安全指南 > 产品与技术

在 Microsoft 虚拟专用网络中实现隔离服务规划指南

概述

更新日期: 2006年06月28日

Internet 的广泛使用已经导致许多组织的工作方式发生了重大变化。为了保持竞争优势,各个组织日益需要员工从远程位置(例如从家里、分支机构、酒店、网吧或客户处)连接到企业网络上。这些远程连接通常是通过虚拟专用网络 (VPN) 技术实现的。

员工和合作伙伴使用 VPN 连接可以安全地通过公共网络连接到企业局域网 (LAN) 上。对于许多新的业务机会(如远程管理和高安全性应用程序),使用 VPN 技术进行远程访问都是其中的关键因素。众多商业团体和用户都使用需要频繁可靠地远程访问企业 LAN 的效率和管理应用程序。

虽然 VPN 可以通过在 VPN 隧道中加密数据来实现安全访问,但它并不能防止恶意软件(如来自远程访问计算机上的病毒或蠕虫)的入侵。病毒或蠕虫攻击可以由连接到 LAN 的受感染的计算机引起。

因为某些组织(例如金融服务领域的组织)必须维护其安全交易方面的良好声誉,安全方面哪怕只出现很小的纰漏都会损害公司的公共形象。因此,VPN 连接必须经受严格的访问需求检查和验证。

如果远程计算机不满足组织的安全要求,则可能造成 VPN 访问不安全。在远程计算机连接到企业网络之前,大多数 VPN 实现并不检查该远程计算机是否具有最新的安全更新或病毒签名。因此,许多组织认为基于 VPN 的基本远程访问不能满足他们对安全性的要求。

VPN 隔离提供了解决这些问题的机制。VPN 隔离确保使用 VPN 协议连接到网络的计算机要经过连接前和连接后检查,并且直到计算机满足所需的安全策略之后才解除其隔离状态。这些检查基于自定义脚本进行,可以检查 Service Pack 版本、安全更新,以及知名防病毒程序使用的病毒定义文件是否是最新的。在这些自定义脚本中,组织还可以测试其他要求。

VPN 隔离解决方案将满足指定远程访问策略的所有连接计算机放到隔离网络中,然后检验这些计算机是否符合组织的安全策略。只有在远程访问计算机通过了所有连接检查后,远程访问 VPN 服务器才解除隔离限制,允许该计算机访问企业的网络资源。

利用 Microsoft® Windows Server™ 2003 Service Pack 1 (SP1) 中的新功能,可以规划和实现 VPN 中的隔离服务。本指南介绍这一操作中的难点。

本页内容
业务难题业务难题
业务优点业务优点
本指南的目标读者本指南的目标读者
读者必备条件读者必备条件
规划指南概述规划指南概述

业务难题

组织如果要通过 VPN 连接来提供远程访问,将面临多种挑战。这些挑战随着所提供的服务、业务运行所遵循的法规框架以及安全环境的不同而不同。典型的问题是如何完成以下任务:

定义有效的 VPN 访问策略。

减少受感染的或不兼容的计算机连接到企业 LAN 的可能性。

遵守维护数据安全性和个人信息的法律要求。

业务优点

实现有效的 VPN 隔离服务的组织可以获得许多重要益处。这些益处包括:

增强了对企业资产访问的安全性。VPN 隔离通过严格遵守防病毒和安全更新的要求,可以加强网络访问的安全性。

简化了服务的管理和维护组织可以就适用于其 VPN 实现的最新的、安全的技术进行标准化。他们可以删除实施的硬件 VPN(如从网络基础构架中删除专用远程访问计算机系统),从而简化了所有支持工具、文档和连接的处理过程。这种简化改进了对 VPN 访问解决方案的日常运作支持,抵销了实现隔离解决方案的管理成本。

提高了远程访问的可预测性和可用性可靠性和可用性的增强鼓励员工使用 VPN 服务,增强了员工保护重要工作和关键企业资源的信心。

降低了总拥有成本 (TCO)。强制远程计算机遵守严格的可信计算机策略降低了总体的管理和支持成本。节省的成本体现在减少了支持电话的数量,缩短了处理病毒与蠕虫攻击的时间。

