VPN终端及隧道安全
文/华堂网络 郎国军作为解决远程接入和通信安全的最有效手段,IPSec/SSL VPN产品已经得到了非常广泛的使用。相对电信服务商提供的MPLS等解决方案来说,IPSec/SSL VPN可以提供更安全、更灵活、更经济、功能更加丰富的远程接入解决方案。正是由于VPN产品可以改进工作方式、节约运营成本、提高工作效率、创造新的利润增长点,越来越多的企业开始着手部署适合自己的VPN。然而,我们也发现,随着VPN产品的大规模使用,一些相应的安全问题也随之而来,例如微软总部遭黑客入侵事件。据传,黑客利用微软公司员工的家用计算机,通过VPN迂回,成功绕过层层防护措施,进入微软公司内部网络,获取了部分机密资料。在安全防范工作做的较为严格的公司都发生了VPN泄密事件,普通企业的VPN安全防护薄弱程度更让人担忧。目前,大部分公司的VPN在客户端接入时采取了诸如USBKey、短信认证等一系列验证手段,但实际上,VPN安全防范的重点并不仅仅局限于此。连接前客户端自身的安全性、连接后隧道内的访问动机、细粒度控制等,更加值得关注。华堂网络在调查中发现,以下几种安全隐患在企业VPN应用中最为常见:1、客户端安全防范薄弱
VPN产品创造了全新的应用模式,使得不同的办公网络可以安全的互联,移动办公人员可以方便的随时随地接入公司内部网络,获取需要的信息。由于客户端主机常常“各自为政”,安全防护措施不健全,使其成为安全隐患的多发地段。一旦客户端主机被攻破,黑客就可以通过合法的VPN隧道长驱直入。
2、身份认证存在不足
虽然现在大多数VPN用户实行了多重身份认证技术,但仍不免有密码、USBKey遗失或被盗的情况发生。黑客获得合法身份后,就可以在任何地点登陆并实施攻击,所有的客户端安全检查功能都无济于事。因此,光凭口令、USBKey来确认用户身份,仍然不能完全避免非法访问的发生。
3、隧道内访问控制薄弱
市场上很多VPN产品在客户端建立连接后,自动打开到内部网络的全部访问,不能增加细粒度的访问控制。一旦黑客通过控制客户端主机入侵VPN内部,就能以合法的身份获取需要的资源。此外,现有VPN产品大多无法解决VPN连接建立后,非法用户通过NAT转换,以合法的地址非法访问内部网络的问题。
4、无法抵御VPN隧道内的网络攻击
VPN隧道内仅有细粒度的访问控制也是不够的,黑客可能通过客户端主机,对内部网络和VPN服务器发起DOS攻击、端口扫描攻击等网络攻击,可造成网络瘫痪或服务器信息外泄,给用户造成巨大损失。
5、无法抵御VPN隧道内的渗透攻击
黑客入侵客户端主机后,可以通过一些允许访问的主机或服务的应用层协议漏洞进行渗透,获取访问权限,进而获得企业内部的信息。
6、对内部网络重要服务器缺乏保护
传统的VPN产品一旦连通后,对所有的内部网络主机和服务都是一视同仁的,没有区别的对待,对安全性要求高的服务器也没有单独的安全防护,使得黑客可以很容易实施对内部重要服务器的攻击。 针对以上VPN产品存在的安全隐患,上海华堂网络有限公司将历年来积累的技术和经验有机结合,为用户打造了具有全方位、深层次、细粒度的VPN系列产品。通过VPN系列产品,华堂网络将为用户提供一个全面的安全解决方案: 1、增强客户端自身健壮性
由于移动客户端脱离了企业防火墙网关的防护,因此,客户端自身的健壮性成为安全防护的重要因素。华堂VPN产品提供了全面的客户端安全检查功能,可以强制要求客户端安装防病毒软件、最新的补丁或单机版防火墙之后才能够使用VPN接入内网。同时,结合华堂内网安全防御系统,可以进行更深层次的客户端安全检查,包括非法外联检查、非法安装软件检查、非法运行程序检查、非法网关检查、连接后自动切断其他网络连接等。建立了一套完整的VPN客户端安全检查机制,基本杜绝了黑客突破第一道大门的可能。
2、登陆终端的身份绑定
华堂VPN系列产品还在国内首先推出了硬件特征码绑定和特征码自动学习功能,即使黑客获得了用户口令、证书、USBKey,但他仍然无法用自己的电脑登陆,也就无法实施攻击。这一技术,特别适用于移动办公用户。移动办公人员将笔记本电脑的硬件特征码绑定后,只能通过这台指定的笔记本登陆VPN,其它设备即便拥有口令、证书等,仍然无法登陆。这不仅进一步确认了登陆终端的身份,更提高了安全性。
