍然在公网上传输，因此加密技术非常重要，它直接影响到用户数据的安全。而IPSec是在这方面做的比较好的一种技术。

　　相对而言，SSL属于应用层协议，它的优势主要集中在VPN客户端的部署和管理上，基本无须安装客户端。这样做的好处是，如果企业开展了基于B/S结构的ERP应用，用户可以直接使用浏览器完成SSL的VPN建立。

　　不过这种模式也有局限性。因为对于非Web页面的业务访问，SSL往往要借助于应用转换。特别是有些SSL VPN产品所能支持的应用转换器和代理的数量非常少，而有些连基本的FTP和微软文件服务器的应用转换都不支持。这个特点决定了基于SSL VPN开展ERP应用，无法形成局域网对局域网的应用，因此在企业上下游供应链的整合上存在挑战。

　　在ERP与VPN的部署上，江苏省粮食局的应用最有代表性。该局领导在接受采访时表示，粮食局在当初建立ERP系统的时候就发现，由于下辖粮库分散在全省各地，信息的收集相对烦琐。而基于信息安全考虑，最初的想法就是将ERP的信息采集与VPN相结合。据悉，粮食局IT负责人已表示，省局下辖的几十个地方粮库和多个地市分局，已利用统一的IPSec VPN网络，成功实现了与ERP局端的安全对接与数据采集。

　　对此王景辉表示：很多企业都希望能够借助安全服务提升效率与竞争力，类似粮食局这种具备“分散型、高安全业务”特点的企业，都应该利用VPN技术建立一个防护??检测??响应体系，可以涵盖内部的业务系统甚至是后期的内网安全。

标签： https https请求 ssl ssl vpn 安全 标准 防火墙 服务器 美国 企业 权限 通信 网络 问题 信息安全 选择 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。