提高了关键业务信息的安全性。客户信息对于大多数组织都是至关重要的,尤其是在法制环境下运营的组织。尽可能保证信息的安全有助于遵守法规要求,维护组织的商业信誉。

改进了业务流程。实现 VPN 隔离解决方案可方便现场销售主管、客户经理和顾问人员使用业务应用程序和遵循工作流程。由于提高了可用性,因此可以更快地调整决策,更灵活地为客户提供产品和服务。

有关这些好处的详细信息,请参见第 2 章“虚拟专用网络隔离的方法”。

本指南的目标读者

本指南为那些大型组织中处理隐私性极强的问题的人员以及那些在法规严格限制的环境中工作的人员提供十分有用的信息。本指南还适合于需要身份保护和数据访问控制的各种规模的组织。

本指南的目标读者包括规划、部署或管理远程访问链接和网络安全的技术决策者、企业架构师和企业安全管理员。另外,对于规划、部署或管理基于 Microsoft Windows® 的 VPN 网络的顾问人员,此信息也非常有用。

读者必备条件

本指南假定读者具有远程访问管理概念和技术方面的实用知识。要实现本指南中的解决方案,读者应该理解和熟悉以下领域和技术:

Windows Server 2003 远程访问

Internet 验证服务 (IAS) 或其他“远程身份验证拨入用户服务”(RADIUS) 实现。

连接管理器和连接管理器管理工具包 (CMAK)

脚本或批处理文件程序

证书服务和公钥基础结构 (PKI)

本指南介绍 Microsoft 操作框架 (MOF) 中的“操作和支持”过程模型象限。另外,还介绍 MOF 中的“安全管理”和“事件管理”服务管理功能 (SMF)。有关 MOF 的详细信息,请参阅 Microsoft 操作框架网站,网址为 http://www.microsoft.com/china/technet/itsolutions/techguide/mof/default.mspx。

规划指南概述

本指南包括以下章节:

第 1 章:引言

此章提供执行摘要,介绍部署 VPN 时实现隔离服务所带来的业务方面的挑战和益处,指明适合阅读本文的读者,列出读者阅读本文前应具备的知识,概述本指南中包含的章节和解决方案。

第 2 章:VPN 隔离的方法

此章简要介绍 VPN 隔离访问的方法。同时还讨论了面向远程办公者进行 VPN 访问的解决方案中包含的要素。

第 3 章:问题和要求

此章介绍 Woodgrove National Bank 方案。然后定义 Woodgrove National Bank 的 VPN 隔离方案的背景、业务问题、技术和安全问题以及解决方案要求。此章还讨论了远程办公者进行 VPN 访问的解决方案,同时探讨此方案在业务、技术和安全方面所面临的问题。

第 4 章:设计解决方案

此章详细介绍如何制定远程办公者进行 VPN 访问的解决方案;讨论解决方案概念、先决条件、解决方案体系结构,并介绍该解决方案的工作方式;最后,此章还介绍了如何扩展该解决方案。

除了针对在 VPN 中使用隔离服务进行一般性讨论外,本指南还基于本系列文章中介绍的 Woodgrove National Bank 方案,提供了如何实现安全远程访问解决方案的指导说明。此方案说明远程办公者如何实现安全 VPN 访问。

Microsoft 创建 Woodgrove National Bank 方案旨在说明组织在实现 VPN 网络隔离服务时所面临的典型问题,以及 Microsoft 技术如何解决这些问题。此方案解决以下问题:

如何为那些很少坐在办公室的现场销售人员实现高度安全的远程访问。

如何在恶劣天气条件下保持业务连续性,以便员工可以在家中继续高效工作。

如何提供灵活的工作条件,以便员工可以选择在家中工作。

如何及时向远程计算机传递软件更新。

向我们提供您的反馈意见

Microsoft 欢迎您对本资料提出反馈意见。特别感谢您回答下列问题:

我们提供的信息实用性如何?

描述的分步过程是否准确?

各章节是否具有可读性,是否有趣?

您对本解决方案的总体评价如何?

或者通过电子邮件将您的反馈邮寄到以下地址:SecWish@microsoft.com。我们会及时答复发送到此邮箱中的反馈信息。

我们期待着您的反馈。


返回页首返回页首第 1 页,共 9 页下一页
**
**
**
下载
下载在 Microsoft 虚拟专用网络中实现隔离服务规划指南
**