3、加强细粒度访问控制
针对传统VPN隧道内访问控制薄弱的问题,华堂VPN系列产品可以通过“对象机制”,灵活的配置各种细粒度的隧道内访问控制策略。只允许VPN客户端访问必需的服务,杜绝非法访问,并提供全面的访问日志记录和图形化的分析。针对目前VPN产品无法解决的非法用户通过NAT转换到一个合法的地址,进而访问到内部网络资源的问题,华堂VPN产品全面创新,推出了多重用户认证功能,彻底杜绝了非法用户通过NAT转换成合法地址、非法访问内部资源的安全隐患。
4、隧道内攻击防范
华堂VPN系列产品内置的智能防御系统可以根据预先定义的策略,对所有隧道内的访问进行监控,一旦发现攻击,可将攻击用户直接列入动态黑名单,并阻止其访问。华堂智能防御系统可以有效的阻止TCP/UDP/ICMP以及其它协议的DOS/DDOS攻击;有效禁止端口扫描攻击、PING大包攻击;并可对隧道内的通信进行高效的关键字核过滤,禁止符合特征的攻击包进入内部网络。
5、抵御隧道内渗透
华堂VPN系列产品在隧道内内置了UTM功能,可对HTTP/FTP/SMTP/POP3/TELNET等应用协议进行过滤,并支持对所有七层协议的特征进行过滤。并且通过内置基本的入侵防御系统,建立立体的防御体系,全面禁止黑客通过VPN隧道对允许访问的应用层服务的漏洞进行的渗透攻击。
6、多重认证,重点防护
针对内部重要服务器的保护问题,华堂VPN系列产品提供了多重用户认证功能,VPN用户登录后,可以对普通服务器进行访问,如果需要访问重要的安全性要求高的服务器时,系统会要求用户再进行一次认证,这样可以确保黑客突破第一道屏障后,对重要服务器还有一层保护。 华堂网络全方位的VPN解决方案,在VPN客户端、加密隧道、服务端三个方面步步为营,做到深层次的安全防护。通过“客户端安全扫描-隧道内细粒度控制-隧道内攻击防范-服务端多重认证”策略,为用户的VPN安全建立有效的保障,减少因安全问题带来的损失,让用户拥有一个安全、便捷、快速的VPN环境。
文/华堂网络 郎国军作为解决远程接入和通信安全的最有效手段,IPSec/SSL VPN产品已经得到了非常广泛的使用。相对电信服务商提供的MPLS等解决方案来说,IPSec/SSL VPN可以提供更安全、更灵活、更经济、功能更加丰富的远程接入解决方案。正是由于VPN产品可以改进工作方式、节约运营成本、提高工作效率、创造新的利润增长点,越来越多的企业开始着手部署适合自己的VPN。然而,我们也发现,随着VPN产品的大规模使用,一些相应的安全问题也随之而来,例如微软总部遭黑客入侵事件。据传,黑客利用微软公司员工的家用计算机,通过VPN迂回,成功绕过层层防护措施,进入微软公司内部网络,获取了部分机密资料。在安全防范工作做的较为严格的公司都发生了VPN泄密事件,普通企业的VPN安全防护薄弱程度更让人担忧。目前,大部分公司的VPN在客户端接入时采取了诸如USBKey、短信认证等一系列验证手段,但实际上,VPN安全防范的重点并不仅仅局限于此。连接前客户端自身的安全性、连接后隧道内的访问动机、细粒度控制等,更加值得关注。华堂网络在调查中发现,以下几种安全隐患在企业VPN应用中最为常见:1、客户端安全防范薄弱
VPN产品创造了全新的应用模式,使得不同的办公网络可以安全的互联,移动办公人员可以方便的随时随地接入公司内部网络,获取需要的信息。由于客户端主机常常“各自为政”,安全防护措施不健全,使其成为安全隐患的多发地段。一旦客户端主机被攻破,黑客就可以通过合法的VPN隧道长驱直入。
2、身份认证存在不足
虽然现在大多数VPN用户实行了多重身份认证技术,但仍不免有密码、USBKey遗失或被盗的情况发生。黑客获得合法身份后,就可以在任何地点登陆并实施攻击,所有的客户端安全检查功能都无济于事。因此,光凭口令、USBKey来确认用户身份,仍然不能完全避免非法访问的发生。
3、隧道内访问控制薄弱
市场上很多VPN产品在客户端建立连接后,自动打开到内部网络的全部访问,不能增加细粒度的访问控制。一旦黑客通过控制客户端主机入侵VPN内部,就能以合法的身份获取需要的资源。此外,现有VPN产品大多无法解决VPN连接建立后,非法用户通过NAT转换,以合法的地址非法访问内部网络的问题。
