更新时间: 2023-07-15
使用标准IT推荐的远程企业访问方案– IPsec VPN
因特网协议安全性 (IPSec)是一种开放标准的框架结构,通过使用加密的安全服务以确保在因特网协议 (IP) 网络上进行保密而安全的通讯。微软的Windows2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“因特网工程任务组 (IETF)”IPSec工作组开发的标准。
多数企业安保指南和规则都保持着对公司网络访问的严格管理。因此,任何访问公司网络的远程伙伴或者员工都要经过批准,使用基于IT的远程企业访问方案。
这些方案通常包括建立一个帐号和授权,为**终用户提供一个VPN,可以从任何地方连接到公司网络。VPN技术包括IPsec和SSL。基于IPsec的VPN是**广泛使用的远程访问技术,也是今天企业使用**多的方案。IPsec VPN 技术需要在远程用户计算机上安装特殊软件。基于SSL的VPN现在也非常流行的,因为它们采用一种无客户机(clientless)方式(客户机系统仅需要一个Web浏览器)。
这里推荐的架构使用基于IPsec的VPN,供远程工作人员访问企业网络。安装在远程用户计算机上的软件客户端要支持IPsec VPN。这有时对外部的用户,诸如伙伴或者供应商,是一个挑战,这要按照公司的政策和相关的技术给予处理。在企业级范围部署远程访问方案时,还要考虑关于SSL和IPsec VPN技术的容量和交互问题,这里推荐使用IPsec VPN的解决方案,它可以完成对企业级的远程访问。另一个实施远程访问的选项是不需要终端用户安装软件客户端,因为技术和市场的发展已经具备这样的能力了。
访问企业网络通常需要验证、授权和帐号(AAA),经常要建立一种远程验证拨入用户服务(RADIUS)服务器。另外,企业IT部门甚至可能建立网络访问控制(NAC),用于远程用户核实,外部系统运行一个确定的等级码,并且有确定的安保码(常被称为姿态:Posture)。虽然这里不详细讨论NAC,有些公司的政策可能需要每个远程用户具有自己的安保码以通过NAC核实。NAC带来了一些优势,诸如保护其他的基础设施(比如远程访问服务器),防止来自远程用户因不知道远程系统存在的病毒、键记录器、间谍件、或蠕虫可能带来的感染和影响。
为远程伙伴建立的远程帐号通常不是暂时或即时的服务。它可能需要一段时间来建立,所以这不适合特别或未知的用户。一旦建立完成,通常就可使用,支持一个固定的时间量,因此对内部员工和重要伙伴等熟悉的用户,是一个很好的解决方案。
上一篇:22AD8P7N104工控