在VPN技術(shù)日新月異的今天,通過Internet實現(xiàn)企業(yè)網(wǎng)遠程訪問早已不是新聞。簡單、經(jīng)濟、安全、方便,已經(jīng)成為了此類應(yīng)用的代名詞。
當遠程遭遇安全
隨著互聯(lián)網(wǎng)的發(fā)展和電子商務(wù)的普及,越來越多的企業(yè)員工已經(jīng)不再局限于坐在辦公室里處理日常事務(wù),特別是對于經(jīng)常出差的員工,以及時常在家處理業(yè)務(wù)的員工,他們都非常渴望能夠通過網(wǎng)絡(luò),遠程訪問公司內(nèi)部資源和各種應(yīng)用。
與此同時,這種網(wǎng)絡(luò)連接的發(fā)生,也為企業(yè)網(wǎng)絡(luò)引入了新的安全威脅。為此,越來越多的企業(yè)需要一種簡單實用的技術(shù),既可以安全地實現(xiàn)員工、合作伙伴和客戶對企業(yè)內(nèi)部網(wǎng)絡(luò)資源的遠程訪問,又不會為企業(yè)帶來較大的成本壓力。
在這種情況下,VPN無疑成為了最佳的選擇。
目前的情況是,企業(yè)通過Internet建立數(shù)據(jù)傳輸平臺,實施加密的VPN接入,主要有兩種方式,即 IPSec VPN和SSL VPN。兩種技術(shù)在不同領(lǐng)域各有其優(yōu)勢,在實施固定的點到點的VPN和復雜應(yīng)用的移動用戶接入VPN 時,一般采用IPSec 技術(shù);在實施普通應(yīng)用的移動用戶接入VPN 時,通常采用SSL 技術(shù)。
從國內(nèi)主要VPN代理商騰蒙公司披露的數(shù)據(jù)看,目前60%以上的VPN案例集中在IPSec VPN,而SSL VPN作為后起之秀,保持了較大的增長幅度,可以預(yù)見的是,今后會有更多的企業(yè)選擇SSL VPN作為自己的遠程安全訪問技術(shù)。
需要指出的是,無論采用哪種方式,都可以滿足企業(yè)的需要,不僅為企業(yè)的員工、合作伙伴提供對內(nèi)網(wǎng)資源的安全遠程訪問,同時也消除了因為遠程用戶客戶端的維護等帶來的諸多不便。
減少用戶投資
利用VPN可以減少遠程訪問的安全投資么?至少從目前的案例來看,確實是這樣。這里,我們以Juniper的SSL VPN安全訪問產(chǎn)品(IVE)為例。
由于IVE設(shè)備的部署和維護都十分的簡單,不需要任何客戶端軟件的安裝,也不需要對服務(wù)器端進行特殊的設(shè)置,因此通過很短時間的配置,就可以為成千用戶提供遠程訪問支持。同時,采用這種方案不需要指定單獨的客戶端設(shè)備,不需要其他的安全設(shè)備和應(yīng)用程序的支持,僅僅利用標準Web瀏覽器的安全功能就可以實現(xiàn)安全的遠程訪問。
另外,IVE平臺也兼容已經(jīng)存在的網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)資源,這就是說,用戶不需要再做單獨的定制開發(fā)和軟件集成,IVE平臺大大減少了系統(tǒng)部署的費用。此外,由于不存在客戶端軟件的安裝,也就減少了由此而引起的出差維護和管理的費用。
從整體考慮部署
從國內(nèi)用戶的實際情況分析,當前優(yōu)秀的VPN方案決不是孤立的產(chǎn)品,而是一套整體的網(wǎng)絡(luò)安全設(shè)計,通過堅固的系統(tǒng)完成對外部應(yīng)用請求的轉(zhuǎn)換,同時對各種連接進行細粒度的訪問控制,而這種安全上的保障,是不以投資、復雜性和穩(wěn)定性的犧牲為前提的。
主流的VPN平臺可以為用戶提供方便安全的遠程訪問,因此至少要包含以下應(yīng)用:內(nèi)部網(wǎng)絡(luò)的內(nèi)容應(yīng)用和基于Web的應(yīng)用;客戶端/ 服務(wù)器應(yīng)用;所有的消息服務(wù)器(MS Exchange、Lotus Notes)、文件服務(wù)器(MS CIFS、NFS)應(yīng)用。
另外,整體設(shè)計的VPN方案也要考慮到員工、合作伙伴對于遠程安全訪問系統(tǒng)的應(yīng)用問題。因此VPN方案的設(shè)計必須確保任何使用Web瀏覽器的用戶,都可以方便地使用遠程訪問系統(tǒng)。像Juniper IVE的用戶,可以通過Web瀏覽器登陸IVE服務(wù)器的主頁后, 就可以訪問內(nèi)部網(wǎng)絡(luò)的Email、文件服務(wù)器和Web資源,也包括其他的C/S服務(wù)。用戶身份認證結(jié)束后, 其所用的主機客戶端與IVE服務(wù)器就應(yīng)建立SSL連接, 用戶可以通過Web瀏覽器, 標準的Email客戶端以及其他的一些客戶端程序, 訪問系統(tǒng)中指定的、得到授權(quán)的資源。 同時系統(tǒng)會安全地保存用戶的身份, 而不需要用戶進行多次的登陸。