4、无法抵御VPN隧道内的网络攻击
VPN隧道内仅有细粒度的访问控制也是不够的,黑客可能通过客户端主机,对内部网络和VPN服务器发起DOS攻击、端口扫描攻击等网络攻击,可造成网络瘫痪或服务器信息外泄,给用户造成巨大损失。
5、无法抵御VPN隧道内的渗透攻击
黑客入侵客户端主机后,可以通过一些允许访问的主机或服务的应用层协议漏洞进行渗透,获取访问权限,进而获得企业内部的信息。
6、对内部网络重要服务器缺乏保护
传统的VPN产品一旦连通后,对所有的内部网络主机和服务都是一视同仁的,没有区别的对待,对安全性要求高的服务器也没有单独的安全防护,使得黑客可以很容易实施对内部重要服务器的攻击。 针对以上VPN产品存在的安全隐患,上海华堂网络有限公司将历年来积累的技术和经验有机结合,为用户打造了具有全方位、深层次、细粒度的VPN系列产品。通过VPN系列产品,华堂网络将为用户提供一个全面的安全解决方案: 1、增强客户端自身健壮性
由于移动客户端脱离了企业防火墙网关的防护,因此,客户端自身的健壮性成为安全防护的重要因素。华堂VPN产品提供了全面的客户端安全检查功能,可以强制要求客户端安装防病毒软件、最新的补丁或单机版防火墙之后才能够使用VPN接入内网。同时,结合华堂内网安全防御系统,可以进行更深层次的客户端安全检查,包括非法外联检查、非法安装软件检查、非法运行程序检查、非法网关检查、连接后自动切断其他网络连接等。建立了一套完整的VPN客户端安全检查机制,基本杜绝了黑客突破第一道大门的可能。
2、登陆终端的身份绑定
华堂VPN系列产品还在国内首先推出了硬件特征码绑定和特征码自动学习功能,即使黑客获得了用户口令、证书、USBKey,但他仍然无法用自己的电脑登陆,也就无法实施攻击。这一技术,特别适用于移动办公用户。移动办公人员将笔记本电脑的硬件特征码绑定后,只能通过这台指定的笔记本登陆VPN,其它设备即便拥有口令、证书等,仍然无法登陆。这不仅进一步确认了登陆终端的身份,更提高了安全性。
3、加强细粒度访问控制
针对传统VPN隧道内访问控制薄弱的问题,华堂VPN系列产品可以通过“对象机制”,灵活的配置各种细粒度的隧道内访问控制策略。只允许VPN客户端访问必需的服务,杜绝非法访问,并提供全面的访问日志记录和图形化的分析。针对目前VPN产品无法解决的非法用户通过NAT转换到一个合法的地址,进而访问到内部网络资源的问题,华堂VPN产品全面创新,推出了多重用户认证功能,彻底杜绝了非法用户通过NAT转换成合法地址、非法访问内部资源的安全隐患。
4、隧道内攻击防范
华堂VPN系列产品内置的智能防御系统可以根据预先定义的策略,对所有隧道内的访问进行监控,一旦发现攻击,可将攻击用户直接列入动态黑名单,并阻止其访问。华堂智能防御系统可以有效的阻止TCP/UDP/ICMP以及其它协议的DOS/DDOS攻击;有效禁止端口扫描攻击、PING大包攻击;并可对隧道内的通信进行高效的关键字核过滤,禁止符合特征的攻击包进入内部网络。
5、抵御隧道内渗透
华堂VPN系列产品在隧道内内置了UTM功能,可对HTTP/FTP/SMTP/POP3/TELNET等应用协议进行过滤,并支持对所有七层协议的特征进行过滤。并且通过内置基本的入侵防御系统,建立立体的防御体系,全面禁止黑客通过VPN隧道对允许访问的应用层服务的漏洞进行的渗透攻击。
6、多重认证,重点防护
针对内部重要服务器的保护问题,华堂VPN系列产品提供了多重用户认证功能,VPN用户登录后,可以对普通服务器进行访问,如果需要访问重要的安全性要求高的服务器时,系统会要求用户再进行一次认证,这样可以确保黑客突破第一道屏障后,对重要服务器还有一层保护。 华堂网络全方位的VPN解决方案,在VPN客户端、加密隧道、服务端三个方面步步为营,做到深层次的安全防护。通过“客户端安全扫描-隧道内细粒度控制-隧道内攻击防范-服务端多重认证”策略,为用户的VPN安全建立有效的保障,减少因安全问题带来的损失,让用户拥有一个安全、便捷、快速的VPN环境。
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货