要通过Internet来连接分散的中小型企业,这无疑向企业家及其星罗棋布的办公室提出了独一无二的挑战。本白皮书描述了连接远程工作员工和办公室的3种模式:基于客户端的VPN软件,多个制造商混合的点对点VPN方案,以及使用集成防火墙的单一制造商方案。本文对每种模式的优点和缺点都进行了探讨。
若管理得当,Internet能极大地提高工作效率,使员工能在最便捷的地方工作——不管他们身处世界各地,还是在同一城市。其实,要建立分布式网络有不少方法。而其中最好的方法就是建立一个集成的体系结构,它不仅能实现安全的远程安装、管理和故障诊断,而且能够正确贯彻你的公司安全策略——所有这些能长期帮助你节省时间和金钱,为你带来可观的投资回报。
将远程站点连接到公司总部网络的3种模式
防火墙的初始概念非常简单——通过限制访问来保护局域网和Internet之间的“边界”。但是,随着人们对Internet的依赖越来越大,与Internet连接的电脑所面临的安全威胁日益严峻。
中小型公司通常不具备实现企业级网络安全性所需的充足资源,所以在这些威胁面前显得尤其脆弱。如果你在网络中增添了远程办公室和远程工作人员工作站,未经许可进入小企业网络的可能性还会显著增加。
为了限制破坏,防火墙的保护范围必须扩展到网络上的所有用户——包括直接受防火墙保护的用户以及防火墙外部的用户。“虚拟专用网络”方案尤其引人注目,因为它们能提供一个私有的、像专用租线网络一样的安全性,同时不必支付现实中拥有这种网络所需的价格。
VPN使用加密技术将数据搅乱,使其在通过Internet传输的时候处于不可识别状态,从而在公用网络上提供了保密性。与远程办公室或远程工作人员联网的公司通常都使用VPN来连接多个办公点。
选择一种VPN方案时要注意的问题
为了理解拥有和运行一个VPN端点所涉及的全部成本和各种可能性,你需要认真考虑使用它时的方方面面。如果不这样做,最终可能会导致你投入远超于计划的时间、精力和金钱。在决定选择哪一种VPN方案来连接你的远程办公室和网络前,请回答以下几个问题:
·策略控制。谁在隧道的另一端?你放心让他们访问你的整个受托网络吗?还是,你需要限制他们的访问?
·故障诊断。如果远程端出现故障,排除故障的难度有多大?
·日志记录。终端为防火墙/VPN网关提供了通用日志格式吗?如果没有,那么日志怎么同步?
·通信分隔。如果VPN端是在某人家里,那么他们能将公司通信与家庭通信分隔开吗?
·身份验证。你怎样知道隧道上传输的数据是来自员工,而不是来自他的黑客朋友呢?