VPN远程接入与移动办公
现代企业为了在全球范围内开展业务,通常都在公司总部之外设立了分支机构,或者与外地机构进行业务合作。分支机构、合作伙伴、出差员工都需要远程接入企业总部网络开展业务,目前通过VPN技术可以实现安全、低成本的远程接入和移动办公。
远程接入和移动办公通常都具有以下特征:
- 分支机构通常都需要无缝接入总部网络,并且持续不间断地开展业务。
- 合作伙伴需要根据业务开展的情况,灵活进行授权,限制合作伙伴可以访问的网络范围、可以传输的数据类型。
- 出差员工的地理接入位置不固定,使用的IP地址不固定,接入时间不固定,需要灵活地随时接入。而且出差员工所处位置往往不受企业其他信息安全措施的保护,所以需要对出差员工进行严格的接入认证,并且对出差员工可以访问的资源和权限进行精确控制。
- 所有远程接入的通信过程都需要进行加密保护,防止窃听、篡改、伪造、重放等行为,同时还需要从应用和内容层面防止机密数据的泄露。
基于以上特征,USG6000作为企业的VPN接入网关,典型的应用场景如图2-4所示:
图2-4 VPN远程接入与移动办公典型部署
- 对于拥有固定VPN网关的分支机构和合作伙伴,使用IPSec或者L2TP over IPSec建立静态永久隧道。当需要进行接入账号验证时,建议使用L2TP over IPSec。
- 对于地址不固定的出差员工,使用SSL VPN技术,无需安装VPN客户端,只需使用网络浏览器即可与总部建立隧道,方便快捷。同时可以对出差员工可访问的资源进行精细化控制。
- 在上述隧道中,通过IPSec加密算法或者SSL加密算法,对网络数据进行加密保护。
- 对于通过VPN隧道接入后的用户,进行接入认证,保证用户合法性。并且基于用户权限进行访问授权。
- 部署入侵防御、反病毒、文件过滤、内容过滤、DDoS攻击防范,避免网络威胁经由远程接入用户穿过隧道进入公司总部,同时防止机密信息泄露。
- 部署用户行为审计,及时发现风险,并且便于后续的回溯。
发表评论