【導讀】利用VPN漏洞發(fā)動攻擊,似乎越發(fā)成為疫情當下黑客入侵企業(yè),布局全球網(wǎng)絡態(tài)勢的新手段。前段時間,國外某研究機構發(fā)布一份報告,重磅爆出伊朗“Fox Kitten”的網(wǎng)絡間諜計劃——利用未修補的VPN漏洞作為切入點,向全球政府和企業(yè)植入后門,引發(fā)安全界廣泛熱議。而今天,在新冠疫情全球范圍爆發(fā),“全球戒嚴”勢在必行的當下,高度密切關注利用VPN漏洞發(fā)動全球性網(wǎng)絡攻擊顯得尤為重要。
VPN(Virtual Private Network):在公用網(wǎng)絡上建立專用網(wǎng)絡,通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉換實現(xiàn)遠程訪問,在企業(yè)政府機構遠程辦公中起著舉足輕重的地位。而這也意味著,一旦VPN漏洞被黑客利用攻擊,企業(yè)將面臨巨大威脅。
2019年,大量企業(yè)的 VPN 服務器中被指存在重大漏洞,加劇了VPN網(wǎng)絡安全的嚴防態(tài)勢。然而,利用VPN漏洞發(fā)動攻擊來的比預想要快,而這一次便直指全球。
伊朗借VPN啟動“Fox Kitten”間諜計劃
全球范圍內重新布局網(wǎng)絡攻擊戰(zhàn)略
今年2月,國外某安全機構爆出一個名為“Fox Kitten”的網(wǎng)絡間諜計劃。報告稱:該計劃可追溯至2017年,由伊朗國家級黑客組織運作,利用未修補的虛擬專用網(wǎng)漏洞作為切入點,悄悄助力伊朗在世界各地政府和企業(yè)組織中獲得持久立足點。而相關“潛伏與立足”,直到報道前似乎大部分都還沒有被發(fā)現(xiàn)。
而關于該“間諜計劃”,研究員評論道:“我們估計,這份報告中披露的戰(zhàn)役是伊朗迄今所揭示的最連續(xù),最全面的戰(zhàn)役之一。” 而后還指出,伊朗APT組織的影響力與能力可能被低估了。
智庫梳理相關信息,歸納了其四大特色,發(fā)現(xiàn)“Fox Kitten”計劃確有其震撼之處。
特色一:布局全球并以關鍵基礎設施為目標,滲透各國核心新基建
“Fox Kitten”網(wǎng)絡間諜計劃主要針對以色列組織,但也滲透到包括美國和澳大利亞在內的至少10個其他國家的目標。攻擊者在信息技術公司、公用事業(yè)提供商、國防承包商、石油公司和航空業(yè)公司中取得了立足點。可以說,涵蓋了IT、電信、石油和天然氣、航空、安全領域的公司和政府機構等諸多關鍵領域。
雖然,這次計劃的主要目的是在很長一段時間內進行間諜活動和竊取信息。然而,攻擊者也將攻擊基礎設施留在原地,以便快速有效地分發(fā)破壞性惡意軟件。
特色二:伊朗三大“APT組織”組合出擊、協(xié)調作戰(zhàn)
雖然是被用作偵察基礎設施,但此次“間諜計劃”動用了伊朗三大APT組織—— “Elfin”、“OilRig”和Chafer,并將其捆綁組合出擊。
Elfin是一個更加隱蔽的網(wǎng)絡間諜組織,主要針對美國、韓國和沙特阿拉伯的航空和石化目標;
OilRig的活動在很大程度上與APT33重疊,但該組織更專注于中東,并因使用虛假的LinkedIn個人資料和邀請傳遞惡意軟件;
Chafer是一個專注于竊取個人信息的組織,它建立了一個以電信和旅游業(yè)為重點的廣泛的全球網(wǎng)絡。
而以上三個組織還均以利用新的VPN漏洞而聞名。因而即使過去它們分散作戰(zhàn)、互不干擾,但此次,三大APT組織參與共同發(fā)起了這項針對全球的VPN服務器攻擊活動。
特色三:多個VPN服務器漏洞重磅出擊,令美國FBI發(fā)布警報
而在工具利用上,伊朗黑客已將Pulse Secure VPN(CVE-2019-11510)、FortinetFortiOS VPN(CVE-2018-13379)、Palo Alto NetworksVPN(CVE-2019-1579)以及Citrix VPN(CVE-2019-19781)等漏洞定位為入侵大型公司的工具。
