?? 除了傳統(tǒng)的VPN方式��,職員還有其他一些遠(yuǎn)程登陸公司網(wǎng)絡(luò)并使用其資源的選擇��。Informit.com的一篇文章稱��,如果你將訪問(wèn)和安全的需求與開銷和復(fù)雜性相權(quán)衡��,也許你會(huì)尋求除了傳統(tǒng)的VPN之外其他的選擇��。
?? 遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)的最好方式是什么?
?? 固定的虛擬專用網(wǎng)絡(luò)(VPN)是最能使網(wǎng)絡(luò)管理員安然入夢(mèng)的答案��。VPN采用端到端的加密方式在公網(wǎng)上建立一條獨(dú)立傳輸信道��。
?? 最安全的VPN的傳統(tǒng)做法是��,職員遠(yuǎn)程從固定地點(diǎn)��,最理想的是采用可控的��,公司提供的設(shè)備��,連接到安全的私有網(wǎng)絡(luò)��。建立這樣的連接設(shè)置需要花費(fèi)相當(dāng)?shù)木?�,不管用戶采用軟件��,固件還是硬件��,你都需要在兩端建立并維護(hù)硬件、軟件以及各種設(shè)置��,同時(shí)還包括認(rèn)證��。但是所獲得的安全性將使你感到付出的勞動(dòng)是值得的��。
?
?? 現(xiàn)在��,我們看看相關(guān)的協(xié)議��。在這方面��,一共有三到四個(gè)協(xié)議��。其中只有一個(gè)值得我們特別重視——IPSec��,它足夠安全��,特別是在和L2TP一同使用時(shí)��。
?? IPSec是合格的選擇��。它在數(shù)據(jù)包級(jí)進(jìn)行加密��。PPTP具有較弱的密鑰,較弱的密碼散列算法和不可靠的通信控制��。L2TP數(shù)據(jù)可以被網(wǎng)絡(luò)嗅探器讀取��。但是��,當(dāng)與IPSec結(jié)合進(jìn)行加密時(shí)��,L2TP變?yōu)椴豢勺x��,并為IPSec提供多種協(xié)議的認(rèn)證訪問(wèn)��。需要注意的是��,購(gòu)買的設(shè)備需要支持IPSec與L2TP結(jié)合的標(biāo)準(zhǔn)��。
?? SSL
?? 也許你的員工工作地點(diǎn)不固定��,他需要從不同的地點(diǎn)進(jìn)行訪問(wèn)��。銷售人員是最典型的例子��,他們也許會(huì)從旅館房間或客戶那里連接到你的網(wǎng)絡(luò)��。
?? 對(duì)于這些用戶來(lái)說(shuō)��,事情可以變得更簡(jiǎn)單��,這取決于他們需要從你的網(wǎng)絡(luò)取得什么樣的權(quán)限��。近年來(lái)��,SSLVPN設(shè)備已經(jīng)浮出水面��,如Aventail和Juniper公司的一些產(chǎn)品��。它們對(duì)訪問(wèn)者無(wú)任何其他要求——不需要安裝軟件��,不需要匹配的硬件��,只需要其使用支持SSL的瀏覽器��。遠(yuǎn)程用戶可以從任何具有SSL瀏覽器或公共信息亭的地方登陸VPN��。
?? 網(wǎng)絡(luò)管理員事先設(shè)置訪問(wèn)權(quán)限和認(rèn)證形式��,根據(jù)不同的用戶以及他登陸位置的安全程度等因素制定不同的規(guī)則��。如果用戶從公共信息亭電話撥入��,那么他將看不到那些他從家中經(jīng)過(guò)許可的設(shè)備上登錄所能看到的信息��,如病例檔案——如果網(wǎng)絡(luò)管理員設(shè)置正確的話。你不會(huì)希望你的醫(yī)生在機(jī)場(chǎng)查看你的病歷——因?yàn)樗锌赡芡浲顺鱿到y(tǒng)��,那樣的話��,其他機(jī)場(chǎng)的旅客也將會(huì)有機(jī)會(huì)對(duì)你的病歷進(jìn)行一下分析��。
?? 以上是SSLVPN的一個(gè)安全問(wèn)題��。另一個(gè)SSLVPN的安全問(wèn)題是��,最近發(fā)現(xiàn)��,盡管VPN具有清除自己緩存的工具��,但是本地的桌面搜索引擎會(huì)保留SSLVPN會(huì)話��,并對(duì)其建立索引��。目前已經(jīng)出現(xiàn)了一些SSLVPN制造商提供的工具來(lái)對(duì)付這一新的安全威脅��。
?? 終端服務(wù)(TerminalServices)
