ForeFront让企业VPN连接高枕无忧

核心提示： 三、VPN客户端凭据的管理与维护在文章一开头，笔者谈到过VPN连接通常有两种方式：远程访问与点对点访问，ForeFront让企业VPN连接高枕无忧(3)，无论采用什么方式，有一点是肯定的，最后需要提醒的一点是，对于那些受到病毒感染的VPN客户端，就是用户必须有合法的客户端凭据，才能够通过VPN连

三、VPN客户端凭据的管理与维护

在文章一开头，笔者谈到过VPN连接通常有两种方式：远程访问与点对点访问。无论采用什么方式，有一点是肯定的，就是用户必须有合法的客户端凭据，才能够通过VPN连接来访问企业内部的资源。不过这里需要注意的是，VPN部署的方式不同，其客户端凭据的配置与管理也是不同的。在ForeFront安全网关中所需要关注的重点也有所差异。笔者认为，对于以下内容各位网络管理员要有清晰的认识。

一是不同的部署方式，其客户端凭据安全性有所不同。如对于远程访问来说，当远程用户建立VPN连接的时候，安全网关会将ForeFront远程用户的凭据与这个连接进行关联。如果其他用户使用这个连接，则ForeFront将不会接受他们的凭据，不会建立VPN连接。但是如果使用点对点的部署方式的话，其实一个VPN连接对应的是多个用户。如在一个分公司中，往往有一个VPN客户端服务器(可以是一个硬件服务器，也可以是一个软服务器)。VPN连接的建立是这个VPN客户端服务器与VPN服务器之间完成的。而分公司的用户只需要连接到这个VPN客户端服务器的话，就可以通过VPN连接与企业内部的服务器进行交互式访问。此时VPN的安全性就会得不到保证。在这种情况下，在分公司的网络中可能需要采用额外的安全机制。如在VPN客户端服务器上，指定只有那些IP地址或者MAC地址才能够通过这个客户端服务器来使用已经建立的VPN连接。

二是需要注意，VPN、安全网关、防火墙共存的情况。当承载客户端连接的计算机或者位于它后面的计算机有一个正确安装和配置的防火墙客户端时，这些计算机或者客户端会将加入到VPN客户端网络。到这一步没有问题。不过后面这个内容需要引起管理员注意。此时ForeFront安全网关接收的是每个用户的凭据，而不是主机的凭据。也就是说，只认人、不认机器。牢记这个内容，在后续故障的排除上会起到很大的帮助。

当有特殊安全需要的时候，管理员还可以通过用户映射等功能来进一步加强VPN连接的安全性。用户映射用能对于非Windows的客户端会比较实用。具体的内容笔者不做过多展开。最后需要提醒的一点是，对于那些受到病毒感染的VPN客户端，该如何处理呢?这也是在ForeFront安全网关部署中需要关注的内容。