ASA——下一代防火墙

远程接入VPN:企业的生产率、部署与安全问题

选择远程接入VPN技术,保护VPN部署

远程接入VPN定义

远程接入VPN能够通过互联网建立加密隧道,以保护对公司资源的访问。随着互联网的不断普及,以及当今VPN技术的快速发展,各机构能够经济、高效并安全地将其网络扩展到任意时间、任意地点和任何人。

由于下述原因,VPN已经变成了远程接入的逻辑解决方案:

  • 利用对员工、合同商或合作伙伴等每类用户的定制权限,提供安全通信;
  • 扩展公司网络和应用,提高生产率;
  • 降低通信成本,提高灵活性。

利用远程接入VPN提高企业生产率

如果能够提供随时随地的网络接入,员工就能够获得极高的灵活性,随时随地完成各项任务。VPN就好像是一台"白天延伸器",使员工能够在下班后或周末从家里接入网络,执行相关任务,例如回复电子邮件,或者使用网络应用。利用VPN技术,员工几乎可以随身"携带"办公室,因而能够缩短响应时间,而且不会像在真实办公环境中那样受到干扰。

另外,VPN 还为合同商或商业合作伙伴等非员工有限访问网络提供了一种安全的解决方案。利用VPN,可以仅限合同商和合作伙伴访问某些服务器、Web页面或文件,从而在不降低网络安全性的前提下扩展网络接入范围,提高企业生产率。

技术选项:IPsec与SSL VPN

部署远程接入VPN主要有两种方法:IP Security(IPsec)和安全套接字层(SSL)。根据用户和机构IT流程的接入要求,两种方法都各有千秋。与提供IPsec或SSL的很多解决方案不同,思科®远程接入VPN解决方案能够利用统一管理,将两种技术集成在同一个平台上。由于该解决方案能够同时提供IPsec 和 VPN技术,因此,各机构不需要增加硬件或管理复杂性就能够定制自己的远程接入VPN。

利用Web浏览器及其本地SSL加密,基于SSL的VPN几乎能够从提供互联网连接的任意位置提供远程接入。由于它不需要在系统上预先安装任何专用的客户端软件,因而使SSL VPN 能够从公司管理和非公司管理的桌面建立"任意"连接,例如员工拥有的PC、合同商或商业合作伙伴的桌面以及互联网接入点。另外,由于通过SSL VPN连接访问应用需要的所有软件都可以根据需要动态下载,因而降低了对桌面软件的维护要求。

SSL VPN 提供两种接入类型:无客户端接入和全面网络接入。无客户端接入不需要在用户桌面上安装专用的VPN软件。所有VPN流量都通过标准Web浏览器传输和提供,不需要下载任何其它软件。由于所有应用和网络资源都通过Web浏览器访问,因此,只有Web应用和某些客户端-服务器应用才可以通过无客户端连接访问,例如内联网应用、带有Web界面的应用、电子邮件、日历和文件服务器。这种有限访问非常适合只能访问企业网络上某些资源的业务合作伙伴或合同商。另外,通过Web浏览器提供所有连接还能消除设置和支持问题,因为企业不需要为用户桌面提供专用VPN软件。

利用SSL VPN全面网络接入,几乎可以访问网络上的所有应用、服务器或资源。全面网络接入通过轻量级VPN客户端软件提供,该软件可以在连接到SSL VPN网关之后动态下载到用户桌面上(通过Web浏览器连接)。由于这种VPN客户端不需要人工软件分发或最终用户交互就能动态下载和更新,因此几乎不需要IT部门提供桌面支持,能够降低部署和运作成本。与无客户端接入相似,全面网络接入也能够按照最终用户的访问权限提供完全访问控制定制。利用全面网络接入,员工可以远程访问到在办公室里能够访问到的所有应用和网络资源,以及不能通过基于Web的无客户端连接提供的所有客户端-服务器应用。

基于IPsec的VPN 已经经过了实际部署的验证,是多数机构都广为采用的远程接入技术。由于IPsec VPN 连接利用用户桌面上的预安装VPN客户端软件建立,因而主要适用于公司管理的桌面。另外,基于IPsec的远程接入还能通过对VPN客户端软件的改动,提供极高的可普及性和可定制性。利用IPsec 客户端软件中的API,各机构可以通过控制VPN客户端的外观和功能在各种应用中使用,例如无职守接入点、与其它桌面应用集成或用于其它目的。

IPsec 和SSL VPN 技术都能提供对所有网络应用或资源的访问。SSL VPN 还提供其它特性,例如从非公司管理的桌面建立连接,几乎不需要维护桌面软件,以及可以利用用户定制的Web门户登录等。这两种技术的比较如表1所示。

表1 IPsec 与 SSL VPN 技术的比较

  特性
应用与网络资源访问 SSL(使用全面网络接入)和IPsec VPN 几乎能够提供对所有应用或网络资源的访问。
最终用户接入方法
  • SSL VPN 利用Web浏览器建立
  • IPsec VPN 利用预安装的VPN客户端软件建立
最终用户访问设备选择
  • SSL VPN 允许从公司管理的桌面、员工所有的桌面、合同商和商业合作伙伴的桌面以及互联网接入点访问
  • IPsec VPN 主要从公司管理的桌面访问
桌面软件要求
  • SSL VPN只需要Web浏览器
  • IPsec VPN 需要专门的预安装客户端软件
桌面软件更新
  • 不需要任何专用桌面软件就能执行基本的SSL VPN访问,因而不需要更新。完全网络应用访问利用不需要用户学习和干预就能自动安装和更新的软件提供
  • IPsec VPN 能够自动更新,但需要更多的用户输入和交互
可定制用户接入
  • SSL VPN 提供精细化访问策略,以便规定用户可以访问的网络资源,以及用户可以定制的Web门户
  • IPsec 提供详细的接入策略,但不提供Web门户