今年1月10日,美國網(wǎng)絡安全和基礎設施安全局(CISA)警告企業(yè),修補其Pulse Secure VPN服務器以防止利用漏洞CVE-2019-11510的攻擊。隨即美國聯(lián)邦調查局(FBI)也發(fā)布安全警報,指責國家級(伊朗)黑客利用Pulse Secure VPN服務器的嚴重漏洞,破壞了美國市政府和美國金融公司的網(wǎng)絡。
特色四:最新VPN漏洞24小時內,即可被伊朗“攻下”利用
“天下武功,唯快不破”,或許伊朗黑客組織深諳此道。所以,當新的漏洞披露之后,他們總能在幾小時內迅速地加以部署,搶在補丁發(fā)布之前,利用該漏洞對目標系統(tǒng)發(fā)起致命一擊。
據(jù)資料顯示,他們不僅能夠成功獲取對目標核心系統(tǒng)的訪問權限,丟棄其他惡意軟件,并在網(wǎng)絡上橫向傳播,與此同時,還特別擅長掩蓋他們的蹤跡,并在他們泄露信息時對其存在保密。
從以上四大特色來看,這項針對全球VPN服務器的Fox Kitten計劃,無疑是伊朗布局全球網(wǎng)絡攻擊態(tài)勢的絕佳切入點。
全球新冠疫情浪潮之下
未來VPN或將淪為網(wǎng)絡空間致命武器
盡管當前來看,“Fox Kitten”網(wǎng)絡間諜計劃被認為在執(zhí)行偵察與監(jiān)控,但在‘得天獨厚“的入侵優(yōu)勢下,可以大膽猜測,未來“Fox Kitten”或許會將VPN漏洞武器化,進一步部署更強殺傷力的網(wǎng)絡攻擊。
第一,部署數(shù)據(jù)擦除惡意軟件
通常,數(shù)據(jù)擦除軟件會通過擦除用戶設備,使其無法訪問所需要的應用程序和數(shù)據(jù),并進一步攻擊共享網(wǎng)絡中的文件,云服務上存儲的數(shù)據(jù)。而目前,伊朗黑客組織可能早已在相關目標上,部署了破壞公司網(wǎng)絡和業(yè)務運營的數(shù)據(jù)擦除惡意軟件,而此舉足以導致企業(yè)和政府的運營的停擺。
2012年,伊朗對陣沙特阿美時,曾利用Shamoon惡意軟件攻陷了石油巨頭約75%的電腦;而2019年9月,兩種新型數(shù)據(jù)擦除惡意軟件ZeroCleare和Dustman也被指與伊朗黑客有關。
第二,對企業(yè)客戶進行供應鏈攻擊
與此同時,伊朗黑客還可能利用對受感染公司的訪問權,進而對其客戶進行供應鏈攻擊。
這一推斷在FBI向美國私營部門發(fā)出的安全通告中得到了論證。通告顯示:“軟件供應鏈公司正在遭受持續(xù)攻擊,包括支持全球能源產出、傳輸和分發(fā)的工控系統(tǒng)的實體“。
FBI的同一警報還指出,這些攻擊中部署的惡意軟件與伊朗APT33組織先前使用的代碼之間存在關聯(lián),強烈暗示伊朗黑客可能是這些攻擊的幕后黑手。
第三,“攻陷VPN->橫向移動”策略,發(fā)動更大范圍的攻擊
2019年12月下旬,巴林國家石油公司Bapco遭遇的一次數(shù)據(jù)擦除惡意軟件攻擊中,黑客通過VPN服務器攻擊取得了Bapco網(wǎng)絡的訪問權,從而將數(shù)據(jù)擦除器加載到了中央防病毒軟件中,并進一步分發(fā)到了所有計算機,而此策略正與此次報告中披露的“攻陷VPN->橫向移動”策略如出一轍。
伊朗國家級APT,這個有著“世界頂級網(wǎng)絡殺器”稱號,并曾成功將沙特、阿聯(lián)酋、卡塔爾等各國油氣和石油公司系統(tǒng)斬于馬下的黑客組織,在面對全球網(wǎng)絡戰(zhàn)態(tài)勢的嚴峻的當下,為爭奪未來國際網(wǎng)絡戰(zhàn)場的主動權,都在擅用自身VPN攻擊優(yōu)勢,謀求全球網(wǎng)絡安全攻防戰(zhàn)略的長線布局。
在全球新冠疫情肆虐、“全球戒嚴”的當下,不止于謹防“Fox Kitten”網(wǎng)絡間諜計劃,VPN作為其中遠程辦公生命體的核心血液,或許早已成為更多國家級黑客組織預利用的對象。故而,此時此刻,基于VPN建立的安全服務顯得格外重要。
1、防火墻( Firewall)
定義:相信大家都知道防火墻是干什么用的, 我覺得需要特別提醒一下,防火墻抵御的是外部的攻擊,并不能對內部的病毒 ( 如ARP病毒 ) 或攻擊沒什么太大作用。
功能:防火墻的功能主要是兩個網(wǎng)絡之間做邊界防護, 企業(yè)中更多使用的是企業(yè)內網(wǎng)與互聯(lián)網(wǎng)的NAT、包過濾規(guī)則、端口映射等功能。生產網(wǎng)與辦公網(wǎng)中做邏輯隔離使用, 主要功能是包過濾規(guī)則的使用。
部署方式:網(wǎng)關模式、透明模式 :
網(wǎng)關模式是現(xiàn)在用的最多的模式,可以替代路由器并提供更多的功能,適用于各種類型企業(yè)透明部署是在不改變現(xiàn)有網(wǎng)絡結構的情況下,將防火墻以透明網(wǎng)橋的模式串聯(lián)到企業(yè)的網(wǎng)絡中間,通過包過濾規(guī)則進行訪問控制,做安全域的劃分。至于什么時候使用網(wǎng)關模式或者使用透明模式,需要根據(jù)自身需要決定,沒有絕對的部署方式。需不需要將服務器部署在 DMZ區(qū),取決于服務器的數(shù)量、重要性。
總之怎么部署都是用戶自己的選擇!
高可用性:為了保證網(wǎng)絡可靠性,現(xiàn)在設備都支持主 - 主、主- 備,等各種部署。
2、防毒墻
定義:相對于防毒墻來說,一般都具有防火墻的功能, 防御的對象更具有針對性,那就是病毒。
功能:同防火墻,并增加病毒特征庫,對數(shù)據(jù)進行與病毒特征庫進行比對,進行查殺病毒。
部署方式:同防火墻,大多數(shù)時候使用透明模式部署在防火墻或路由器后或部署在服務器之前,進行病毒防范與查殺。
3、入侵防御 (IPS)
定義:相對于防火墻來說,一般都具有防火墻的功能,防御的對象更具有針對性, 那就是攻擊。防火墻是通過對五元組進行控制,達到包過濾的效果,而入侵防御 IPS,則是將數(shù)據(jù)包進行檢測 (深度包檢測 DPI)對蠕蟲、病毒、木馬、拒絕服務等攻擊進行查殺。
功能:同防火墻,并增加 IPS 特征庫,對攻擊行為進行防御。
部署方式:同防毒墻。
特別說明一下:防火墻允許符合規(guī)則的數(shù)據(jù)包進行傳輸,對數(shù)據(jù)包中是否有病毒代碼或攻擊代碼并不進行檢查,而防毒墻和入侵防御則通過更深的對數(shù)據(jù)包的檢查彌補了這一點。
4、統(tǒng)一威脅安全網(wǎng)關 (UTM)
定義:簡單的理解,把威脅都統(tǒng)一了,其實就是把上面三個設備整合到一起了。
功能:同時具備防火墻、防毒墻入侵防護三個設備的功能。
部署方式:因為可以代替防火墻功能,所以部署方式同防火墻
現(xiàn)在大多數(shù)廠商,防病毒和入侵防護已經(jīng)作為防火墻的模塊來用,在不考慮硬件性能以及費用的情況下,開啟了防病毒模塊和入侵防護模塊的防火墻,和UTM其實是一樣的。至于為什么網(wǎng)絡中同時會出現(xiàn) UTM和防火墻、防病毒、入侵檢測同時出現(xiàn)。
第一,實際需要,在服務器區(qū)前部署防毒墻, 防護外網(wǎng)病毒的同時,也可以檢測和防護內網(wǎng)用戶對服務器的攻擊。第二,花錢,大家都懂的。總之還是那句話,設備部署還是看用戶。
5、IPSEC VPN
把 IPSECVPN放到網(wǎng)絡安全防護里,其實是因為大多數(shù)情況下, IPSEC VPN的使用都是通過上述設備來做的,而且通過加密隧道訪問網(wǎng)絡,本身也是對網(wǎng)絡的一種安全防護。
