45、远程访问策略规划全解析

远程访问策略规划全解析

在当今数字化办公的时代，远程访问企业网络资源变得越来越普遍。为了确保远程访问的安全性、高效性和经济性，需要精心规划远程访问策略。本文将详细介绍远程访问策略规划的各个方面，包括日志记录、认证方法、虚拟专用网络（VPN）以及无线网络访问规划等内容。

日志记录选项

在远程访问系统中，日志记录是一项重要的功能，它可以帮助管理员监控系统的运行状况、检测安全事件。常见的日志记录选项有以下几种：
- 默认日志记录 ：记录错误和警告信息，这是系统默认的日志记录方式，能提供基本的系统运行信息。
- 最大日志记录 ：记录所有可能的信息，能提供最详细的系统运行记录，但可能会占用较多的存储空间。
- 无日志记录 ：不记录任何日志信息，这种方式适用于对存储空间要求极高且对日志记录需求较低的场景。
- 本地认证和账户管理日志记录 ：可以跟踪远程访问的使用情况和认证尝试，有助于监控本地账户的使用和安全。
- 基于RADIUS的认证和账户管理日志记录 ：RADIUS是一种集中式的审计和账户管理服务器，常用于大多数互联网服务提供商（FSI）。通过记录基于RADIUS的认证和账户管理信息，可以跟踪多个远程访问服务器的使用情况和认证尝试。

远程访问认证方法

在配置好远程客户端、远程服务器和网络基础设施后，需要实施一种方法来认证连接到远程访问服务器以访问企业网络资源的客户端。以下是常见的远程访问认证方法：
| 认证方法 | 描述 |
| — | — |
| CHAP（Challenge Handshake Authentication Protocol） | 用于PPP连接的质询 - 响应认证 |
| PAP（Password Authentication Protocol） | 所有认证方法中安全性最低的，因为密码未加密 |
| SPAP（Shiva Password Authentication Protocol） | 比PAP更安全，但采用简单的密码加密认证协议 |
| MS - CHAP（Microsoft Challenge Handshake Authentication Protocol） | 微软的认证方法，功能上与CHAP类似 |
| MS - CHAP v2（Microsoft Challenge Handshake Authentication Protocol version 2） | 进行相互认证，在Windows 2000及更高版本中默认安装 |
| EAP - TLS（Extensible Authentication Protocol Transport Layer Security） | 通过使用智能卡证书和相互认证提供最高级别的认证 |

此外，EAP（Extensible Authentication Protocol）提供了一种可集成智能卡或生物识别设备等技术的架构。生物识别技术基于用户的身体特征进行认证，例如语音印记、指纹、视网膜印记、手形等。不过，生物识别技术成本较高，因为需要在每台可能访问网络资源的机器上安装相关硬件。而智能卡成本较低，并且在Windows Server 2003下提供最强大的远程认证。以下是另外两种认证方法：
| 认证方法 | 描述 |
| — | — |
| PEAP（Protected Extensible Authentication Protocol） | 用于802.1x网络，增强无线网络加密安全性，并根据用户ID授予访问权限 |
| MD - 5 Challenge | 通过标准的用户名/密码组合实现EAP授权，允许自定义对远程访问服务器的认证 |

人员培训的重要性

无论安全系统多么完善，员工始终是安全的关键。然而，这一点往往被忽视。企业应该通过编写安全指南或备忘录，让员工和客户了解企业的安全政策，并教导他们不要通过电话向自称是技术支持或信息技术团队的人提供信息，即使这些信息看似无关紧要。有时候，拥有知情且警惕的员工比在整个网络上放置昂贵的生物识别设备更具成本效益。

网络访问服务器的位置

网络访问服务器的位置会影响网络流量和基础设施的安全性。应将服务器放置在包含最多可供客户端访问资源的网络段上，以确保客户端能够高效地访问所需资源。

虚拟专用网络（VPN）远程访问

对于有大量用户远程访问网络资源的企业，通常更喜欢采用虚拟专用网络（VPN）解决方案。与交换式远程访问相比，VPN更经济，因为它利用现有的互联网基础设施。VPN具有以下优点：
- 降低成本 ：使用互联网连接到专用网络，无需长途电话、购买调制解调器和其他硬件等，节省了大量成本。
- 认证和加密功能 ：认证防止未经授权的用户连接到专用网络，强大的加密方法（如3 - DES）使网络分析器难以读取在VPN连接上捕获的数据。

