问:我们计划在企业中采用虚拟专用网(VPN),在VPN上应该采用哪些防火墙控制呢? 答:在VPN流量上采用的控制等级应该至少和在企业网上的类似用户流量上的控制等级相同。如果VPN只是员工使用的,在含有员工工作站的网络区域内终止VPN就是正常的合理选择。这种配置允许简单地把你在办公室中的防火墙控件采用到移动员工身上。 另一方面,如果VPN对第三方开放,例如厂商或者业务合作伙伴,你可能希望考虑把把这些用户放入专门的限制性区域内,可以限制他们对为了满足业务需要而必须访问的特殊资源的网络访问。
这可以通过在防火墙区域内终止VPN实现,这个防火墙区域可以明确地控制从VPN到企业网络的流量类型。 ……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我们计划在企业中采用虚拟专用网(VPN),在VPN上应该采用哪些防火墙控制呢?
答:在VPN流量上采用的控制等级应该至少和在企业网上的类似用户流量上的控制等级相同。如果VPN只是员工使用的,在含有员工工作站的网络区域内终止VPN就是正常的合理选择。这种配置允许简单地把你在办公室中的防火墙控件采用到移动员工身上。
另一方面,如果VPN对第三方开放,例如厂商或者业务合作伙伴,你可能希望考虑把把这些用户放入专门的限制性区域内,可以限制他们对为了满足业务需要而必须访问的特殊资源的网络访问。这可以通过在防火墙区域内终止VPN实现,这个防火墙区域可以明确地控制从VPN到企业网络的流量类型。
我看到在很多企业中采用的一个解决方案是设置两到三个不同的VPN,以用途不同设计。这通常可以使用单个的提供基于职责的访问的VPN工具完成。例如,可以在VPN上设置如下群组:
- 员工
- 系统管理员
- 厂商
- 点对点VPN(Site-to-site VPNs)
然后可以根据他们的业务需求为每个职责群组设定不同的网络权限。例如,你可以让系统管理员有能力使用SSL协议创建和服务器之间的管理连接,而厂商和常规员工则不允许对它访问。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
翻译
相关推荐
-
NSS实验室评估下一代防火墙
根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]
-
工业控制系统网络应防范“内鬼”
来自内部的安全威胁可能比很多外部攻击更强烈,更有破坏力。对于管理着关键基础架构和制造过程的工业控制系统网络来说,尤其如此……
-
为什么单靠网络外围安全行不通?
近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…
-
“外围”消亡 企业安全防护需要新形态
外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。