定義:采用 IPSec 協(xié)議來實現(xiàn)遠程接入的一種 VPN技術,至于什么是 IPSEC 什么是 VPN,小伙伴們請自行百度吧
功能:通過使用 IPSECVPN使客戶端或一個網(wǎng)絡與另外一個網(wǎng)絡連接起來,多數(shù)用在分支機構與總部連接。
部署方式:網(wǎng)關模式、旁路模式
鑒于網(wǎng)關類設備基本都具備 IPSECVPN功能,所以很多情況下都是直接在網(wǎng)關設備上啟用 IPSEC VPN功能,也有個別情況新購買IPSEC VPN設備,在對現(xiàn)有網(wǎng)絡沒有影響的情況下進行旁路部署,部署后需要對IPSECVPN設備放通安全規(guī)則,做端口映射等等。也可以使用 windows server 部署 VPN,需要的同學也請自行百度 ~相比硬件設備,自己部署沒有什么花費,但 IPSECVPN受操作系統(tǒng)影響,相比硬件設備穩(wěn)定性會差一些。
以上設備常見廠家( 不排名啊不排名 )
JuniperCheck Point Fortinet (飛塔)思科 天融信 山石網(wǎng)科 啟明星辰 深信服 綠盟網(wǎng)御星云 網(wǎng)御神州 華賽 梭子魚 迪普H3C
6、 網(wǎng)閘
定義:全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡之間的鏈路層連接, 并能夠在網(wǎng)絡間進行安全適度的應用數(shù)據(jù)交換的網(wǎng)絡安全設備
功能:主要是在兩個網(wǎng)絡之間做隔離并需要數(shù)據(jù)交換,網(wǎng)閘是具有中國特色的產品。
部署方式:兩套網(wǎng)絡之間
防火一般在兩套網(wǎng)絡之間做邏輯隔離, 而網(wǎng)閘符合相關要求,可以做物理隔離,阻斷網(wǎng)絡中 tcp 等協(xié)議,使用私有協(xié)議進行數(shù)據(jù)交換,一般企業(yè)用的比較少, 在對網(wǎng)絡要求稍微高一些的單位會用到網(wǎng)閘。
7、SSL VPN
定義:采用 SSL協(xié)議的一種 VPN技術,相比 IPSEC VPN使用起來要更加方便,畢竟 SSL VPN使用瀏覽器即可使用。
功能:隨著移動辦公的快速發(fā)展,SSL VPN的使用也越來越多,除了移動辦公使用,通過瀏覽器登錄SSLVPN連接到其他網(wǎng)絡也十分方便, IPSEC VPN更傾向網(wǎng)絡接入,而 SSL VPN更傾向對應用發(fā)布
部署:SSL VPN的部署一般采用旁路部署方式,在不改變用戶網(wǎng)絡的狀況下實現(xiàn)移動辦公等功能。
8、WAF (Web Application Firewall) web 應用防護系統(tǒng)
定義:名稱就可以看出,WAF的防護方面是 web應用,說白了防護的對象是網(wǎng)站及 B/S 結構的各類系統(tǒng)。
功能:針對 HTTP/HTTPS協(xié)議進行分析,對 SQL注入攻擊、XSS攻擊 Web攻擊進行防護,并具備基于 URL 的訪問控制;HTTP協(xié)議合規(guī);Web敏感信息防護;文件上傳下載控制;Web 表單關鍵字過濾。網(wǎng)頁掛馬防護,Webshell 防護以及 web應用交付等功能。
部署:通常部署在 web應用服務器前進行防護
IPS 也能檢測出部分web攻擊,但沒有WAF針對性強,所以根據(jù)防護對象不同選用不同設備,效果更好。
9、網(wǎng)絡安全審計
定義:審計網(wǎng)絡方面的相關內容
功能:針對互聯(lián)網(wǎng)行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。滿足用戶對互聯(lián)網(wǎng)行為審計備案及安全保護措施的要求,提供完整的上網(wǎng)記錄,便于信息追蹤、系統(tǒng)安全管理和風險防范。