在VPN中，客户端使用隧道协议连接到VPN服务器。这种技术允许使用互联网传输数据，但由于互联网是公共网络，需要实施协议来保护传输中的数据免受拦截。VPN数据是加密的，即使被拦截，攻击者也必须解密才能使用。

VPN的工作原理

VPN模拟两个计算机之间的点对点专用连接，实际上它们通过公共网络进行通信。每台计算机发送的数据被封装在一个包含路由信息的报头中，以便数据能够穿越公共网络到达目的地。由于数据还被加密，即使被拦截也难以解释。这种包含封装和加密数据的专用连接称为VPN隧道。

以下是客户端VPN通过公共网络（互联网）连接到资源时的工作流程：

graph LR
    A[客户端VPN] -->|创建连接| B[网络访问服务器（VPN服务器）]
    B -->|响应并认证| A
    B -->|转发数据| C[企业网络资源]

1. 客户端VPN通过路由和远程访问服务创建与配置为VPN服务器的网络访问服务器（网关）的连接。
2. VPN服务器响应呼叫，认证呼叫者并验证其是否有权连接到服务器。
3. VPN服务器将来自客户端VPN的所有数据转发到企业的网络资源。

VPN还提供了其他功能：
- 高级安全性 ：VPN服务器强制进行认证和加密，保护敏感数据免受未经授权的用户访问。
- 与网络协议兼容 ：VPN与大多数常见的网络协议兼容，允许远程用户执行各种应用程序。
- IP地址安全 ：由于在互联网上传输的所有流量都被加密，VPN不会向未经授权的用户暴露企业的内部IP地址。

VPN的组件

VPN连接的运行依赖于多个组件的协作，除了客户端和服务器外，还包括以下组件：
- 传输网络 ：共享或公共网络，通常是互联网，封装的数据通过它传输到远程网络。
- 隧道协议 ：有两种协议用于管理隧道和封装私有数据，分别是PPTP（Point - to - Point Tunneling Protocol）和L2TP（Layer Two Transport Protocol）。PPTP使用用户级别的PPP认证方法以及MPPE（Microsoft Point - to - Point Encryption）进行数据加密。L2TP/IPSec（IP Security）结合证书进行认证，是在公共网络上传输数据最安全的方法之一。Windows XP远程访问客户端和Windows Server 2003系列集成了对L2TP的客户端和服务器端支持。
- VPN隧道 ：封装和加密私有数据的连接。
- 隧道数据 ：在连接上发送的数据。
- 认证 ：验证客户端和VPN服务器的身份，以确保连接的两端都不会受到身份模拟攻击。
- 地址和名称服务器分配 ：VPN服务器负责从静态池或DHCP分配的IP地址中为客户端分配一个IP地址，以及DNS服务器和WINS服务器的地址。

VPN服务器的位置

VPN服务器的位置是远程访问策略规划的另一个重要因素。一方面，VPN服务器必须对远程用户可访问；另一方面，不能因为让任何人都能访问VPN服务器而危及网络安全。可以选择以下两种放置方式：
- 放置在内部网络 ：保护内部网络的防火墙必须配置为允许流向VPN服务器的流量通过。
- 放置在周边网络 ：需要配置VPN服务器的输入/输出过滤器，只允许VPN流量从服务器的互联网接口进出。然后，需要配置内部防火墙，允许来自VPN服务器的所有类型的流量通过。从VPN服务器到内部网络的流量以未加密的形式流向内部资源。最终，如果希望虚拟专用网络用户的应用程序能够正常运行，必须允许各种协议和目的地的流量通过内部防火墙。

概念规划的制定

在了解了远程访问基础设施和虚拟专用网络的组件后，是时候为企业进行远程访问的概念规划了。一个精心设计的概念规划可以避免企业的不必要开支，也能让管理员节省时间和精力。

