ForeFront让企业VPN连接高枕无忧

众所周知，使用VPN(虚拟专用网络)可以实现对专用网络访问，既安全又便宜。如下图所示。现在企业内部有一个文件服务器，而出差在外或者在家办公的员工需要通过互联网来访问企业内部的这个文件服务器。此时网络管理员就可以在他们之间建立一个VPN连接来实现。

由于VPN给企业带来了很大的价值，为此采用这种方式实现远程访问的企业也越来越多。而针对这种VPN连接的攻击也越来越多。笔者在这里就要向大家推荐，在条件允许的情况下最好在文件服务器外边再部署一个ForeFront安全网关，让其来隔离来自VPN连接的攻击。

一、ForeFront安全网关、防火墙与VPN

根据目前VPN的技术，VPN实现主要有两种方式，分别为远程访问VPN与点对点VPN。前者主要是为漫游用户提供对企业内部网络的安全远程访问。简单的说，就是需要使用VPN连接的用户往往是一个，或者说一个用户对应一个VPN连接。而后者主要是在站点之间实现快速的连接。如现在不是一个用户需要访问，而是一个分支机构的所有用户都有可能需要访问集团总部的文件服务器。此时就需要采用点对点的部署方式。在ForeFront安全网关中，支持这两种部署方式，只是其在配置上有所差异。为此在利用ForeFront安全网关来武装VPN之前，网络管理员需要先根据企业的需求，确认具体要采用的方式。

另外需要注意的是，如果VPN产品采用的也是微软的，而此时VPN服务器是集成到Windows的防火墙功能当中的。在这种情况下，如果要实现VPN与ForeFront安全网关相互配合的话，VPN还必须遵循ForeFront的防火墙策略。不过这个内容已经超出了这篇文章要阐述的范围。如果有读者需要的话，后续在以后的文章中笔者会对这一内容进行展开叙述。