部署:采用旁路部署模式,通過在核心交換機上設置鏡像口,將鏡像數(shù)據(jù)發(fā)送到審計設備。
10、數(shù)據(jù)庫安全審計
定義:數(shù)據(jù)庫安全審計系統(tǒng)主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務器的各類操作行為。
功能:審計對數(shù)據(jù)庫的各類操作,精確到每一條 SQL命令,并有強大的報表功能。
部署:采用旁路部署模式,通過在核心交換機上設置鏡像口,將鏡像數(shù)據(jù)發(fā)送到審計設備。
11、日志審計
定義:集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問記錄、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)等各類信息,經(jīng)過規(guī)范化、過濾、歸并和告警分析等處理后,以統(tǒng)一格式的日志形式進行集中存儲和管理,結合豐富的日志統(tǒng)計匯總及關聯(lián)分析功能,實現(xiàn)對信息系統(tǒng)日志的全面審計。
功能:通過對網(wǎng)絡設備、安全設備、主機和應用系統(tǒng)日志進行全面的標準化處理,及時發(fā)現(xiàn)各種安全威脅、異常行為事件,為管理人員提供全局的視角,確保客戶業(yè)務的不間斷運營安全部署:旁路模式部署。通常由設備發(fā)送日志到審計設備, 或在服務器中安裝代理,由代理發(fā)送日志到審計設備。
12、運維安全審計 ( 堡壘機 )
定義:在一個特定的網(wǎng)絡環(huán)境下, 為了保障網(wǎng)絡和數(shù)據(jù)不受來自內部合法用戶的不合規(guī)操作帶來的系統(tǒng)損壞和數(shù)據(jù)泄露, 而運用各種技術手段實時收集和監(jiān)控網(wǎng)絡環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡活動,以便集中報警、記錄、分析、處理的一種技術手段。
功能:主要是針對運維人員維護過程的全面跟蹤、 控制、記錄、回放,以幫助內控工作事前規(guī)劃預防、事中實時監(jiān)控、違規(guī)行為響應、事后合規(guī)報告、事故追蹤回放。
部署:旁路模式部署。使用防火墻對服務器訪問權限進行限制,只能通過堡壘機對網(wǎng)絡設備/服務器/數(shù)據(jù)庫等系統(tǒng)操作。
可以看出審計產品最終的目的都是審計,只不過是審計的內容不同而已,根據(jù)不同需求選擇不同的審計產品,一旦出現(xiàn)攻擊、非法操作、違規(guī)操作、誤操作等行為,對事后處理提供有利證據(jù)。
13、入侵檢測( IDS)
定義:對入侵攻擊行為進行檢測
功能:通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息并對其進行分析, 從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象
部署:采用旁路部署模式,通過在核心交換機上設置鏡像口,將鏡像數(shù)據(jù)發(fā)送到入侵檢測設備。
入侵檢測雖然是入侵攻擊行為檢測, 但監(jiān)控的同時也對攻擊和異常數(shù)據(jù)進行了審計,所以把入侵檢測系統(tǒng)也放到了審計里一起介紹。入侵檢測系統(tǒng)是等保三級中必配設備。
14、上網(wǎng)行為管理
定義:顧名思義,就是對上網(wǎng)行為進行管理
功能:對上網(wǎng)用戶進行流量管理、上網(wǎng)行為日志進行審計、對應用軟件或站點進行阻止或流量限制、關鍵字過濾等
部署:網(wǎng)關部署、透明部署、旁路部署
