在吸引新客户的同时削减WAN费用,这是说服公司领导建立VPN的关键。但是,要让他们知道建立VPN涉及到Internet,它的可靠性和安全性没有专用线路那么好。VPN不仅会获得精明的老板的认可(因为它比租用线路便宜),还可使网络管理员可以基于Internet安全可靠地连接多个站。此外,可以使用Internet连接访问新的商业伙伴和客户。各个公司有不同的远程访问需求,但基本的设计和实施要求是一样的,只要遵循下列10条指南,就可以建立VPN解决任何一家公司的连网需求。
【责任编辑:小木工】
第一步要确定需要什么样的WAN连接。用户通过LAN/WAN连接还是拨号连接访问公司网络?公司是否有远程用户?
WAN连接分为两类:内部网连接和外部网连接。内部网连接同一公司内部的确认站和用户,例如总部和分部,远程办公人士和移动用户。
对于内部连接来说,VPN应当给用户提供对公司网络的相同访问权,就象他们通过物理连接连在一起一样。内部网VPN实施的安全策略通常是标准的公司策略,至少要认证远程用户一次。
对于连接分部的VPN来说,要考虑的一个重要问题是分部的物理安全。“物理安全”涉及分部实施的密钥和安全措施,对于计算设备的网络访问权,以及可以访问这些设施的人数。如果上述问题不存在安全隐患,就可以安全建立“开放式”VPN,即在总部和分部之间建立一条LAN到LAN的连接,而无须使用基于VPN的用户认证机制。
但如果存在安全隐患,网络设计者就要考虑安全保护措施,例如如果设备安全性差,可能要求使用较强的认证,或者限制对总部网络里个别子网的访问。
另一方面,外部网安全通常要求比较严,用户只在必要的时候才能获得对保密数据的访问权,一般用户禁止访问很敏感的网络资源。由于外部网可能涉及公司之外的人士,所以在用户变动管理方面要面对很多特殊的挑战。这基本上是一个政策问题而非技术问题,但必须在确定用户需求时加以解决。
公司网络很容易成为黑客的攻击目标,所以管理工作必须有效阻止来自外部的围攻。公司的安全策略应该规定允许(或不允许)哪种形式的远程访问。安全策略还要确定使用什么样的VPN设备和工具。如果没有供远程认证使用的书面策略,VPN工具不失为建立安全策略的理想工具。
安全策略应当解决以下问题:远程访问资格审查,记账服务,外部网连接责任,以及VPN利用率监视。它要解决给远程员工和移动用户提供Internet访问的问题,可能还要解决其他问题,例如对延迟敏感的数据所使用的加密密钥的长度。如果VPN加密算法要求出口授权,还要寻求法律帮助。
对于外部网来说,安全策略应当指定一种远程用户变动通知方法。要及时从认证数据库里删除不再访问网络的远程用户,这要求外部用户所在的公司和VPN管理员之间有良好的协调关系。人力资源部门可能已经有了管理顾问访问权的方法。这种方法同样适用于VPN用户。
