資源描述:
《幾種遠程連接vpn模式 哪種vpn技術(shù)最好》由會員上傳分享,免費在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1�、幾種遠程連接VPN模式哪種VPN技術(shù)最好來源:作者:發(fā)布時間:2008-08-25閱讀次數(shù)377前言要通過Internet來連接分散的中小型企業(yè),這無疑向企業(yè)家及其星羅棋布的辦公室提出了獨一無二的挑戰(zhàn)。本白皮書描述了連接遠程工作員工和辦公室的3種模式:基于客戶端的VPN軟件����,多個制造商混合的點對點VPN方案�����,以及使用集成防火墻的單一制造商方案��。本文對每種模式的優(yōu)點和缺點都進行了探討����。若管理得當�,Internet能極大地提高工作效率����,使員工能在最便捷的地方工作--不管他們身處世界各地�,還是在同一城市。其實�����,要建立分布式網(wǎng)絡(luò)有不少方法。而其中最好的方法就是建立一個集成的體系結(jié)構(gòu)��,它不僅能實現(xiàn)安全的
2����、遠程安裝��、管理和故障診斷�,而且能夠正確貫徹你的公司安全策略--所有這些能長期幫助你節(jié)省時間和金錢�,為你帶來可觀的投資回報��。將遠程站點連接的3種模式綜述防火墻的初始概念非常簡單--通過限制訪問來保護局域網(wǎng)和Internet之間的"邊界"�����。但是��,隨著人們對Internet的依賴越來越大,與Internet連接的電腦所面臨的安全威脅日益嚴峻���。中小型公司通常不具備實現(xiàn)企業(yè)級網(wǎng)絡(luò)安全性所需的充足資源����,所以在這些威脅面前顯得尤其脆弱�����。如果你在網(wǎng)絡(luò)中增添了遠程辦公室和遠程工作人員工作站���,未經(jīng)許可進入小企業(yè)網(wǎng)絡(luò)的可能性還會顯著增加。為了限制破壞����,防火墻的保護范圍必須擴展到網(wǎng)絡(luò)上的所有用戶--包括直接受防火墻保
3、護的用戶(比如在總部上班的人)以及防火墻外部的用戶(遠程工作人員)����。"虛擬專用網(wǎng)絡(luò)"(Virtualprivatenetwork����,VPN)方案尤其引人注目,因為它們能提供一個私有的、像專用租線網(wǎng)絡(luò)一樣的安全性�����,同時不必支付現(xiàn)實中擁有這種網(wǎng)絡(luò)所需的價格�����。VPN使用加密技術(shù)將數(shù)據(jù)攪亂,使其在通過Internet傳輸?shù)臅r候處于不可識別狀態(tài)���,從而在公用網(wǎng)絡(luò)上提供了保密性。與遠程辦公室或遠程工作人員聯(lián)網(wǎng)的公司通常都使用VPN來連接多個辦公點��。下表展示了連接一個遠程站點和公司總部網(wǎng)絡(luò)的3種模式���,并描述了每種模式的主要優(yōu)點和缺點:模式優(yōu)點缺點基于客戶端的VPN軟件(MobileUserVPN或MUVPN)價
4�����、格便宜��;可以在允許隧道傳輸?shù)娜魏蔚胤绞褂?����。不支持遠程管理或日志記錄�;遠程系統(tǒng)必須單獨保護�。多個制造商混合的點到點VPN方案(具有IPSec功能的路由器)初始投入并不多�����;可以運用“手頭上”的任何東西��。許多具備IPSec功能的路由器都具備防火墻的部分功能�。配置和管理的成本高;需要手動設(shè)置隧道�����;日志格式并不通用����;診斷問題時����,需要整合兩個不同的數(shù)據(jù)集�。集成了防火墻的單一制造商方案管理費用低廉;集成日志記錄�����、報告和故障診斷功能(采用通用日志格式和計時)���;統(tǒng)一管理界面/模式�����;通常提供了額外的功能��,比如內(nèi)容過濾����。初始投入較大,制造商的產(chǎn)品也許不是在全世界都買得到��。表1.連接遠程站點和公司總部網(wǎng)絡(luò)的3種模式選
5����、擇一種VPN方案時要注意的問題為了理解擁有和運行一個VPN端點所涉及的全部成本和各種可能性��,你需要認真考慮使用它時的方方面面���。如果不這樣做,最終可能會導(dǎo)致你投入遠超于計劃的時間���、精力和金錢�。在決定選擇哪一種VPN方案來連接你的遠程辦公室和網(wǎng)絡(luò)前��,請回答以下幾個問題:策略控制:誰在隧道的另一端���?你放心讓他們訪問你的整個受托網(wǎng)絡(luò)嗎?還是����,你需要限制他們的訪問����?故障診斷:如果遠程端出現(xiàn)故障,排除故障的難度有多大��?日志記錄:終端為防火墻/VPN網(wǎng)關(guān)提供了通用日志格式嗎���?如果沒有,那么日志怎么同步�?通信分隔:如果VPN端是在某人家里��,那么他們能將公司通信與家庭通信分隔開嗎?身份驗證:你怎樣知道隧道上傳輸
6����、的數(shù)據(jù)是來自員工���,而不是來自他的黑客朋友呢?總體擁有成本(TCO):就本文來說����,TCO應(yīng)包括采購費用(初始購買價格有多高����?)�,部署費用(你的方案在安裝時���,能否無需在終端安排IPSec專家���?)����,以及維護費用(你的方案支持遠程管理嗎����?軟件如何更新?)��。實施一種VPN方案MOBILEUSERVPN(移動用戶VPN�,MUVPN)客戶端在上述3種基本選項中����,最簡單的就是使用單獨的MUVPN客戶端�。它具有最高的靈活性,但在遠程管理和故障診斷方面缺乏效率。采用這個模式�����,遠程系統(tǒng)上單獨運行的軟件要連接總部VPN網(wǎng)關(guān)。對于MUVPN客戶端的用戶來說����,需要通過由客戶端維護的隧道來對公司的網(wǎng)絡(luò)進行訪問��。許多客戶端都
7、可以配置成允許所有通信都經(jīng)由隧道進行����。由于所有遠程網(wǎng)絡(luò)通信都返回總部��,所以可以將公司安全策略輕松地應(yīng)用于通信。策略控制MUVPN通常要么允許,要么禁止:遠程站點用戶要么能訪問你的整個網(wǎng)絡(luò)��,要么就一點都不能訪問�。盡管一般情況下可以在客戶端上配置更嚴格的規(guī)則來限制通信,但假如這樣做,經(jīng)常性地維護那些規(guī)則是相當復(fù)雜的事情���,而且會增大維護成本�����。如果需要限制通過隧道進行的通信類型�����,則應(yīng)考慮其他方案�。故障診斷