網(wǎng)關部署:中小型企業(yè)網(wǎng)絡較為簡單,可使用上網(wǎng)行為管理作為網(wǎng)關,代替路由器或防火墻并同時具備上網(wǎng)行為管理功能
透明部署:大多數(shù)情況下,企業(yè)會選擇透明部署模式,將設備部署在網(wǎng)關與核心交換之間,對上網(wǎng)數(shù)據(jù)進行管理
旁路部署:僅需要上網(wǎng)行為管理審計功能時,也可選擇旁路部署模式,在核心交換機上配置鏡像口將數(shù)據(jù)發(fā)送給上網(wǎng)行為管理
個人覺得上網(wǎng)行為管理應該屬于網(wǎng)絡優(yōu)化類產品,流控功能是最重要的功能,隨著技術的發(fā)展,微信認證、防便攜式 wifi 等功能不斷完善使之成為了網(wǎng)絡管理員的最愛 ~
15、負載均衡
定義:將網(wǎng)絡或應用多個工作分攤進行并同時完成,一般分為鏈路負載和應用負載 ( 服務器負載 )
功能:確保用戶的業(yè)務應用能夠快速、安全、可靠地交付給內部員工和外部服務群,擴展網(wǎng)絡設備和服務器的帶寬、增加吞吐量、加強網(wǎng)絡數(shù)據(jù)處理能力、提高網(wǎng)絡的靈活性和可用性
部署:旁路模式、網(wǎng)關模式、代理模式
旁路模式:通常使用負載均衡進行應用負載時,旁路部署在相關應用服務器交換機上,進行應用負載
網(wǎng)關模式:通常使用鏈路負載時,使用網(wǎng)關模式部署
隨著各種業(yè)務的增加,負載均衡的使用也變得廣泛, web應用負載,數(shù)據(jù)庫負載都是比較常見的服務器負載。鑒于國內運營商比較惡心,互聯(lián)互通問題較為嚴重,使用鏈路負載的用戶也比越來越多。
16、漏洞掃描
定義:漏洞掃描是指基于漏洞數(shù)據(jù)庫, 通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測,發(fā)現(xiàn)可利用的漏洞的一種安全檢測(滲透攻擊)行為。
功能:根據(jù)自身漏洞庫對目標進行脆弱性檢測, 并生產相關報告,提供漏洞修復意見等。一般企業(yè)使用漏洞掃描較少,主要是大型網(wǎng)絡及等、分保檢測機構使用較多
部署:旁路部署, 通常旁路部署在核心交換機上, 與檢測目標網(wǎng)絡可達即可。
17、異常流量清洗
定義:看名字吧
功能:對異常流量的牽引、 DDoS流量清洗、 P2P帶寬控制、流量回注,也是現(xiàn)有針對 DDOS攻擊防護的主要設備
部署:旁路部署
VPN 定義
VPN ( Virtual Private Network )虛擬專用網(wǎng)絡 ,簡單的講就是因為一些特定的需求, 在網(wǎng)絡與網(wǎng)絡之間, 或終端與網(wǎng)絡之間建立虛擬的專用網(wǎng)絡,通過加密隧道進行數(shù)據(jù)傳輸 ( 當然也有不加密的 ) ,因其部署方便且具有一定的安全保障,被廣泛運用到各個網(wǎng)絡環(huán)境中。
(二)VPN分類
常見的 VPN有 L2TP VPN 、PPTP、VPN、IPSEC、VPN、SSL、VPN以及 MPLS VPN。
MPLS
VPN 運營商使用較多,使用場景多為總部與分支機構之間。其他 VPN因部署方便,成本較低成為現(xiàn)在使用最為廣泛的 VPN。
L2TPVPN與 PPTP VPN因使用的隧道協(xié)議都屬于二層協(xié)議,所以也稱為二層 VPN。IPSEC VPN則采用IPSec 協(xié)議,屬于三層 VPN。
SSLVPN是以 HTTPS協(xié)議為基礎 VPN技術,使用維護簡單安全,成為 VPN技術中的佼佼者
(三)VPN部署與實現(xiàn)方式及應用場景介紹
