什么是虚拟专用网(VPN)?使用场景是什么?

VPN是一种基于加密的通信方法,它通过共享或公共网络将远程办公室或工作者连接到组织的专用网络。加密有效地在公共网络中形成了一个通道,数据可以在不被窃听者读取的情况下通过。最终用户的设备及其连接的服务器是唯一能够解密数据的设备。

一、VPN使用场景

vpn通常被需要将远程工作者或位置连接到更集中的专用网络的组织所使用。这可以包括公共云中的虚拟私有云。当一个组织发展迅速,无法负担像SD-WAN这样尽可能避免公共互联网的网络解决方案时,使用vpn是一种低资本支出的选择。

与VPN相比,SD-WAN可以访问更多的连接类型,如MPLS、移动网络、公共internet和组织自己的WAN。此外,SD-WAN还能够在整个网络(包括internet)上实现端到端虚拟加密。

二、大型VPN实践案例

为应对冠状病毒大流行,美国国土安全部网络安全和基础设施安全局(CISA)于2020年3月发布了企业VPN安全警报。这场流行病导致远程工作的雇员人数激增。警报列出了与大型远程工作人员相关的安全威胁。与VPN相关的威胁包括:

  • 当组织使用vpn时,恶意参与者会发现更多的漏洞。
  • 组织不太可能用最新的安全补丁更新vpn。
  • 组织可能有有限数量的VPN连接,导致一些员工没有连接。

为了降低这些风险,CISA建议实施以下VPN最佳实践:

  • 使用最新的修补程序和配置更新VPN、网络基础设施设备和远程员工的设备。
  • 在所有VPN连接上实现多因素身份验证或使用强密码。
  • IT安全人员应该测试VPN的限制,为大量使用做准备。
  • 如果可能的话,安全人员应该使用诸如速率限制之类的工具来优先考虑需要更高带宽的用户。

三、vpn的类型及案例

vpn的类型包括远程访问、安全套接字层(SSL)和IPsec。

远程访问VPN是VPN的一种基本形式,它将远程工作者连接到中央专用网络。数据通过共享网络或公共internet连接中的虚拟隧道发送。数据在传输过程中被加密,只有用户计算机上的VPN客户端软件和组织所在地的网络访问服务器才能解密传输的数据。

什么是虚拟专用网(VPN)?使用场景是什么?

远程访问VPN架构的基本描述。远程设备通过internet将加密数据传输到VPN网关,然后传输到专用网络资源。资料来源:国家标准技术研究所

SSL VPN使用SSL协议或其继承者传输层安全(TLS)协议加密数据。几乎所有的现代web浏览器在将用户连接到网站时都开始使用SSL/TLS协议。这意味着不需要用户必须下载或运行的专用客户端软件来建立VPN连接。这就是为什么SSL VPN也称为无客户端VPN。

SSL VPN主要有两种类型:sslportalvpn和ssltunnelvpn。SSL门户VPN使用到网关网站的单个SSL连接,该网关网站允许用户访问专用网络服务。用户只需提供登录凭据即可使用SSL门户VPN。

SSL隧道VPN能够访问不一定基于web的网络服务。SSL隧道VPN需要一个可以与之交互并显示活动内容的浏览器。活动内容包括JavaScript应用程序或交互功能。

IPSec是一套用于加密通信安全的协议。IPsec VPN创建一个隧道,客户端和服务器必须在其中协商方法和参数以保护隧道。安全协会是谈判通过的单向沟通。

internet密钥交换(IKE)协议创建并管理安全关联。创建隧道需要两个安全关联。IPsec隧道可以使用安全关联提供一些安全功能:加密、通过数据身份验证的内容完整性以及发送方和数据源身份验证。

四、如何构建适合自身的VPN

一个组织应该从选择最适合其用例、预算和安全需求的VPN供应商开始。不同的vpn有不同的协议,具有不同的优势。OpenVPN是一种开源协议,其优点是有一个跨所有操作系统(OS)平台工作的应用程序。SSL/TLS vpn的优点是它们是无客户端的,这使得最终用户更容易使用。

一旦建立,下一步是确保组织有适当的硬件和软件来运行VPN:一个VPN服务器、一个VPN路由器和一个VPN客户端应用程序。

服务器可以是本地的,也可以是云托管的。云托管VPN服务器通常用于连接到公共云环境中的虚拟私有云。一个专用的VPN路由器在一个远程办公室比在一个有电脑和电话的家庭办公室更好地用于处理多个设备。

对于在家工作的员工,支持VPN的标准WiFi路由器就足够了。一旦硬件部署并配置到组织的网络,员工就可以将VPN客户端下载到他们的计算机和其他设备上。但是,如果组织使用SSL VPN,则客户端是web浏览器的一部分,不必下载。

然后,员工可以登录到客户端并使用VPN。最好的做法是为VPN客户机提供独立于VPN服务本身的唯一凭据。一旦登录,VPN客户端可以连接到离员工位置最近的服务器。

五、免费vpn的利弊

免费虚拟专用网的主要好处是它的成本,或缺乏成本。对于那些原本无法负担全部VPN部署费用的组织来说,免费的VPN服务可能值得付出潜在的代价。

然而,一个免费的VPN可以提供较慢的连接,强制数据限制,显示大量广告,不那么安全,并且可以赚钱的用户数据。最终,一个组织会得到它所付出的。

六、VPN最佳实践:关键要点

  • VPN使用数据加密建立从远程位置到中央专用网络的安全连接。
  • 为了保证VPN的安全,它应该保持更新到最新的安全补丁和配置。
  • vpn的主要类型有远程访问vpn、SSL/TLS vpn和IPsec vpn。
  • 组织应该研究VPN提供商,并确定哪些服务和协议最适合组织的需要。
  • 一个组织应该避免免费的vpn,如果它可以帮助它。
weinxin
DC Farm小程序二维码
扫一扫添加博客小程序
Jim

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: