敬请参加将于 7 月 7 日举行的思科安全在线技术峰会,聆听网络安全专家对当今重大问题的深入见解。
我要预约虚拟专用网 (VPN) 可扩展公司网络,让远程用户能够安全地通过互联网使用加密连接。这样,VPN 流量在设备和网络之间传播时也可保持私密性。当 VPN 用户浏览网页时,他们的设备会通过加密 VPN 连接与网站通信。
VPN 是一种经济高效的方式,可将远程用户安全连接到企业网络,同时提高连接速度。借助 VPN,企业可以使用第三方高带宽互联网接入,替代成本高昂的专用 WAN(广域网)链路或长途远程拨号链路。
安全远程访问以安全可靠的方式将用户和设备远程连接到企业网络。它包括 VPN 技术,该技术可在用户或设备远程连接网络之前对其进行身份验证,确认其符合特定要求(也称为“安全状态”)。
“隧道”是指 VPN 建立的加密连接,方便通过互联网安全传输虚拟网络上的流量。来自设备(例如计算机或智能手机)的 VPN 流量在通过 VPN 隧道时会被加密。
远程访问 VPN 几乎可以将任何数据、语音或视频应用扩展到远程设备(也称为“终端”或主机)。随着 VPN 技术的发展,我们可以对终端执行安全检查,确保其在连接网络前达到特定安全状态。
安全套接字层 (SSL) VPN 和 IP 安全 (IPsec) 都属于隧道和身份验证技术。根据部署要求,企业可以分别或同时使用 SSL VPN 和 IPsec 部署远程访问 VPN。SSL VPN 和 IPsec 可保护通过 VPN 的数据免受未经授权的访问。
如需详细了解如何使用此类 VPN 技术,请参阅此页的“SSL VPN 的重要优势”和“SSL VPN 的常见风险”部分。如需简要了解此类 VPN 技术,也请参阅此页的“VPN 拓扑类型”部分。
企业可通过站点间 IPsec VPN 将网络资源扩展到分支机构、家庭办公室和业务合作伙伴站点。如果组织由于距离原因难以在这些站点间建立直接网络连接,则可使用站点间 VPN。建立和维护站点间 VPN 连接需要专用设备。
现代 Web 浏览器中已经内置 SSL VPN 功能,无论用户身处何地,只要能够访问互联网,便可启动 Web 浏览器并建立远程访问 VPN 连接。SSL VPN 技术不仅有助于提高员工效率,还能降低 VPN 客户端软件与支持的成本。
SSL VPN 使用 SSL 协议及其后续的传输层安全 (TLS) 协议,在远程用户与内部网络资源之间建立安全连接。由于大多数 Web 浏览器都具备 SSL/TLS,用户通常无需安装客户端软件即可使用 SSL VPN。因此 SSL VPN 又称为“无客户端 VPN”或“Web VPN”。
SSL VPN 也简单易用。不同 IPsec VPN 供应商的实施和配置要求可能有所差异。但 SSL VPN 只要求用户具备现代 Web 浏览器即可。用户甚至还能选择自己喜欢的 Web 浏览器,不受操作系统限制。
VPN 安全可靠,不亚于在 VPN 连接的远程端使用的用户和设备身份验证方法。简单身份验证方法容易受到密码“破解”攻击、窃听,甚至是社交工程攻击。对企业网络进行安全远程访问至少需要双因素身份验证。
远程访问是网络安全的主要威胁载体。不符合企业安全要求的远程计算机可能会将其本地网络环境中的感染(例如蠕虫或病毒)传播到内部网络。远程计算机上安装最新防病毒软件对于规避风险至关重要。
当 VPN 隧道远程端上的设备同时与公共网络和专用网络交换流量,而事先并未将所有网络流量放入 VPN 隧道内时,就会发生隧道分割。这可能导致共享网络中的攻击者入侵远程计算机,获得对专用网络的访问权限。
VPN 拓扑指定了属于 VPN 的对等体和网络,以及彼此之间的连接方式。以下简要介绍了三种主要拓扑类型:
三种主要 VPN 拓扑也可结合形成更加复杂的拓扑,包括:
IPsec 策略可定义站点间 VPN 特性,例如将用于保护 IPsec 隧道中流量的安全协议和算法。组织创建 VPN 拓扑后,即可根据分配的 IPsec 技术配置适用于该拓扑的 IPsec 策略。
请注意,并非所有 IPsec 策略都可用于所有 VPN 拓扑。应用策略取决于为 VPN 拓扑分配的 IPsec 技术。而且,为 VPN 分配的 IPsec 技术取决于拓扑类型。