當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

通過防火墻來堵住VPN安全漏洞

http://www.yibo1263.com　2008/5/6 7:59:29 　來源:互聯(lián)網(wǎng)實驗室　編輯:張佳奇

　　安全問題是VPN的核心問題。目前，VPN的安全保證主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密匙來實現(xiàn)的，足以保證企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。

　　但是，如果一個企業(yè)的VPN需要擴展到遠程訪問時，就要注意，這些對公司網(wǎng)直接或始終在線的連接將會是黑客攻擊的主要目標(biāo)。因為，遠程工作員工通過防火墻之外的個人計算機可以接觸到公司預(yù)算、戰(zhàn)略計劃以及工程項目等核心內(nèi)容，這就構(gòu)成了公司安全防御系統(tǒng)中的弱點。雖然，員工可以雙倍地提高工作效率，并減少在交通上所花費的時間，但同時也為黑客、競爭對手以及商業(yè)間諜提供了無數(shù)進入公司網(wǎng)絡(luò)核心的機會。

　　但是，企業(yè)并沒有對遠距離工作的安全性予以足夠的重視：大多數(shù)公司認為，公司網(wǎng)絡(luò)處于一道網(wǎng)絡(luò)防火墻之后是安全的，員工可以撥號進入系統(tǒng)，而防火墻會將一切非法請求拒之其外；還有一些網(wǎng)絡(luò)管理員認為，為網(wǎng)絡(luò)建立防火墻并為員工提供VPN，使他們可以通過一個加密的隧道撥號進入公司網(wǎng)絡(luò)就是安全的。這些看法都是不對的。

　　在家辦公是不錯，但從安全的觀點來看，它是一種極大的威脅，因為，公司使用的大多數(shù)安全軟件并沒有為家用計算機提供保護。一些員工所做的僅僅是進入一臺家用計算機，跟隨它通過一條授權(quán)的連接進入公司網(wǎng)絡(luò)系統(tǒng)。雖然，公司的防火墻可以將侵入者隔離在外，并保證主要辦公室和家庭辦公室之間VPN的信息安全。但問題在于，侵入者可以通過一個被信任的用戶進入網(wǎng)絡(luò)。因此，加密的隧道是安全的，連接也是正確的，但這并不意味著家庭計算機是安全的。

　　黑客為了侵入員工的家用計算機，需要探測IP地址。有統(tǒng)計表明，使用撥號連接的IP地址幾乎每天都受到黑客的掃描。因此，如果在家辦公人員具有一條諸如DSL的不間斷連接鏈路（通常這種連接具有一個固定的IP地址），會使黑客的入侵更為容易。因為，撥號連接在每次接入時都被分配不同的IP地址，雖然它也能被侵入，但相對要困難一些。一旦黑客侵入了家庭計算機，他便能夠遠程運行員工的VPN客戶端軟件。如果需要輸入密碼，可以遠程記錄對鍵盤的敲擊或者查看屏幕顯示，這樣黑客便可以看到員工所看到的一切。

　　因此，必須有相應(yīng)的解決方案堵住遠程訪問VPN的安全漏洞，使員工與網(wǎng)絡(luò)的連接既能充分體現(xiàn)VPN的優(yōu)點，又不會成為安全的威脅。在個人計算機上安裝個人防火墻是極為有效的解決方法，它可以使非法侵入者不能進入公司網(wǎng)絡(luò)。當(dāng)然，還有一些提供給遠程工作人員的實際解決方法：

　　所有遠程工作人員必須被批準(zhǔn)使用VPN.

　　所有遠程工作人員需要有個人防火墻，它不僅防止計算機被侵入，還能告訴你，連接被掃描了多少次。

　　所有的遠程工作人員應(yīng)具有侵入檢測系統(tǒng)，來提供對黑客攻擊信息的記錄。

　　公司的IT小組應(yīng)該為用戶建立家用系統(tǒng)，這樣，更容易發(fā)現(xiàn)系統(tǒng)的弱點，并能有針對性地堅固系統(tǒng)，而不是讓用戶自行購買、訂購系統(tǒng)產(chǎn)品。

　　在辦公室中實施的計算機管理辦法對遠程辦公人員應(yīng)同樣有效。

　　監(jiān)控安裝在遠端系統(tǒng)中的軟件，并將其限制只能在工作中使用。

　　公司的IT小組需要對這些系統(tǒng)進行與辦公室系統(tǒng)同樣的定期性預(yù)定檢查。

　　外出工作人員應(yīng)對敏感文件進行加密。

　　安裝要求輸入密碼的訪問控制程序，如果輸入密碼錯誤，則通過調(diào)制解調(diào)器向系統(tǒng)管理員發(fā)出警報。

　　外出工作人員應(yīng)記住不要將計算機單獨放在旅館的房間里或車上，不要讓已通過VPN進入公司網(wǎng)絡(luò)的計算機離開你的視線。

　　外出工作人員應(yīng)使計算機具有多級安全防護，如屏幕鎖定或啟動密碼。

　　當(dāng)選擇DSL供應(yīng)商時，應(yīng)選擇能夠提供安全防護功能的供應(yīng)商。

【收藏】【打印】【進入論壇】

相關(guān)文章：

·邊界路由器加防火墻保證企業(yè)安全

·選擇硬件防火墻注意緊抓四要素

·思科防火墻PIX ASA精華配置總結(jié)

·路由器與防火墻安全性大對比

·企業(yè)選購指南：國內(nèi)防火墻大比拼

·網(wǎng)絡(luò)防火墻選購十要素

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费