1、部署模式主要采用網(wǎng)關模式和旁路模式部署兩種,使用專業(yè)VPN硬件設備建立VPN時多為旁路部署模式, 對現(xiàn)有網(wǎng)絡不需要改動, 即使 VPN設備出現(xiàn)問題也不會影響現(xiàn)有網(wǎng)絡。使用防火墻 / 路由器自帶VPN功能建立 VPN時, 隨其硬件部署模式部署。
2、實現(xiàn)方式主要有以下幾種 :
(1) 通過使用專業(yè) VPN軟件來建立VPN
優(yōu)點 : 投入較少,部署比較靈活
缺點 : 穩(wěn)定性受服務器硬件、操作系統(tǒng)等因素影響
(2) 通過使用服務器自行架設 VPN服務器建立 VPN,windows 服務器為主
優(yōu)點 : 投入較少,部署比較靈活, windows 系統(tǒng)自帶
缺點 : 穩(wěn)定性受服務器硬件、操作系統(tǒng)等因素影響,需自行配置
(3) 通過使用防火墻 / 路由器設備自帶 VPN功能建立 VPN。
優(yōu)點 : 投入較少,穩(wěn)定性好
缺點 : 因使用現(xiàn)有設備自帶 VPN模塊,對 VPN訪問量較大的需求不建議使用,以免出現(xiàn)設備性能不足影響防火墻 / 路由器使用。作為現(xiàn)有設備的自帶模塊,無法滿足用戶特殊要求。部署方式相對固定
(4) 通過使用專業(yè)的 VPN硬件設備建立 VPN。
優(yōu)點 : 產品成熟適用于各種 VPN場景應用,功能強大,性能穩(wěn)定。
缺點 : 比較花錢 ~~~~~硬件設備需要花錢, 用戶授權需要花錢, 反正啥都需要花錢
3、讓更多人糾結的應該是在何場景下選擇哪種方式來建立VPN,根據(jù)本人工作經(jīng)驗為大家介紹一些常見的 VPN應用場景。
場景一 總部與分支機構互聯(lián)
大型企業(yè)總部與分支結構通常使用 MPLS VPN進行互聯(lián),相對于大型企業(yè)中小型企業(yè)則選擇使用投入較低的 IPSECVPN進行互聯(lián)。
例如 : 某大型超配 ( 超市配送 ) 企業(yè),總部與自營大型超市之間使用MPLS VPN進行數(shù)據(jù)傳輸,總部與自營小型超市則使用 IPSEC VPN進行數(shù)據(jù)傳輸。根據(jù)各超市數(shù)據(jù)傳輸需要選擇不同的 vpn 技術相結合使用,節(jié)約投入成本的同時最大限度的滿足與總部的數(shù)據(jù)傳輸。
場景二 移動辦公
網(wǎng)管遠程維護設備、 員工訪問內網(wǎng)資源、 老總出差電子簽批等移動辦公已成為企業(yè)信息化建設的重要組成部分,同時也為VPN市場帶來了巨大商機。SSL VPN因其使用維護方便成為了移動辦公的不二之選,打開瀏覽器即可使用。在沒有 SSLVPN條件下,網(wǎng)管進行設備遠程維護則通常使用 L2TP VPN或 PPTP VPN。
場景三 遠程應用發(fā)布
SSLVPN中的功能,主要針對需要安裝客戶端的 C/S服務訪問需求,手機和平板因屏幕大小、鼠標、鍵盤使用等因素體驗感欠佳。特定場景下 PC訪問效果較好。
例如 : 某公司財務部門對使用的財務軟件做遠程應用發(fā)布,其他用戶無需安裝財務軟件客戶端也可以方便使用。
場景四 手機APP與 VPN結合
隨著手機的普及,大家都希望通過手機能解決很多工作中的問題,手機 APP解決了遠程應用發(fā)布中存在的一些使用問題, 但考慮到安全方面的問題,用戶希望通過手機 APP與 VPN技術相結合,方便使用的同時也降低了安全風險。
例如 : 某集團 OA手機 APP,直接通過互聯(lián)網(wǎng)地址映射訪問存在一定安全隱患,配合 VPN技術使用,先將手機與集團建立 VPN隧道,再通過APP訪問集團內部 OA APP服務器。
最后做一個的總結 : 究竟使用哪一種 VPN技術來滿足用戶的需求,還是要根據(jù)用戶業(yè)務需求來考慮,所以希望大家要對相關業(yè)務有一個初步的了解, 對癥下藥。還有一些如 VPDN、DMVPN等內容沒有