提出正确的问题

在规划阶段提出正确的问题可以避免日后遇到意想不到的问题。在概念规划时，需要定义前面研究的各个网络组件的功能，并评估需要访问基础设施的用户总数。以下是一些可以在这个阶段提出的问题：
- 哪些用户需要远程访问企业的网络资源，这些用户的数量是多少？
- 企业要求的认证和加密级别是多少？
- 哪些内部网络资源将是可访问的？
- 需要的冗余级别是多少？
- 考虑到远程连接的延迟高于本地网络，网络应用程序在远程连接上的性能如何？
- 是否会有无线客户端访问网络资源？
- 如果使用虚拟专用网络，当前的互联网带宽是否足以应对同时连接的数量？
- 如果使用交换式远程访问，是否需要一个调制解调器组来管理所有交换式客户端？

规划必须足够灵活，以适应网络基础设施中可能出现的所有更改。例如，如果初始规划预计交换式访问服务器将管理10个用户，但由于开设了新的办事处，这个数字后来增加到150个，规划必须能够允许增加网络服务的使用。这意味着需要准备好安装调制解调器组或重新配置网络访问服务器以应对额外的负载。

同时，还需要考虑远程访问客户端消耗的带宽，因为所有这些客户端都通过网络访问服务器的接口连接到专用网络。例如，如果规划预计有256个拥有56 Kb/s调制解调器的远程用户，并且所有这些用户同时访问网络以执行一个需要从网络访问服务器到客户端30 Kb/s带宽的酒店预订应用程序，可以使用以下公式计算累积带宽：
30 Kb/s * 256 = 7,680 Mb/s

这意味着网络访问服务器将使用超过以太网段理论限制（10 Mb/s）的70%，这将饱和这种类型网络的实际带宽能力。不过，这个计算没有考虑到所有额外服务同时使用的低概率。尽管所有交换线路有可能同时使用，但它们不太可能都以最大能力运行。这就是为什么FSI和企业通常会为调制解调器组订阅和分配低于理论最大值的带宽。无论如何，在实施交换式解决方案之前计算这些值非常重要。

规划还应纳入监控或测量资源负载变化的方法，以便进行必要的调整。例如，当前的远程访问服务可能符合初始的概念规范，但现在出于安全考虑，可能需要修改规划以添加服务器、路由器、防火墙或入侵检测系统。由于所有这些组件都可能减少或增加带宽消耗，持续监控可以帮助检测所有可能的变化。

无线网络访问规划实践

以Northwind Traders为例，该公司目前使用WEP（Wired Equivalent Protocol）和MAC（Media Access Control）地址限制来保护巴黎网络的无线访问。管理层不仅希望加强巴黎无线网络的安全性，还希望在格拉斯哥、悉尼、亚特兰大、洛杉矶实施无线网络连接。新的无线规划必须满足以下标准：
- 只有员工才能连接到企业的无线网络基础设施，访客和企业周边的其他人不得连接到无线网络。
- 无线网络必须由目前可用的最安全的加密方法保护。

基于以上场景，需要回答以下问题来规划Northwind Traders的无线网络访问基础设施：
1. 推荐的认证方法 ：考虑到安全性要求，推荐使用EAP - TLS认证方法。EAP - TLS通过使用智能卡证书和相互认证提供最高级别的认证，能够确保只有拥有合法证书的员工才能连接到无线网络，符合只有员工才能连接的要求。
2. 推荐的加密方法 ：为了提供最高级别的安全性，推荐使用WPA2 - Enterprise加密方法。WPA2 - Enterprise结合了EAP认证和高级加密标准（AES），提供了强大的加密保护，能够有效防止无线网络被攻击和数据泄露，满足使用最安全加密方法的要求。

通过以上对远程访问策略规划各个方面的详细介绍，希望能帮助企业管理员更好地规划和实施远程访问解决方案，确保企业网络的安全和高效运行。

远程访问策略规划全解析

远程访问策略的综合考量

在制定远程访问策略时，除了前面提到的各个方面，还需要综合考量多个因素，以确保策略的有效性和适应性。

首先，不同的认证方法和加密技术在不同的场景下有各自的优缺点。例如，对于对安全性要求极高且预算充足的企业，可以优先考虑生物识别技术结合EAP - TLS认证方法，虽然成本较高，但能提供最强大的安全保障；而对于预算有限且对安全性要求相对较低的企业，MS - CHAP v2等较为常见的认证方法可能更为合适。

