干净的VPN解决方案—保障企业的安全远程访问

干净的VPN解决方案保障中小型企业的安全远程访问“干净的VPN”解决方案为企业通信的核心部分提供了分层深度防御机制。目录业务超出边界限制........………………………….…2“干净的VPN”解决方案…………………………3SonicWALLCleanVPNTM解决方案……………..5总结…………………………………………………..62摘要现代商业运营让用户、终端设备、网络流量和资源远远超出了传统的网络边界限制。为了保证有效性，如今的安全解决方案必须能够超越传统的网络边界支持和拓展企业应用。专门针对现状开发解决方案的提供商通常建议对边界防御机制进行复杂且成本高昂的改进，即使现代的网络边界本身已经变得极不安全。相反，“干净的VPN”解决方案结合了安全远程访问和网络安全设备技术，为企业通信的核心部分提供了分层深度防御机制，包括用户、数据和应用资源，以及用户和数据/应用资源之间的往来流量。业务超出边界限制曾有一度，IT管理员非常放心，用户、计算机、数据和应用都在安全加固型LAN之内。在这个追求完美的世界里，IT人员更愿意采用这样一种方式，即阻止用户在传统网络边界外对资源的所有访问。然而，现代商业运营打破了传统的网络边界限制。超越网络边界联网所产生的业务效益以及员工对移动技术的广泛认可从功能上将传统的安全加固型网络模式淘汰出局了。如今，IT必须采用能够超越网络边界支持和拓展企业应用的解决方案来解决网络安全问题。让用户越过边界限制如今，员工需要在现场办公场所、家庭办公室、合作伙伴公司和工厂等地办公。员工、承包商和外包专家可随时随地开展工作，这样企业可以更实惠的成本更灵活地利用人力资源。差旅途中的高级管理人员可在酒店和机场的贵宾休息室访问网络资源。潜在客户和客户可通过Web交易、远程POS机和互动显示模式进行访问。合作伙伴、供应商和咨询公司等不同职能部门相互协作，需要经“外部”站点访问“内部”应用资源以及穿越内部和外部第三方防火墙进行访问。不管是在家里还是在其它临时办公地点办公，员工在自然灾害或意外的业务中断后都需要保证业务的连续性。然而，让人遗憾的是，由于用户现在几乎可在任何地方办公，用户身份有可能被盗用、黑客入侵、窃取或不当共享。移动设备也可能出现遗失、被盗或被家人借用等情况。因此，我们无法确认发出访问请求的用户与他们自称的身份是同一人。让终端设备越过边界限制由于移动计算技术的成本越来越低并被广泛采用，支持WiFi的笔记本电脑已经取代了传统台式机的主导地位。虽然很多地方还在使用台式机和其它固定终端设备，但多数是在网络边界以外的地方，例如家里、第三方合作伙伴办公室或客户网络，或机场、酒店以及咖啡厅的公共上网信息亭。根据设计，移动计算设备一般可脱机和联网传输数据，可经由公用网和专用网进行无线连接。然而，这类设备的高度移动性为潜在的安全缺口打开了方便之门。这类设备令IT难以掌控，经常被损坏，需要重新配置或缺乏基本的安全维护和更新。3让网络流量越过边界限制网络流量不再只包括储存转发和基于会话的应用，如电子邮件、Web页面以及传统的客户端/服务器应用，经扩展后还包括了实时协作工具、Web2.0应用、即时通讯（IM）、点对点应用、VoIP、流媒体和视讯会议等应用。现在，大部分业务网络流量不是源于边界之外的终端设备，就是经这类设备传输，为不断演变的网络威胁创造了机会。受利益驱使的精明老练的黑客散布了极为尖端的网络威胁，增加了数据泄露、系统宕机、生产力下降、带宽消耗和资金盗用的风险。让资源越过边界限制如今，企业业务越来越依赖用户在传统的LAN边界内部和外部对关键业务资源的访问。核心业务应用也外包给第三方专业合作伙伴和托管的SaaS（软件即服务）提供商。关键业务信息和敏感信息都保存在远程和移动终端设备上，并使用这些设备进行计算。如今，IT必须采取措施来保障数据在外部资源库及企业数据中心传输时的安全。“干净的VPN”解决方案传统的封闭式企业LAN已经快速发展成为可通过互联网和内联网、专用网和公共网、无线网和有线网连接员工、合作伙伴和客户的分布式全球网络。如今，IT正在寻求可充分利用公共网络和共享基础架构的最佳方式，而用户则需要更高的服务可靠性和透明性。这些趋势与专门针对现状提供解决方案的提供商的观点完全相悖，后者认为应该对边界防御机制进行复杂但成本高昂的改进，以此开发“智能程度更高”的网络。而现有安全决策的前提是任何功能上可访问的网络的边界必须被视为存在固有的不安全性。IT在网络安全方面的重点应该转移到加强对企业通信的核心部分的精确控制，即用户、数据和应用资源以及用户和数据/应用资源之间的往来流量。为了确保对核心部分的全面保护，最好的办法就是采用多层防御机制。深度防御机制可保障用户在边界外进行资源访问的安全，以及保障穿越网络边界的数据流的安全。通过整合SSLVPN（安全套接层虚拟专用网）和UTM（统一威胁管理）技术，“干净的VPN”解决方案建立了安全远程访问、网关防火墙和策略控制智能层。为了确保有效性，干净的VPN必须具备以下功能：●检测传统网络边界外用户与流量的完整性●保护应用和资源远离未经授权的用户访问和恶意攻击●让授权用户轻松、无缝地实时访问分配的资源4检查流量的完整性如果用户采用不可信任的终端设备如家用计算机或信息亭建立连接，那网络中就可能出现恶意数据包，因为这类设备很难执行特殊的安全应用。通过整合高性能的统一威胁管理（UTM）技术和SSLVPN，可在流量穿越资源边界前对所有流量进行扫描以及杀毒处理。由于现代的网络攻击可躲过全状态数据包检测，因此，干净VPN的UTM组件应设计为对所有数据流进行深度包检测。保护资源远离未经授权的用户访问和攻击由于业务延伸到了传统的LAN边界之外，因此，企业数据的安全不再是IT人员说了算。大多数私营和公共机构必须遵守政府和行业法规（如HIIPA、GBLA、SOX和PCI），必须确保敏感数据资源的安全，否则就会受到重金处罚或业务限制。干净的VPN可通过强制验证、数据加密、细粒度访问策略和网关威胁防御来保证资源安全。有效的干净VPN策略引擎可根据每个用户经授权访问的应用来执行访问控制。由于访问控制对于资源安全极为重要，因此，就算是最细粒度的访问控制也可能遇到超尖端的网络攻击和不断演变的网络威胁。干净的VPN的最佳范例就是对资源边界的综合UTM防火墙进行额外的分层保护，从而提供自动更新防病毒、反间谍软件、入侵防御和内容过滤等功能。让用户实时轻松地访问资源干净的VPN最好是设计成可根据用户身份验证和访问策略让用户无缝访问分配的资源。为了避免性能瓶颈，干净的VPN必须能够在执行流量策略的同时保障系统性能。UTM防火墙组件也应该能够提醒管理员任何可能会引发策略滥用的带宽异常现象，并启用相应的使用限制。任何干净的VPN环境都必须利用超高性能的架构，如多核处理器平台，以便对带宽敏感的移动通信进行实时的全面扫描，同时不中断网络吞吐量。集中化管理和报告要确保企业在网络边界外的合规性，集中化管理对于IT来说也是至关重要的，这一功能让IT可以生成全面的事件报告，并进行主动提醒、快速取证分析和完整的审计跟踪。整合专用的安全管理监督技术可简化管理，帮助识别漏洞或异常行为，以及促进合规性审查。SonicWALLCleanVPN解决方案通过整合旗下屡获殊荣的安全远程访问（SRA）、网络安全设备（NSA）和全球管理系统（GMS）产品线，SonicWALL®为规模各异的企业提供了干净的VPN技术解决方案，成为了该领域的领先提供商。结合新一代的SSLVPN和UTM技术，SonicWALLCleanVPNTM解决方案可执行细粒度应用层访问策略，在网关检测所有流量，并结合所有事件信息来简化和提高安全效率。5SonicWALLCleanVPN方案SonicWALL安全远程访问（SRA）产品组合包含专为中小型企业优化的领先SSLVPN产品套件。该产品组合的细粒度访问策略实现了对本地资源的动态访问。为了给SonicWALLCleanVPN解决方案增加一层UTM保护功能，SonicWALL网络安全设备（NSA）或企业级NSA组件可与SSLVPN组件配套部署。SonicWALL的多核NSA架构及荣获专利的免重组扫描技术提供了超高速深度包检测、入侵防御、网关防病毒、网关反间谍软件、内容过滤和应用防火墙等功能。SonicWALLNSA组件可在流量穿越干净的VPN之前对所有流量进行实时扫描和杀毒处理。而且，SonicWALL全球管理系统（GMS）组件让管理员可通过单个管理界面配置和管理整个干净的VPN部署环境。SonicWALLGMS为管理员集中管理和快速部署SonicWALL设备以及进行安全配置提供了一个灵活的、强大的弹性平台。此外，GMS组件还提供了集中化实时监控功能，为最严苛的审计和合规性要求提供了综合性策略和合规性报告。革新检测利用网关在线威胁防御机制检测恶意威胁、病毒、蠕虫和间谍软件。保护根据用户身份利用细粒度访问控制来保护应用安全利用高速统一威胁管理保护和防御功能来保障网络安全连接让用户安全、轻松地访问各种应用利用高性能实时检测技术让用户无缝访问网络远程访问差旅途中的员工在信息亭的员工使用无线热点的员工加班的员工外部访问防火墙后的客户/供应商使用任何浏览器的商业合作伙伴无线LAN访问内部用户内部访问企业数据中心目录应用Web应用客户端/服务器应用文件共享数据库VoIP受保护的“干净”流量6总结SonicWALLSSLVPN/SRA、SonicWALLNSA和SonicWALLGMS解决方案的整合为企业提供了一站式深度防御安全解决方案。SonicWALLCleanVPN解决方案可在授权用户访问前根据细粒度策略检测用户身份，阻止恶意访问和未经授权的用户访问，让授权用户轻松访问关键的网络资源。只有SonicWALL公司有能力提供真正有效的干净VPN解决方案，因为只有SonicWALL能够提供支持动态访问策略的统一策略模式，以及经多核处理平台实现免重组深度包检测的超高性能安全防护。©2008SonicWALL,Inc.是SonicWALL,Inc.的注册商标。本文提到的其它产品名称可能是各自公司的商标和/或注册商标。文中内容和规格如有变更，恕不另行通知。