VPN的出現(xiàn)已經不是一朝一夕了，從IPSec到SSL，VPN經歷了大量的技術演進。不過，任何一種安全技術的本質都是應用。將VPN與企業(yè)業(yè)務相結合，促進企業(yè)的邊界安全，同時將業(yè)務拓展到邊緣，整合外在供應鏈，這將促進新一輪VPN技術的進化。
力量一：可信VPN
VPN的初衷是提供一個安全信道，以便遠程用戶可以存取私有網絡。但在當前的計算環(huán)境中，對于試圖接入企業(yè)網絡的可管理或不可管理的設備，網絡管理員根本無法在其接入網絡前知曉它們的來源。尤其是移動VPN用戶的增多，使網絡上班族和頻繁出差族通過IPSec VPN客戶端軟件接入內網帶來的安全隱患受到關注。
如果用戶可以從一臺主機通過VPN接入內網，但主機本身不安全，如已被病毒感染或另有不安全的網絡連接（split tunnel）等，將對內網帶來極大威脅。而且，攻擊者可以利用VPN的加密技術穿透防火墻，躲避防火墻對其行為的檢測和控制。
另外，絕大部分現(xiàn)有的內網安全或者是內網行為控制，僅僅考慮了內部局域網的行為安全，即對局域網內的主機訪問行為進行監(jiān)視和控制，還沒涉及到大規(guī)�？绲赜虻钠髽I(yè)全網的安全問題。
事實上，Juniper的安全專家表示，由于VPN可以在公共電腦上建立，所以可能會為公司網絡帶來額外的風險，這一點SSL VPN表現(xiàn)的特別明顯。另外，公共電腦可能不支持兩種以上的認證方式，因為它們自身沒有智能卡閱讀器，或直接被禁用了USB端口。
在這種情況下，一種基于VPN的可信專用網絡TPN（Trusted Private Network）開始出現(xiàn)。安達通的安全專家康浩在接受采訪時表示，目前TPN技術綜合了網關安全和通信端點安全技術，同時利用全局的統(tǒng)一管理來部署，以求實現(xiàn)全方位、多層次的安全。
據悉，在TPN系統(tǒng)中，任何一個接入網絡的主機都必須通過用戶驗證和主機驗證的強制驗證機制。只有在某個主機歸類為受信任主機后才可以訪問相應的系統(tǒng)資源。基本上，受信任意味著主機的風險受到管理。這種受管狀態(tài)由負責配置主機的IT管理員和用戶負責。如果受信任主機管理不當，很可能成為整個解決方案的弱點。
當主機被視為受信任主機時，其他受信任主機可以合理地假定該主機不會發(fā)起惡意操作。例如，受信任主機應期望其他受信任主機不會執(zhí)行攻擊它們的病毒，因為所有受信任主機都要求使用一些用來緩解病毒威脅的機制（如防病毒軟件）。
康浩強調說，這種受信任狀態(tài)不是一成不變的，它僅僅是一個過渡狀態(tài)，會隨著企業(yè)安全標準的更改而更改，并且要不斷符合那些標準。由于新的威脅和新的防御措施會不斷出現(xiàn)，因此組織的管理系統(tǒng)必須經常檢查受信任主機，以保持與標準相符。此外，在需要時，這些系統(tǒng)必須能夠發(fā)布更新或配置更改，以幫助維持受信任狀態(tài)。持續(xù)符合所有這些安全要求的主機可被視為受信任主機。
據介紹，可信專用網TPN系統(tǒng)對經過強制驗證的主機和用戶，使用“用戶----角色----資源”的授權機制，實現(xiàn)“內網威脅”、“邊界威脅”、“主機威脅”和“接入威脅”的統(tǒng)一管理。據悉，角色是系統(tǒng)中用戶和服務之間溝通的樞紐，利用角色避免了用戶和服務之間的直接關聯(lián)關系，減少了配置任務量，并提高系統(tǒng)策略的可維護性。一個用戶可以分配給多個角色，每個角色包含多個用戶。針對每一個服務，可設定可以訪問該服務的各種角色。
當企業(yè)用戶接入TPN系統(tǒng)防護的網絡時，首先必須進行“強制身份認證”（可采用Web方式或客戶端方式登陸TPN系統(tǒng)進行身份認證），在身份認證通過后，TPN安全網關中根據該用戶的資源訪問權限和登陸認證時該用戶使用的PC機的特征（IP/端口），動態(tài)在TPN安全網關中形成“元組+時間”的動態(tài)訪問控制策略。該動態(tài)訪問控制策略有短期時效性，當一段時間用戶沒有活動后，該策略即行失效，需要重新進行強制身份認證，再次在TPN安全網關中建立針對該用戶的動態(tài)訪問控制策略。
不難看出，之所以說TPN系統(tǒng)可以實現(xiàn)更加安全的VPN，就是因為它對于通過VPN接入的移動用戶和遠地局域網進行類似本地用戶一樣的訪問控制。比如，當VPN用戶在和總部的TPN安全網關建立起加密隧道后，總部的TPN安全網關能夠對遠程接入的主機進行安全評估：如果發(fā)現(xiàn)主機上有威脅或不滿足接入總部的安全級別（如沒有打補丁等），則不允許該主機接入到總部。這就是所謂的“VPN準入控制”技術。
目前，企業(yè)通過應用這種技術，可以確保外網的威脅（如木馬、病毒、攻擊等）不會通過VPN用戶帶進內網，避免了黑客進行“跳板”攻擊。并且網絡管理員能夠象管理本地局域網一樣，對整個VPN網絡進行統(tǒng)一的安全策略管理，實現(xiàn)面向全網而不僅僅是本地局域網的全網行為管理。
此外，針對企業(yè)內網的威脅防護，TPN繼承了傳統(tǒng)的內網行為管理、網關防病毒、反垃圾郵件技術。同時，TPN將這些技術運用到整個企業(yè)網絡，而不是僅僅局限在局域網內。因此，不論是VPN接入用戶還是本地局域網的接入用戶，TPN系統(tǒng)都采用 “強制身份”認證機制，沒有通過認證的用戶無法訪問任何內/外網資源。
針對這種新興技術，新華人壽集團的IT經理表示，對于大型企業(yè)，可以通過借助TPN系統(tǒng)進行VPN控制，包括可以只允許合法的、值得信任的端點設備，如業(yè)務網點的PC、服務器、代理人的PDA接入網絡，而不允許其他設備接入。而新系統(tǒng)中的“TPN網關”和“TPN客戶端”形成聯(lián)動防御體系，避免了依靠單一網關防御體系或單一客戶端防御體系形成的功能瓶頸，給企業(yè)的IT部門減輕了壓力。
事實上，神州數(shù)碼網絡的高級產品經理王景輝曾解釋說，集中安全與分布安全的邊界是模糊的，正如保險企業(yè)一樣，公司的信息安全與代理人的信息安全同樣重要，而這才是可控VPN的魅力所在。

標簽： ssl ssl vpn 安全 標準 防火墻 服務器 企業(yè) 權限 通信 網絡 問題 信息安全 用戶

版權申明：本站文章部分自網絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。