其次，网络带宽的规划需要根据企业的实际需求进行动态调整。随着企业业务的发展和远程访问用户的增加，可能需要及时升级网络带宽或优化网络架构，以确保远程访问的流畅性。同时，还可以采用流量管理策略，对不同类型的网络流量进行优先级排序，确保关键业务应用的正常运行。

另外，人员培训是远程访问安全的重要环节。企业应该定期开展安全培训活动，提高员工的安全意识和防范能力。培训内容可以包括如何正确设置和使用远程访问设备、如何识别和避免网络钓鱼攻击、如何保护个人信息等。通过持续的培训和教育，使员工成为企业网络安全的守护者。

远程访问策略的实施与维护

制定好远程访问策略后，接下来就是实施和维护的阶段。在实施过程中，需要按照规划逐步配置各个组件，确保远程访问系统的正常运行。

1. 组件配置流程

   • 服务器配置 ：根据规划选择合适的服务器位置（内部网络或周边网络），并进行相应的配置。如果服务器放置在内部网络，需要配置防火墙允许VPN流量通过；如果放置在周边网络，需要配置VPN服务器的输入/输出过滤器和内部防火墙。
   • 客户端配置 ：为远程客户端安装必要的软件和驱动程序，配置认证信息和连接参数。确保客户端能够正确连接到VPN服务器，并通过认证访问企业网络资源。
   • 网络设备配置 ：配置路由器、交换机等网络设备，确保网络的连通性和稳定性。根据需要设置访问控制列表（ACL），限制不必要的网络流量。

2. 维护与监控

   • 定期检查 ：定期检查服务器、客户端和网络设备的运行状态，确保各项配置正常。检查日志文件，及时发现和处理潜在的安全事件。
   • 安全更新 ：及时为服务器、客户端和网络设备安装安全补丁和更新，以修复已知的安全漏洞。
   • 性能优化 ：监控网络带宽使用情况和系统性能指标，根据实际情况进行优化调整。例如，调整VPN服务器的并发连接数、优化网络拓扑结构等。

远程访问策略的未来发展趋势

随着信息技术的不断发展，远程访问策略也将面临新的挑战和机遇。以下是一些未来可能的发展趋势：

1. 更高级的安全技术

   • 随着人工智能和机器学习技术的发展，将有更智能的安全系统用于远程访问。这些系统可以实时分析用户行为和网络流量，自动识别和防范潜在的安全威胁。
   • 量子加密技术的应用可能会为远程访问带来更高的安全性。量子加密利用量子力学原理实现信息的加密传输，具有不可破解的特性。

2. 融合多种接入方式

   • 未来的远程访问将不仅仅局限于VPN和无线网络，还将融合更多的接入方式，如5G网络、卫星通信等。用户可以根据实际情况选择最合适的接入方式，提高远程访问的灵活性和效率。
3. 零信任架构的普及
   • 零信任架构将成为远程访问策略的主流趋势。零信任架构基于“默认不信任，始终验证”的原则，对任何试图访问企业资源的用户、设备和应用都进行严格的身份验证和授权，无论其位于企业内部还是外部网络。

总结

远程访问策略规划是一个复杂而重要的过程，涉及到日志记录、认证方法、VPN技术、无线网络访问等多个方面。企业在规划远程访问策略时，需要充分考虑自身的业务需求、安全要求和预算限制，选择合适的技术和方案。同时，要注重人员培训和安全意识的培养，确保远程访问系统的安全和稳定运行。随着技术的不断发展，企业还需要及时调整和优化远程访问策略，以适应新的挑战和机遇。通过合理的规划和有效的实施，企业可以实现远程访问的高效、安全和便捷，为企业的发展提供有力支持。

发展趋势	特点
更高级的安全技术	利用人工智能、机器学习和量子加密等技术，提供更智能、更安全的远程访问保障
融合多种接入方式	融合5G网络、卫星通信等多种接入方式，提高远程访问的灵活性和效率
零信任架构的普及	基于“默认不信任，始终验证”原则，对所有访问进行严格验证和授权

graph LR
    A[制定远程访问策略] --> B[实施组件配置]
    B --> C[维护与监控]
    C --> D[根据发展趋势调整优化]

通过以上对远程访问策略规划的全面解析，希望能为企业在远程访问领域提供有价值的参考和指导，帮助企业构建更加安全、高效的远程访问环境。