?? 微軟終端服務(wù)使用戶從遠(yuǎn)程以精簡(jiǎn)客戶機(jī)形式使用應(yīng)用程序��。終端服務(wù)��,作為WindowsNTServer4.0TerminalServices版��、Windows2000以及.NETServer的一部分��,對(duì)許多具有身份胸牌的企業(yè)和遠(yuǎn)程訪問(wèn)時(shí)須出示認(rèn)證標(biāo)識(shí)的職員來(lái)說(shuō)是一個(gè)歷史悠久的制度��。從用戶登錄起��,每30秒用戶得到一個(gè)新的密碼號(hào)��,用戶需要將此信息連同他的登錄信息一起輸入��。這當(dāng)然只是認(rèn)證的方法之一��。
?? "終端服務(wù)器"從最初發(fā)布的時(shí)候��,就象它的前輩CitrixSystems公司的CitrixWinFrame一樣��,成為對(duì)諸多企業(yè)頗具吸引力的一種提供員工遠(yuǎn)程登錄的方式��,至今仍然如此��。融合了Citrix的’SecureICAServices��,128位端到端加密��,TermServer的數(shù)據(jù)流變得更加安全��。但你不得不去考慮那些在安全登錄以后發(fā)生的情況。
?? 遠(yuǎn)程控制
?? 也許最易于設(shè)置��,成本最低的遠(yuǎn)程職員接入方法就是遠(yuǎn)程控制��,例如Symantec的PCAnywhere��。這些產(chǎn)品使遠(yuǎn)程用戶可以控制遠(yuǎn)端辦公室中的設(shè)備��。開放源碼的VNC是一種選擇��,它可以在Windows��、Mac��、Linux和其他平臺(tái)上運(yùn)行��,它使用起來(lái)比較復(fù)雜��,而且需要掌握相當(dāng)?shù)念~外技能��。但你只需在你覺(jué)得它勝任的情況下才為它埋單��。
?? 一些遠(yuǎn)程控制軟件��,如Netopia的TimbuktuVersion7��,在將你屏幕的備份通過(guò)internet發(fā)送的時(shí)候��,采用非標(biāo)準(zhǔn)化的加密��。目前��,Timbuktu采用私有的方法將位打亂��,并將屏幕的部分隨機(jī)處理��。專家建議不要采用私有的加密方法��,因?yàn)?�,即使是很出名的方法也常常?jīng)不起嚴(yán)格的檢測(cè)��,此外��,對(duì)于一種私有的加密方法來(lái)說(shuō)��,你很有可能會(huì)碰上掛羊頭賣狗肉的情況��。(Netopia稱��,在下一版本的Timbuktu中��,它們將采用一種目前尚未公布的標(biāo)準(zhǔn)加密方法。)
?? 目前��,Altiri公司的CarbonCopy軟件只在認(rèn)證時(shí)采用128位的MD5加密方法��,在2004年曝光的MD5所具有的沖突性弱點(diǎn)對(duì)CarbonCopy來(lái)說(shuō)將不會(huì)是個(gè)問(wèn)題��。CarbonCopy的數(shù)據(jù)流通過(guò)對(duì)每個(gè)發(fā)送的數(shù)據(jù)包采用64位的私有加密密鑰進(jìn)行防護(hù)��。用戶可以任意定義對(duì)數(shù)據(jù)流進(jìn)行認(rèn)證的密鑰——如果他們能提供密鑰的話��。
?? Symantec剛剛發(fā)布了具備同時(shí)為認(rèn)證和數(shù)據(jù)流進(jìn)行AES加密(達(dá)到256位加密長(zhǎng)度)的PCAnywhere11.5��。此一新版本的PCAnywhere同樣提供了主機(jī)地址屏蔽��,13種認(rèn)證方法(包括RSASecurID認(rèn)證)��,可以識(shí)別TCP/IP地址和子網(wǎng)以決定是否允許接入��,以及將PCAnywhere主機(jī)從TCP/IP瀏覽器列表中隱藏的選項(xiàng)��。
?? 在購(gòu)買產(chǎn)品前��,需要仔細(xì)閱讀安全規(guī)范說(shuō)明��,因?yàn)榍闆r在不停地變化��,到BugTraq根據(jù)產(chǎn)品名錄查找(按時(shí)間順序)相關(guān)的安全報(bào)告��。
?? 同時(shí)��,確定你可以清空辦公室電腦的屏幕顯示��,這樣遠(yuǎn)程職員就不會(huì)擔(dān)心他們?cè)诩抑兴龅氖虑楸黄渌丝吹健?/p>
關(guān)鍵詞標(biāo)簽:VPN,遠(yuǎn)程網(wǎng)絡(luò)
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程