支持远程拨入的VPN技术,使员工在出差、下班时可以连接到公司的局域网处理工作,给工作带来了很大的便利。所以现在很多公司都支持VPN远程拨入。本文将简单介绍VPN的几种组建方式,以及相关的安全问题。如果您需要创建site-to-site的VPN,请参考:Ipsec VPN
1. PPTP VPN
PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码验证协议(PAP)、可扩展认证协议(EAP)等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。
-
PPTP的优点:无需安装软件,配置方便,windows/andriod系统默认就可以支持。
-
PPTP的缺点主要在于安全性较低。比如PPTP验证中的mschapv2加密协议,总key长度为 2^56 x2 = 57bits,如果登录过程被抓包,存在被暴力破解的可能。
PPTP的配置如下图,只需要配置一个IP范围,选择支持的验证协议和是否MPPE加密即可。
2. OpenVPN(SSL VPN)
如果要追求更高的安全性,推荐使用Open VPN。OpenVPN是SSL VPN的一种,采用了SSL非对称加密,以目前的硬件运算能力,基本上不存在被破解的可能。而且Open VPN采用了专用的客户端程序,穿透性和兼容性要强于PPTP。
Open VPN的缺点在于配置相对复杂,而且需要专用客户端程序。OpenVPN的配置截图如下:
客户端程序:
3. 开启远程办公的情况下,如何保证企业的数据安全?
开启远程办公的情况下,外部人员可以直接从互联网接入公司局域网,那么企业的机密数据就会存在被泄漏的可能。数据安全的保障,主要考虑如下几点:
-
选择适合的VPN方案。如果数据安全要求不高,那完全可以用PPTP。否则就用更安全的SSL VPN。
-
通过防火墙规则,禁止外网拨入到相关资源的访问(参考下面的截图)
-
数据文件自身的安全机制。请参考:企业外发文件管控方案总结
下图是防火墙禁止外网到内网相关资源的访问:
