VPN是接入網(wǎng)中很重要的技術(shù)之一，同時在接入網(wǎng)技術(shù)不斷發(fā)展的今天，VPN也在不斷的進(jìn)化，滿足用戶更多的需求，給人們帶來方便快捷的網(wǎng)絡(luò)環(huán)境。VPN的出現(xiàn)已經(jīng)不是一朝一夕了，從IPSec到SSL，VPN經(jīng)歷了大量的技術(shù)演進(jìn)。不過，任何一種安全技術(shù)的本質(zhì)都是應(yīng)用，將VPN與企業(yè)業(yè)務(wù)相結(jié)合，促進(jìn)企業(yè)的邊界安全。同時將業(yè)務(wù)拓展到邊緣，整合外在供應(yīng)鏈，這將促進(jìn)新一輪VPN技術(shù)的進(jìn)化。

VPN的初衷是提供一個安全信道，以便遠(yuǎn)程用戶可以通過接入網(wǎng)技術(shù)訪問私有網(wǎng)絡(luò)。但在當(dāng)前的計算環(huán)境中，對于試圖接入企業(yè)網(wǎng)絡(luò)的可管理或不可管理的設(shè)備，網(wǎng)絡(luò)管理員根本無法在其接入網(wǎng)絡(luò)前知曉它們的來源。

如果用戶可以從一臺主機(jī)通過VPN接入內(nèi)網(wǎng)，但主機(jī)本身不安全，如已被病毒感染或另有不安全的網(wǎng)絡(luò)連接等，將對內(nèi)網(wǎng)帶來極大威脅。另外，絕大部分現(xiàn)有的內(nèi)網(wǎng)安全或者是內(nèi)網(wǎng)行為控制，僅僅考慮了內(nèi)部局域網(wǎng)的行為安全，即對局域網(wǎng)內(nèi)的主機(jī)訪問行為進(jìn)行監(jiān)視和控制，還沒涉及到大規(guī)?？绲赜虻钠髽I(yè)全網(wǎng)的安全問題。

事實上，Juniper的安全專家表示：由于VPN可以在公共電腦上建立，所以可能會為公司網(wǎng)絡(luò)帶來新的風(fēng)險，這一點SSL VPN表現(xiàn)的特別明顯。另外，公共電腦可能不支持兩種以上的認(rèn)證方式，因為它們自身沒有智能卡閱讀器，或直接被禁用了USB端口。這種情況下，一種基于VPN的可信專用網(wǎng)絡(luò)TPN（Trusted Private Network）開始出現(xiàn)。安達(dá)通的安全專家康浩在接受采訪時表示，目前TPN技術(shù)綜合了網(wǎng)關(guān)安全和通信端點安全技術(shù)，同時利用全局的統(tǒng)一管理來部署，以求實現(xiàn)全方位、多層次的安全。

據(jù)悉，在TPN系統(tǒng)中，任何一個接入網(wǎng)絡(luò)的主機(jī)都必須通過用戶驗證和主機(jī)驗證的強(qiáng)制驗證機(jī)制。只有在某個主機(jī)歸類為受信任主機(jī)后才可以訪問相應(yīng)的系統(tǒng)資源?；旧希苄湃我馕吨鳈C(jī)的風(fēng)險受到管理。這種受管狀態(tài)由負(fù)責(zé)配置主機(jī)的IT管理員和用戶負(fù)責(zé)。如果受信任主機(jī)管理不當(dāng)，很可能成為整個解決方案的弱點。

當(dāng)主機(jī)被視為受信任主機(jī)時，其他受信任主機(jī)可以合理地假定該主機(jī)不會發(fā)起惡意操作。例如，受信任主機(jī)應(yīng)期望其他受信任主機(jī)不會執(zhí)行攻擊它們的病毒，因為所有受信任主機(jī)都要求使用一些用來緩解病毒威脅的機(jī)制（如防病毒軟件）。

康浩強(qiáng)調(diào)說，這種受信任狀態(tài)不是一成不變的，它僅僅是一個過渡狀態(tài)，會隨著企業(yè)安全標(biāo)準(zhǔn)的更改而更改，并且要不斷符合那些標(biāo)準(zhǔn)。由于新的威脅和新的防御措施會不斷出現(xiàn)，因此，組織的管理系統(tǒng)必須經(jīng)常檢查受信任主機(jī)，以保持與標(biāo)準(zhǔn)相符。此外，在需要時，這些系統(tǒng)必須能夠發(fā)布更新或配置更改，以幫助維持受信任狀態(tài)。

據(jù)介紹，可信專用網(wǎng)TPN系統(tǒng)對經(jīng)過強(qiáng)制驗證的主機(jī)和用戶，使用“用戶——角色——資源”的授權(quán)機(jī)制，實現(xiàn)“內(nèi)網(wǎng)威脅”、“邊界威脅”、“主機(jī)威脅”和“接入網(wǎng)技術(shù)威脅”的統(tǒng)一管理。

