91在线精品播放,亚洲狠狠成人综合网,亚洲日本欧美日韩精品

VPN部署：確保萬(wàn)無(wú)一失

責(zé)任編輯：editor006

2014-03-19 09:02:22

來(lái)源：企業(yè)網(wǎng)D1Net

原創(chuàng)

隨著VPN應(yīng)用的逐漸深入，人們對(duì)VPN越來(lái)越以來(lái)，然而，部署VPN需要考慮很多因素，要確保萬(wàn)無(wú)一失。某些VPN部署可以為遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)提供更好的安全性。需要注意的是，不同的供應(yīng)商產(chǎn)品都提供了不同的特定功能。

《企業(yè)網(wǎng)D1Net》3月19日訊

確保使用強(qiáng)大的加密設(shè)置

所有VPN產(chǎn)品都允許對(duì)使用的加密密碼套件進(jìn)行配置。對(duì)于IPSec部署，這可能是3DES(數(shù)據(jù)加密標(biāo)準(zhǔn))或高級(jí)加密標(biāo)準(zhǔn)(AES)，而安全套接字層(SSL)VPN則有更多選擇，包括流加密(例如RC4)。IPSec讓加密更簡(jiǎn)單，因?yàn)榭蛻舳藢⒈活A(yù)配置為使用特定算法，從而確保了兼容性。而在另一方面，SSL VPN則需要考慮瀏覽器加密支持。由于SSL和傳輸層安全(TLS)漏洞的普及，特別是最近的BEAST和CRIME攻擊，筆者強(qiáng)烈建議使用TLS 1.2等強(qiáng)大的密碼，即使客戶端需要驗(yàn)證瀏覽器兼容性。對(duì)于完整性哈希，安全哈希算法(SHA)-1優(yōu)于MD5。加密密鑰長(zhǎng)度應(yīng)該要適當(dāng)，最少256位密鑰(AES)或168位(3DES)，1024位密鑰用于密鑰交換算法(例如RSA)，而512位密鑰用于哈希算法(例如SHA-1)。

審查終端安全政策

不同的供應(yīng)商提供不同的端點(diǎn)安全政策，包括操作系統(tǒng)和瀏覽器檢查、反惡意軟件檢查、瀏覽器緩存和注銷后cookie清除，以及客戶端多因素身份驗(yàn)證(包括智能卡、USB令牌等)。站點(diǎn)到站點(diǎn)VPN則沒(méi)有這種類型的政策。

設(shè)置會(huì)話超時(shí)

所有VPN部署都允許會(huì)話超時(shí)設(shè)置，這種會(huì)話超時(shí)應(yīng)被設(shè)置為你可以接受的盡可能短的時(shí)間。根據(jù)不同的業(yè)務(wù)需求，10到15分鐘的會(huì)話超時(shí)已經(jīng)足夠，SSL VPN通常還支持自動(dòng)關(guān)閉瀏覽器窗口。

確保建立安全的IPsec設(shè)置

IPsec有大量配置選項(xiàng)。然而，很多企業(yè)會(huì)下意識(shí)地選擇便利性和簡(jiǎn)潔性，而不會(huì)考慮安全性。例如，很多IPsec部署利用VPN網(wǎng)關(guān)已知的“共享秘密”，并將其包括在身份驗(yàn)證配置中。對(duì)此，筆者建議為每個(gè)端點(diǎn)使用不同的共享秘密，這并不難設(shè)置。另外，企業(yè)應(yīng)該使用從內(nèi)部證書頒發(fā)機(jī)構(gòu)部署的證書，雖然這需要更多工作，但這樣做更加安全。此外，用于建立IPsec安全關(guān)聯(lián)的Internet密鑰交換協(xié)議通常因?yàn)楸憷院托阅芏慌渲脼槭褂肁ggressive Mode，但這是更薄弱的交互方法，企業(yè)應(yīng)該使用Main Mode。

使用強(qiáng)大的多因素身份驗(yàn)證

所有VPN都應(yīng)該支持某種形式的多因素身份驗(yàn)證，這是非常重要的工具，特別是對(duì)于遠(yuǎn)程訪問(wèn)配置?？蛻舳俗C書和智能卡，以及雙因素令牌和發(fā)送到移動(dòng)設(shè)備的一次性密碼，都是比較受歡迎的驗(yàn)證方法，這都比單靠用戶名和密碼要更安全。

修復(fù)和升級(jí)設(shè)備或軟件

所有VPN軟件和設(shè)備都需要不定期更新。確保這些系統(tǒng)集成到你現(xiàn)有的漏洞管理戰(zhàn)略中，以避免暴露的漏洞或可用性問(wèn)題。

當(dāng)然，這些還只是起點(diǎn)，為特定應(yīng)用程序和用戶創(chuàng)建訪問(wèn)控制將需要更多的規(guī)劃工作。一些VPN還支持到虛擬桌面基礎(chǔ)設(shè)施和其他內(nèi)部資源的訪問(wèn)，以幫助遠(yuǎn)程客戶端簡(jiǎn)化和加強(qiáng)安全連接。由于所有供應(yīng)商提供不同的配置選項(xiàng)，企業(yè)需要了解所有這些可用的安全設(shè)置，并根據(jù)性能、可用性和安全性，從中選出最佳解決方案。

D1Net評(píng)論：

VPN的部署會(huì)面臨很多安全威脅，如何確保萬(wàn)無(wú)一失，成為用戶面臨的最大難題，綜合考量以上幾個(gè)因素，可以幫助用戶在部署VPN過(guò)程中提高安全性，隨著VPN應(yīng)用范圍的擴(kuò)大，未來(lái)VPN的部署會(huì)面臨更高的要求。

部署