选用VPN方案时基于用户端的解决方案应注意哪几个问题
选用VPN方案时基于用户端的解决方案应注意以下几个问题:
集中化策略管理:这是构建大规模VPN解决方案的关键。通过全面分布VPN配置和安全策略实现集中控制,策略管理简化了VPN开通和管理工作。供应商网络成为一个一体化系统,而不是不同产品拼凑在一起的集合,它能够为网络上任何地方的任何服务集中提供支持。
强大的安全和认证:VPN解决方案与防火墙一样关键。服务平台应能够紧密地与其他企业防火墙和入侵检测系统实现同步管理。平台中应包括一个紧密集成的经过ICSA认证的防火墙。为了实现用户认证功能,平台应支持Secure ID令牌或X.509数字证书。应避免采用通用操作系统作为VPN设备的基础,因为这些操作系统可能存在安全漏洞。
全面集成:由于VPN是保证商业合作伙伴和企业客户安全通信的网络,因此产品线中必须全面集成和管理一套互补的技术和设备。VPN可以使用专用VPN路由器构建,也可以把VPN网关附加连接在现有的路由器上。下一代VPN路由器将是专用的,提供紧密集成的IP路由、安全、防火墙和带宽管理功能。VPN网关通常是一种低成本设备,它将在过去安装的IP网络之上,叠加提供隧道加密和防火墙服务等功能。
符合标准:安全VPN采用的标准是网际安全协议(IPSec),这是一项Internet工程任务小组(IETF)标准,并不是所有供应商都部署了带有128位IPSec加密技术的管理型VPN服务。
多个认证中心(CA)支持:企业不应局限于专有的认证中心(CA)或认证注册协议,通过支持多个CA,如Entrust和VeriSign,网络管理员可以选择最优秀的公共密钥基础设施(PKI)技术。
硬件加速加密:执行加密和解密要求具备密集型处理能力,特别是在执行自动密钥交换时。对T-3之类的高速应用,服务平台应具有硬件加速加密功能。低速应用可以运行基于软件的加密功能。
扩充能力:大多数企业面临着不断变化的网络需求,包括更快速的连接和越来越多的连接位置。实现VPN解决方案后,不必更换所有硬件和软件。VPN体系结构至少应支持数十台VPN网关和数千个VPN客户端。