當(dāng)企業(yè)用戶接入網(wǎng)技術(shù)TPN系統(tǒng)防護(hù)的網(wǎng)絡(luò)時，首先必須進(jìn)行“強(qiáng)制身份認(rèn)證”（可采用Web方式或客戶端方式登錄TPN系統(tǒng)進(jìn)行身份認(rèn)證），在身份認(rèn)證通過后，TPN安全網(wǎng)關(guān)中根據(jù)該用戶的資源訪問權(quán)限和登錄認(rèn)證時該用戶使用的PC機(jī)的特征（IP/端口），動態(tài)在TPN安全網(wǎng)關(guān)中形成“元組+時間”的動態(tài)訪問控制策略。該動態(tài)訪問控制策略有短期時效性，當(dāng)一段時間用戶沒有活動后，該策略即行失效，需要重新進(jìn)行強(qiáng)制身份認(rèn)證，再次在TPN安全網(wǎng)關(guān)中建立針對該用戶的動態(tài)訪問控制策略。

不難看出，之所以說TPN系統(tǒng)可以實現(xiàn)更加安全的VPN，就是因為它對于通過VPN接入網(wǎng)技術(shù)的移動用戶和遠(yuǎn)地局域網(wǎng)進(jìn)行類似本地用戶一樣的訪問控制。比如，當(dāng)VPN用戶在和總部的TPN安全網(wǎng)關(guān)建立起加密隧道后，總部的TPN安全網(wǎng)關(guān)能夠?qū)h(yuǎn)程接入網(wǎng)技術(shù)的主機(jī)進(jìn)行安全評估：如果發(fā)現(xiàn)主機(jī)上有威脅或不滿足接入總部的安全級別（如沒有打補(bǔ)丁等），則不允許該主機(jī)接入到總部。這就是所謂的“VPN準(zhǔn)入控制”技術(shù)。目前，企業(yè)通過應(yīng)用這種技術(shù)，可以確保外網(wǎng)的威脅（如木馬、病毒、攻擊等）不會通過VPN用戶帶進(jìn)內(nèi)網(wǎng)，避免了黑客進(jìn)行“跳板”攻擊。并且網(wǎng)絡(luò)管理員能夠像管理本地局域網(wǎng)一樣，對整個VPN網(wǎng)絡(luò)進(jìn)行統(tǒng)一的安全策略管理，實現(xiàn)面向全網(wǎng)而不僅僅是本地局域網(wǎng)的全網(wǎng)行為管理。

此外，針對企業(yè)內(nèi)網(wǎng)的威脅防護(hù)，TPN繼承了傳統(tǒng)的內(nèi)網(wǎng)行為管理、網(wǎng)關(guān)防病毒、反垃圾郵件技術(shù)。同時，TPN將這些技術(shù)運(yùn)用到整個企業(yè)網(wǎng)絡(luò)，而不是僅僅局限在局域網(wǎng)內(nèi)。因此，不論是VPN接入用戶還是本地局域網(wǎng)的接入用戶，TPN系統(tǒng)都采用 “強(qiáng)制身份”認(rèn)證機(jī)制，沒有通過認(rèn)證的用戶無法訪問任何內(nèi)/外網(wǎng)資源。

針對這種新興技術(shù)，新華人壽集團(tuán)的IT經(jīng)理表示，對于大型企業(yè)，可以通過借助TPN系統(tǒng)進(jìn)行VPN控制，包括可以只允許合法的、值得信任的端點設(shè)備，如業(yè)務(wù)網(wǎng)點的PC、服務(wù)器、代理人的PDA接入網(wǎng)技術(shù)網(wǎng)絡(luò)，而不允許其他設(shè)備接入。而新系統(tǒng)中的“TPN網(wǎng)關(guān)”和“TPN客戶端”形成聯(lián)動防御體系，避免了依靠單一網(wǎng)關(guān)防御體系或單一客戶端防御體系形成的功能瓶頸，給企業(yè)的IT部門減輕了壓力。神州數(shù)碼網(wǎng)絡(luò)的高級產(chǎn)品經(jīng)理王景輝曾解釋說，集中安全與分布安全的邊界是模糊的，正如保險企業(yè)一樣，公司的信息安全與代理人的信息安全同樣重要，而這才是可控VPN的魅力所在。

【編輯推薦】

1. 關(guān)于無線接入網(wǎng)中SSID完全詳解
2. 接入網(wǎng)技術(shù)實現(xiàn)遠(yuǎn)程訪問
3. 光纖接入網(wǎng)發(fā)展將帶動寬帶業(yè)務(wù)全面提升
4. 關(guān)于寬帶接入技術(shù)學(xué)習(xí)總結(jié)
5. 我國光纖接入網(wǎng)技術(shù)處世界一流