远程访问VPN设备该怎样挑选

网络安全之远程访问VPN

虚拟专用网（远程访问VPN）络设备是网络安全设备市场上的一个重要成员，但其角色已经发生了变化。企业WLAN的扩展，再加上正在消失的网络外围，都意味着VPN用户不再是“远程的”。

如今，VPN可以向任何移动设备（包括漫游的智能电话）提供公司资源的安全（经认证的、加密的）访问。从远在异地的笔记本电脑到本地的平板电脑，我们要确认安全的访问需要，并关注VPN设备如何强化自身，以满足企业日益增长的需要。

远程访问VPN的演化

二十年前，需要远程网络访问的雇员，必须拨号进入私有的Modem池。而十年前，多数单位用其基于互联网的访问代替拨号访问，它们使用的IPSec在VPN网关和客户端之间建立隧道。到2006年的时候，趋势又发生变化，SSL（安全套接字层）成为基于浏览器的“无客户端”远程访问的一种普遍选择。

如今，业界普遍认为基于SSLv3及TLSv1(传输层安全)的VPN是企业级安全的最佳实践。但在发展过程中，企业开始注重可访问性和透明性。具体而言，虽然TLS自身是一种IETF标准， VPN产品却以不同的方式使用TLS和DTLS，在端点的限制、风险与每个用户、应用程序的需要之间寻求平衡。

这种灵活性已变得日益重要，但这样同时使得产品的选择和部署变复杂了。例如，当代SSL VPN设备常常提供：

1、对有风险的端点，在访问特定的应用程序时，保障WEB入口访问的安全。

2、对多数端点而言，在访问常见的应用程序时，保障代理访问的安全。

3、对支持Java/ActiveX的端点而言，保障端口转发到应用程序的安全。

4、借助TLS或IPSec VPN客户端，保障网络通道的安全。

但这些功能如何工作，支持哪些应用程序，哪些端点可以使用，以及部署后带来的影响都千差万别。过去几年，SSL VPN的功能及其部署方式已经有了很大进步，例如，使用第三层的TLS或DTLS隧道来支持对延迟敏感的语音和多媒体应用。然而，我们仍需深入研究细节，看看某种特定设备是否满足企业需求。

IT的消费化及自带设备

SSL VPN可以减少远程访问支持的成本和复杂性。通过使用浏览器而不是客户端，SSL VPN可确保从大量端点远程访问时的安全性，包括非IT管理的家用和公用电脑。

如今，无需安装软件，就可以从任何授权的PC访问远程VPN。同样，从很多授权的智能电话或平板电脑也可以访问VPN。许多无法管理的或移动端点会受到限制，只能访问VPN入口或代理访问。

有些访问限制是由策略驱使的。为管理端点的风险，IT可以仅给予合伙人很小的访问权，只能访问很少的URL。当代的远程访问VPN可以提供这种精细的访问控制。

不过，许多限制来自于端点的操作系统或用户（缺乏）许可。TLS网络隧道倾向于要求安装VPN客户，如Win32/64和Mac OS，却鲜有iOS或Android等系统。通过TLS的端口转发通常涉及按需下载的Java或ActiveX,但ActiveX并非在哪里都可以运行，且端口转发会要求管理员权限。

而且，当今的远程访问VPN产品提供了许多可以减轻风险的特性，从预连接扫描到会话后的清理。任何考虑购买VPN来管理端点的企业都应当密切关注这些产品，看其是否满足企业需要，并评估对需要此产品的支持程度，尤其要重视策略检查。

正在消失的外围

随着移动性的增长，企业网络的外围被挤压、撕裂。在所有的端点都是远程端点时，在网络边缘部署VPN网关是很有益处的，这可以将授权的加密隧道与私有的子网或资源连接起来。但现在，端点也许将太多的时间用在这些领域：从连接局域网的网本到连接Wi-Fi的雇员智能电话的诸多方面，后面是不是应该有个结论。

这种情况如何影响到远程访问的VPN产品？对于初入此道的人来说，VPN已经被迫日益透明，从永远在线的VPN到“移动”的VPN。此外，异地的VPN已经开始融入本地的NAC，帮助企业将连续的安全访问交付给每一个用户/端点，而不管它在什么位置。

简言之，今天任何想购买远程访问VPN设备的人都应当思考更大的问题。即使在线的端点不是首先需要进行连接的，也应当在考虑移动性的前提下设计VPN架构，并且评估对策略和用户透明性的影响。最后，考虑监管需要：VPN设备控制着授权用户的访问，因而能够强化分段规则并报告其合规性。

评估标准

以此为基础，你可以确认自己对于远程访问VPN设备的需求。为应对员工们的移动性工作需要，不妨根据角色将员工分成小组。对每一个组，要全面列示其使用端点的设备种类，这些设备必须到达的应用程序类型，准许其访问的特定资源及特定条件等。

为将企业需求与个别产品的功能和特性匹配起来，首先应考虑VPN的功能。下面列举几个重要方面供