发展
用户已经不再只满足在企业内部使用信息化系统
他们越来越期待在外面也可以正常访问企业内部网络资源如在出差时候、如在家里调养时候他们仍然需要访问内部系统如下图所示
现在某个企业有
个用户在家里休息年假有天其突然接到个电话有件紧急工作需要其完成而这项工作话又需要访问企业内部文件服务器这个时候该如何办呢?解决方案很多其中VPN就是个行的有效思路方法不过如果允许外部用户访问企业内部资源就好像是给道牢不可破围墙开了扇门会带来不少安全隐患为此在配制VPN时候安全问题直困扰着网络管理人员在这里就结合在Forefront安全网关上项目经验对于VPN安全提些小建议希望这些建议能够帮助各位读者改善VPN安全现状、配置EAP身份认证来提高VPN安全虽然允许VPN连接
就如同在道牢不可破围墙上开了扇门但是只要这扇门足够牢固、门卫足够严格、钥匙足够安全话这扇门就是安全简单说就是只允许合法用户才能够通过这扇门那么就可以保证这个通道安全对于VPN连接也是如此
如上图所示Forefront就好像是围墙上所开扇门保安这个保安如果比较称职能够辨别用户身份是否合法那么这个VPN连接就相对来说是安全相反如果其老是在打瞌睡对进出人员不闻不问显然就会造成很大安全隐患那么如何来让Forefront做个称职保安呢?这里建议是可以通过配置EAP身份认证来提高VPN连接安全在点对点隧道协议连接
虚拟专用网络中可以支持EAP(可扩展身份验证协议)来验证用户身份合法性也就是说在VPN连接中Forefront可以支持第 3方身份验证服务器这就好像现在小区如果有外来人员访问话保安需要先跟被访问者或者物业进行通话以确认来访者身份合法性有关EAP可扩展身份验证协议详细信息读者可以参考其他相关资料在这里主要谈是在Forefront安全网关中如何配置EPA身份验证机制整理总结了如下 4个步骤供各位读者参考第
步:打开管理控制台微软操作系统中
管理控制台设计确实不错可以将日常管理中所需要用到相关组件都集成到这个平台上节省了管理员不少精力在这里笔者仍然推荐通过管理控制台来进行EAP身份验证配置管理人员可以在开始、运行中输入“MMC”来打开管理控制台然后在控制台中加入所需要管理组件第 2步:将“路由和远程访问”加入到管理控制台中
如下图所示
在管理控制台中选择“文件”、“添加、删除管理单元”可以打开如下对话框然后点击“添加”将“路由和远程访问”管理组件添加到管理控制台中虽然管理员还可以通过“管理工具”、“路由和远程访问”来直接打开这个管理工具
但并不建议这么做
在日常维护中可能需要用到各种各样系统工具如IP安全策略、组策略、路由和远程访问等等如果每次使用时候都按照这种方式打开那么管理效率会大打折扣管理员应该养成个习惯将相关管理工具都集成到MMC管理控制台中如此话后续要使用某个组件时候只需要直接打开这个管理控制台即可所需要用到组件都会在这个管理控制台中罗列出来第 3步:创建请求拨号连接
管理人
最新评论