ForeFront让企业VPN连接高枕无忧

核心提示： 二、利用隔离控制来保护VPN网络的安全隔离控制是VPN连接中常用的一种安全措施，如现在有某个用户提出了VPN的连接请求，ForeFront让企业VPN连接高枕无忧(2)，当这个请求到达ForeFront安全网关之后，ForeFront会先将这个请求隔离在一个叫做“被隔离的VPN客户端

二、利用隔离控制来保护VPN网络的安全

隔离控制是VPN连接中常用的一种安全措施。如现在有某个用户提出了VPN的连接请求。当这个请求到达ForeFront安全网关之后，ForeFront会先将这个请求隔离在一个叫做“被隔离的VPN客户端”网络中。然后会根据一定的规则对这个连接请求的合法性进行验证。通过之后，才会将这个连接移动到真正的VPN客户端网路中。这里有一个地方容易误解。被隔离的VPN客户端网路这是一个真实存在的网络，其也需要受到防火墙策略的制约。

笔者建议：

一是可以通过隔离控制功能来实现差别访问。如对于“被隔离的VPN客户端”网络中的连接，在没有通过身份验证之前，相当于是匿名访问。网络管理员可以根据需要，对这种类型的连接开放一些公共资源。如现在企业内部假设了一台微软的Update更新服务器。而分公司的用户需要通过VPN连接到这台更新服务器进行补丁的更新等任务。此时可以将这个更新服务器开放给“被隔离的VPN客户端”的连接。以方便他们自动完成客户端的更新工作。

二是合理选择隔离的机制。ForeFront安全网关支持NAP(网络访问保护)和RQS(远程访问隔离服务)两种隔离机制。前者允许管理员基于客户端的标识、客户端所属的组、客户端符合公司策略的程度来定义隔离的规则。而后者则主要是通过RQC(远程访问隔离客户端)来确定客户端计算机的安全程度，从而向RQS通知客户端计算机是否受制于隔离策略。这两个隔离措施的具体内容各位读者可以参考相关的资料。这里需要强调的是，这两种隔离机制各有其特点，分别适用于不同的场合。简单的说，前者有一个动态修正的特点，而后者没有。在使用这个隔离机制的时候，难点就在于如何根据用户的需求选择合适的隔离机制。一个比较笨的办法是，分别尝试这两种不同的机制。然后向企业员工征求满意度，最后再确定具体需要使用的隔离机制。