@信仰
2年前 提问
1个回答

加强虚拟专用网络安全的策略有哪些

Simon
2年前

加强虚拟专用网络安全的策略有以下这些:

  • 隧道的建立和数据的加密机制:因为安全完全是依赖于这样一条虚拟链路,那么这个隧道可不可靠、隧道里面传输的数据是否有了加密机制保护就显得尤其重要。隧道可以实现多个协议的封装,并且可以增加有关VPN应用的灵活性,可以在无连接的IP网上提供点到点的逻辑通道,在对安全性要求更高的场合,必须应用加密机制,这些加密机制是为那些可以传输在隧道中的数据提供进一步的数据私密性的保护,使得黑客即使图突破了隧道也没办法篡改原始数据。

  • 数据验证:为了防止数据被篡改,就必须有签名或者验证机制来验证这些数据有没有被篡改过,也就是所谓的完整性验证机制,比如md5机制。

  • 用户识别与设备验证:VPN可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问,一般是借助于AAA来实现。这一点对于Access VPN和Extranet VPN具有尤为重要的意义。建立VPN连接的设备之间进行验证可以确保VPN隧道的安全可靠。

  • 入侵检测,网络接入控制:网络入侵检测系统需要同VPN设备进行配合,通过分析源自或送至VPN设备的信息流,避免通过VPN连接使内部网络受到攻击。一般来讲VPN接入的用户可以访问内部网络中大部分资源,可以考虑对VPN接入用户进行分级和控制,确保内部网络的运行安全。

  • 优化VPN部署架构:在实际部署中一定要将VPN设备部署在数据中心外部,同时在VPN设备进向和出向部署IPS等设备。一方面,通过IPS等设备可以防御对VPN的攻击,增加攻击者的攻击难度;另一方面,当攻击者获取VPN权限在进行C段扫描时,相关设备会立即告警,从而大大提高遭遇攻击时的防护反应速度。并且,由于VPN部署在数据中心外侧,因此数据中心的防火墙、IPS与WAF等设备可以防护从VPN发起的对重要服务器的攻击,防止“一点击破,全网尽失”的情况发生。

  • 加强VPN设备的安全管理:将VPN设备的管理界面和用户界面进行分离,采取ACL控制,VPN设备的管理界面只能通过堡垒机进行访问;限制不必要端口如设备的Redis等被非授权IP访问;加强威胁情报,监控VPN设备的漏洞,与厂家密切联系并及时对设备进行升级及加固。