VPN应用方便与安全两不误（一）

　　随着网络技术的发展，特别是WEB技术的发展，员工越来越不满意只能坐在办公室里进行办公。他们希望，在家里，出差在宾馆中，甚至在机场的侯机大厅中，都能够连上企业的内部网络，能够象在办公室里那样，访问企业的ERP服务器、文件服务器等等，进行正常的办公。随着VPN(虚拟专用网)的技术越来越成熟，都已经不再有什么困难。但是，现在的问题是，随着员工在企业外部对内部网络的频繁访问，这给企业的网络安全带来了很大的隐患。

　　现在利用VPN连上企业内部网，破坏企业内部网络的事件，也是频频发生。我们是因噎废食呢，还是该采取手段、努力实现方便与安全两不误呢?我想，大部分人都会选择后者。下面，我将介绍几种典型的VPN安全应用方案。也许这些方案不是最好的，但是，我们也可以从中找出一些比较适合自己的解决方案。让VPN技术，方便与安全都不耽误。

　　一、 在用户名与密码上做文章

　　要通过虚拟专用网联上企业内部网络的话，用户名与密码是必须的。但是，传统的用户名与密码是有缺陷的。用户名与密码，我们可以通过各种黑客工具，如键盘记录工具等等，都可以轻易的获取。他们取得这个密码之后，就可以登陆到企业内往，肆无忌惮的进行资料的窃取、网络的破坏、病毒的移植等等。从而使得VPN(虚拟专用网)技术成为他们进行作案的工具。

　　若我们不让其他人知道VPN的密码，也就是说，VPN的登陆密码会随机的进行改变，那么，他们即使取得密码，但是，这个密码很快就过时了。甚至，同一个密码，象电话充值卡一样，只能够登陆一次的话，那这个密码就安全了。那作为我们的终端用户，该如何知道这个时刻在发生变化的VPN密码呢?

　　我碰到过几种解决方案，现在拿出来供大家参考。

　　1、 利用手机获取用户名与密码

　　我以前在一家咨询公司负责过网络安全方面的工作。因为这家企业是专门为企业提供咨询服务的，所以，其有很多客户比较机密的资料。这些资料，企业都是跟客户签过保密协议，若一泄露的话，企业需要承担很大的赔偿责任。所以，企业对于网络方面的安全，非常的看重。但是，因为咨询顾问经常要出差，需要在外面不定时的利用VPN技术访问企业内部文件服务器。该如何保证这个访问的安全呢?这个问题已经非常现实的摆在了大家的面前。

　　后来，我跟我们几个技术员想到了一个解决方案。这是我们从中国移动的密码管理机制上联想到的。当员工出差在外，需要利用VPN技术登陆到企业内部网络的话，首先需要用手机发送一条短信，如数字1，发送到一个特定的号码。我们的移动电子商务服务器就会判断这个手机号码的合法性。若移动电子商务服务器认为这个手机号码合法(是公司内部员工的手机号码)，就会让VPN服务器临时创建用户名与密码。然后，电子商务服务器就会把这个用户名与密码发送到员工的手机上。比较绝的是，这个用户名与密码是只能够登陆一次。第二次登陆的话，这个用户名与密码就是无效了。如此，即使其他人获得这个用户名与密码，也是没有用的。这个过程的话，只要手机信号够好的话，一般不需要30秒就可以实现了。所以，基本上不会影响用户的VPN使用效率。而且，这个处理过程对于员工来说，也是透明的，不需要用户的干涉即可。

　　不过，采用这个方法也不是百分之百的安全。如当员工的手机被别人所用，那他们就可以取得用户名与密码。虽然有这个威胁，但是，已经比没有采用这个手段安全多了。

　　当然，企业还可以根据自己的需要，设置这个登陆的用户名与密码是登陆一次失效呢，还是过一个固定的时间间隔，如一天就失效。这企业需要根据自己的资料安全性等方面进行权衡。

　　2、 只允许特定的电脑利用VPN技术访问网络

　　我认识一家企业，他们一般只有经理层及业务员可以通过VPN登陆到企业的内部网络。他们在VPN的安全方面，主要是限制只有专门的电脑才可以利用VPN跟企业内部网络进行联系。他们这是如何实现的呢?

　　其实，实现的原理也很简单。一般用户的电脑上的硬件都会有唯一的标识用户电脑的信息。如他们网卡的MAC地址，等等，VPN登陆的设置的时候，就会去判断这个MAC地址是否是在已经批准登陆的电脑的MAC地址。若MAC地址准确无误，则就允许用户通过VPN网络技术登陆到企业的内部网络，访问企业的ERP服务器或者文件服务器，从内部网络查看文件，也可以把资料保存到内部的文件服务器中。而因为VPN虚拟专用网络其主要的技术优势就是网络访问速度快，所以，采用VPN技术进行企业内部网络访问的话，就好象员工在公司里上内部网络一样，服务器的响应速度会比较快。

　　这个解决方法的好处就是，一般只有企业批准的员工的电脑才可以连接到企业的内部网络。而现在基本上出差时或者经理层都配备了笔记本电脑，这也为这个解决方案提供了硬件上的保障。缺点也是很明显的，就是当员工用其他的电脑的话，就无法利用VPN技术登陆到企业的内部网络。这对于哪些没有笔记本或者出差时临时没带笔记本电脑，甚至笔记本电脑没电了，都会影响他们使用VPN网络。

　　为了解决这个情况，他们企业还采取了一个候补的方法。当员工需要用内到VPN技术连接企业内部网络，而没有合适的计算机时，他们可以打电话通知他们的VPN网络管理员。管理员可以临时的为他们开设一个用户名与密码，临时的解决他们的燃眉之急。确实，这样处理的话，比较灵活。一些例外情况下，也可以迅速的得到响应。