为了解决上述问题,以往企业是通过拉专线的方式,将总公司和分公司组成一个局域网从而实现内部资源共享。实际上,PPTP的安全性是所有VPN中最差的。而作为近年来迅速崛起的SSLVPN,它的资料加密能力比PPTP高出许多。因此鉴于上诉原因,考虑使用SSLVPN作为终端拨号连入企业内部网络是不错的选择。为了进一步加强安全管理,实现管理员更加弹性的管控,众至防火墙加入”VPN管制”功能。
为了解决上述问题,以往企业是通过拉专线的方式,将总公司和分公司组成一个局域网从而实现内部资源共享。虽然这种传输方式安全性高,但是它的价格非常昂贵,可不是一般小型企业所能负担的。同时它有一个非常大的缺陷,如果你是一个经常出差不在单位的员工,但你却经常需要访问公司的内部资源,那该如何是好?对于传统拉专线的方式显然是无法解决的。
那有什么方案既能较经济,又能很随着网络的发展,越来越多的企业内部组建了自己的局域网,并且在企业内部组建了各种各样的服务器为大家提供服务,实现资源共享。如员工访问文件服务器可以查看企业内部的各种重要文件等等。但是出于安全考虑,访问这样的资源共享信息要求你的电脑位于企业内部并且要求连入企业内部的网络上。
好的满足经常出差员工对公司内部资源的访问呢?目前多数企业大多采用VPN连线模式,来提供企业员工进行远端档案存取行为,VPN连线大致上分为两类,固定式VPN与移动式VPN。那何谓固定式VPN、移动式VPN呢?
固定式VPN
固定式VPN即网关之间的VPN,IPSEC VPN就属于固定式VPN。这种形式的VPN,主要用于比较大的网络,例如总公司与分公司之间、连锁超市等等,这样的应用方式下,因为VPN通讯时,所有的数据都需要加密,很好的保证数据的安全。
为了满足这些要求,不同地理位置上当然需要分别有一个【VPN网关设备】,而每个VPN网关设备后面,就会有当地的【内部子网】,这个内部子网就是一个网络,比如(192.168.1.0/24),当VPN网关之间的隧道建立完成后,二个网关之后的子网之间,就可以互相通讯了,一个最简单的VPN网关之间的网络拓扑结构如下图1:
图一:固定式IPSEC VPN
另外众至为了简化IPSEC VPN设置的复杂程度和提高VPN连接的稳定性,众至目前开发了Auto VPN;
Auto VPN 分为Server端和Client端:
用户只需要配置Server端,如下图
Client端只要指向Server的固定IP即可自动建立IPSEC VPN,如下图
移动式VPN
网关之间的VPN,解决了固定地点之间的安全通讯要求,但是如果某个公司有在外面出差的移动人员呢?甚至根本整个公司的工作方式就属于移动型的,比如公司所有职员都在家办公?(哇……好羡慕……)对于这种情况,不可能让每个移动人员跑到哪里身上都背着一个VPN网关设备吧,而且VPN网关设备真的好贵!因此移动VPN应运而生(包括SSL VPN 、PPTP/L2TP VPN就属于此类):在公司总部放上一个VPN网关设备,其他移动人员则使用一种【软件VPN】的方式,与公司总部VPN网关建立单独的隧道进行通讯,这样一来,即可以保证通讯的安全,同时也无限制的扩大了公司内部网络的规模,我们再来看一个最简单的移动VPN网络是什么样子的:
图2:移动式VPN
通过上面介绍,我们了解到固定式VPN、移动式VPN,那如何结合这两种VPN实现企业网络架构呢?众至为您提供如下拓扑解决方案:
图3:VPN 拓扑图
从上面架设的网络拓扑图,我们可以了解到只需在公司总部与分支机构间,各架设一台带VPN多功能的众至防火墙设备。通过IPSEC VPN的方式将总公司与分支机构彼此之间的内部网络实现互通;而对于移动办公和手机用户则采用PPTP/L2TP拨号和SSL VPN到总公司内部网络,从而实现对总公司共享资源的访问。
或许你会觉得,在外面访问企业内部资源,用PPTP拨号就好了,简单方便而且windows系统本身就自带PPTP拨号终端,为什么这么麻烦还要学习SSL VPN。话虽没错,但是随着企业对于网络安全看的越来越重,那么SSL VPN必然成为企业最佳选择(众至现已经针对Adroid 4.0以上版本开发出SSL VPN客户软件,安卓智能手机用户可以到Google商店下载哦)。实际上,PPTP的安全性是所有VPN中最差的。而作为近年来迅速崛起的SSL VPN,它的资料加密能力比PPTP高出许多。况且如果使用者所在的网络的网关不支持PPTP通透的话,那么使用者是不能成功建立PPTP VPN的。
因此鉴于上诉原因,考虑使用SSL VPN作为终端拨号连入企业内部网络是不错的选择。同时众至防火墙设备考虑安全性的同时,为方便终端用户操作的简易性,众至防火墙设备为用户提供绿色免安装的SSL VPN拨号终端软件。终端拨号用户只需输入管理员为您创建的账号密码即可拨入企业内部网络,如图4:
图4:SSL VPN拨号终端界面
当用户通过IPSEC VPN或是PPTP ,L2TP,SSL VPN等方式进入企业内部网络,是不是他就可以“无法无天”的使用内部所有主机的共享资源呢?为了进一步加强安全管理,实现管理员更加弹性的管控,众至防火墙加入”VPN 管制”功能。管理员可以利用”VPN 管制”(什么人、什么时候、去哪里、使用什么服务……)轻松达到控管两个不同子网络之间的传输,甚至提供对网络封包追踪、流量分析等功能。如图5:
图5:VPN 管制界面
从上图VPN管制界面我们可以看到,管理员可以根据来源网络(IPSEC VPN、PPTP/L2TP/SSL VPN)、目的网络(内部特定主机)选择动作为拒绝或是允许,当动作为允许时,管理可以根据通讯协议、通讯端口或群组等信息进一步限制来源网络只能使用内部网络什么服务。
众至UTM 各VPN比较