根据需要合理部署:选择IPsec 或 SSL VPN

IPsec 是一种已经被最终用户接受的广为部署的技术,已经建立了IT部署支持流程。很多机构都发现,IPsec 完全能够满足用户的要求。但是,由于SSL VPN 不但配备了能够自我更新的动态桌面软件,允许从非公司管理的桌面接入,并支持高度可定制的用户访问,而且能降低远程接入VPN的运作成本,并能够将网络接入扩展到合同商和商业合作伙伴等难以服务的用户,因而逐渐受到了各机构的欢迎。因此,很多机构通常同时部署SSL 和IPsec 技术。一般情况下,会在原有安装的基础上继续保留IPsec,而新用户、具有"任意"接入要求的用户、合同商以及外部业务合作伙伴则部署SSL。由于思科远程接入VPN 解决方案能够在同一个平台上提供两种技术,因而使客户更容易作出选择--只需要根据部署和运作环境选择最适当的技术即可。评估哪种VPN技术最适合自身的运作环境时应考虑的问题如表2所示。

表2 选择远程接入VPN技术

  SSL VPN IPsec VPN
从非公司管理的设备实现“任意”接入,例如员工拥有的桌面和互联网接入点 ×  
业务合作伙伴接入 ×  
用户可定制接入门户 ×  
减轻桌面支持和软件分发负担 ×  
最大程度地为最终用户提高灵活性 × ×
最大程度地提高VPN客户端可定制性   ×
保留现有IT部署和支持流程   ×

远程接入VPN的安全问题

蠕虫、病毒、间谍件、黑客、数据盗窃和应用滥用都是当今网络中最严重的安全问题。由于VPN的设计和部署存在缺陷,因此远程接入和远程机构VPN连接是这些网络威胁的常用侵入点。对于新旧IPsec和SSL VPN安装,VPN在部署时通常都没有考虑端点和网络的安全性。未加保护或不完整的VPN安全性可能会引发以下网络威胁:

  • 远程用户VPN会话可能会将坏件带入主办公网络,致使病毒感染其他用户和网络服务器;
  • 用户可能会产生不需要的应用流量,例如对等文件共享,并进入主办公网络,减慢网络流量的传输,并消耗昂贵的广域网带宽;
  • 使VPN用户桌面的敏感信息被窃,例如下载客户数据;
  • 黑客可能会窃取远程接入VPN会话,像合法用户那样访问网络。

为抵御这些威胁,作为VPN部署的一部分,用户桌面以及与用户连接的VPN网关必须提供适当的保护。用户桌面应当采取端点安全措施,例如为VPN会话过程中产生或下载的数据和文件提供数据安全性、防间谍件、防病毒和部署个人防火墙。VPN网关应当提供集成式防火墙、防病毒、防间谍件和入侵防御。如果VPN网关不提供这些安全功能,可以在VPN网关附近部署独立的安全设备,以提供适当的保护。

思科远程接入VPN解决方案利用完全防火墙、防病毒、防间谍件、入侵防御、应用控制和完全端点安全功能提供威胁防御VPN服务。这些安全服务集成到VPN平台中,既能提供威胁防御VPN解决方案,又不会增加设备、设计、部署或运作的复杂性。

保护远程接入VPN的步骤

消除蠕虫、病毒和间谍软件等坏件,以及预防应用滥用、数据被盗和黑客袭击的各种技术已经存在于很多机构网络的安全基础设施中。但是,多数情况下,由于对VPN流量进行了本地加密,因而无法保护远程接入VPN。尽管可以购买和安装其它安全设备,以保护VPN的安全,但保护远程接入VPN流量的最经济高效的方法是,查找作为产品集成的一部分,提供本地坏件防御和应用防火墙服务的VPN网关(见图1)。

图1 保护远程接入VPN--集成在VPN网关上的外部安全设备或安全服务

保护远程接入VPN--集成在VPN网关上的外部安全设备或安全服务

思科远程接入VPN解决方案

思科系统®公司为大、中、小型机构提供多种远程接入VPN解决方案。思科远程接入解决方案在Cisco ASA 5500 系列 VPN 版和思科集成多业务路由器上运行,包括不需要预装桌面VPN软件的基于Web的无客户端接入和全面网络接入;可以预防坏件和黑客,经济高效且不需要隐秘的"按特性收费"许可证的威胁防御VPN;以及同时针对SSL和IPSec VPN,能够从一个平台提供强大远程接入和站点到站点VPN服务的单设备解决方案。

Cisco ASA 5500 系列安全设备是思科最先进的SSL VPN解决方案,通过集成式负载均衡,每台设备的并发用户会话数能够从10扩展到5000,每个集群的会话数可以扩展到数万个。ASA 5500将VPN服务与全面威胁防御技术结合在一起,不但能提供高度可定制的远程网络接入,还能提供完全受保护的连接。

思科集成多业务路由器使各机构能够利用现有路由器同时向100个用户提供核心SSL VPN功能。它将安全性、业内领先的路由以及融合数据、语音和无线与Cisco IOS® WebVPN集成在一起,能够为中小企业和机构提供高度可管理的经济高效的网络解决方案。

联系我们


网络研讨会:思科ASA 5500系列自适应安全设备SSL VPN版故障排除