支持遠程撥入的VPN技術,使員工在出差、下班時可以連接到公司的局域網處理工作,給工作帶來了很大的便利。所以現在很多公司都支持VPN遠程撥入。本文將簡單介紹VPN的幾種組建方式,以及相關的安全問題。如果您需要創建site-to-site的VPN,請參考:Ipsec VPN
1. PPTP VPN
PPTP(Point to Point Tunneling Protocol),即點對點隧道協議。該協議是在PPP協議的基礎上開發的一種新的增強型安全協議,支持多協議虛擬專用網(VPN),可以通過密碼驗證協議(PAP)、可擴展認證協議(EAP)等方法增強安全性。可以使遠程用戶通過撥入ISP、通過直接連接Internet或其他網絡安全地訪問企業網。
-
PPTP的優點:無需安裝軟件,配置方便,windows/andriod系統默認就可以支持。
-
PPTP的缺點主要在于安全性較低。比如PPTP驗證中的mschapv2加密協議,總key長度為 2^56 x2 = 57bits,如果登錄過程被抓包,存在被暴力破解的可能。
PPTP的配置如下圖,只需要配置一個IP范圍,選擇支持的驗證協議和是否MPPE加密即可。
2. OpenVPN(SSL VPN)
如果要追求更高的安全性,推薦使用Open VPN。OpenVPN是SSL VPN的一種,采用了SSL非對稱加密,以目前的硬件運算能力,基本上不存在被破解的可能。而且Open VPN采用了專用的客戶端程序,穿透性和兼容性要強于PPTP。
Open VPN的缺點在于配置相對復雜,而且需要專用客戶端程序。OpenVPN的配置截圖如下:
客戶端程序:
3. 開啟遠程辦公的情況下,如何保證企業的數據安全?
開啟遠程辦公的情況下,外部人員可以直接從互聯網接入公司局域網,那么企業的機密數據就會存在被泄漏的可能。數據安全的保障,主要考慮如下幾點:
-
選擇適合的VPN方案。如果數據安全要求不高,那完全可以用PPTP。否則就用更安全的SSL VPN。
-
通過防火墻規則,禁止外網撥入到相關資源的訪問(參考下面的截圖)
-
數據文件自身的安全機制。請參考:企業外發文件管控方案總結
下圖是防火墻禁止外網到內網相關資源的訪問:
