来自微软的安全指南:在降低成本以及在迅速扩展的市场中保持竞争力的需求的推动下,通信技术的发展使得组织不仅能够维持一周 7 天、一天 24 小时的通信信道,而且可提供与远程位置的业务数据和服务的连接。
Internet 为组织和个人提供了使用计算机在全世界范围内交流和共享数据的能力,提供诸如可访问性、可扩展性、性能以及与业务相关的成本降低等好处。 但是,Internet 对于组织是一个不安全、可能有危险的操作环境。困难在于组织在利用 Internet 提供的好处的同时要保持必要级别的数据和通信安全性。
而虚拟专用网络 (VPN) 使组织能够利用 Internet,同时又能帮助限制数据和通信信道的泄密;VPN 通过提供许多安全功能来做到这一点,包括可靠的身份验证和加密机制。
本指南的读者对象
本指南的目标读者包括负责在他们的网络环境中部署 VPN 服务的信息技术 (IT) 专业人士。
本指南中的信息适用于必须对其网络提供可靠远程访问的小到中型企业。
概述
在对您的网络资源配置远程 VPN 访问时,可使用您在工作时用于访问网络的同一组凭据: 网络用户名和密码。 但是,这可能不是最安全的解决方案。 例如,名片或文档资料通常包括用户名。 它们也很容易遭受“试错法”攻击。 如果第三方知道了您的用户名,则密码成为保护您的企业网络的唯一安全机制。
单一机密(如密码)可以是有效的安全控制。 但由随机字母、数字和特殊符号组成的长密码很难破解。 此外,通行短语提供的安全性比单一密码更好。
遗憾的是,用户始终无法记住复杂的密码,于是只能写下它们。 但是如果不对密码复杂性进行限制时,用户往往创建容易记住的密码,因此也容易被猜中。
用户名和密码解决方案称为一元法,因为您只使用您知道的信息来访问网络。 而多元身份验证系统通过结合各种要求解决了一元身份验证的问题,这些要求包括:
•用户知道的信息,如密码或个人识别码 (PIN)。
•用户拥有的信息,如硬件令牌或智能卡。
•用户本身的信息,如指纹或视网膜扫描。
智能卡及其关联的 PIN 越来越成为流行、可靠和经济型的双重身份验证。 用户必须有他们的智能卡并且知道 PIN 才能访问网络资源。 双重身份验证要求大大降低了未经授权访问您的组织网络的可能性。
VPN 好处
当您的组织必须将包含敏感和专有数据的网络连接到 Internet 进行远程访问时,增强的连接性将带来巨大的安全风险。
在可能有危险的 Internet 环境中,VPN 解决方案就变得极其重要,因为它除了节省可能的操作成本之外,还有助于保持与专用网络基础结构关联的安全性。 VPN 解决方案可提供安全性,因为它使用安全的隧道连接,对数据进行加密并且只允许经过验证的用户访问企业网络。
VPN 支持大量身份验证方法、隧道协议和加密技术以保持业务数据的安全性。
VPN 身份验证方法包括:
