以 Microsoft 虛擬私人網路實作隔離服務規劃指南
概觀
更新日期: 2005 年 5 月 24 日
網際網路的普遍使用率已對許多組織的運作方式造成顯著變化。為了維持競爭優勢,組織逐漸要求員工從遠端,例如住家、分公司、旅館、網咖或客戶端,連線到公司網路。這些遠端連線通常是以虛擬私人網路 (VPN) 技術實作的。
VPN 連線可讓員工和夥伴以安全方式透過公用網路連線到公司區域網路 (LAN)。使用 VPN 技術的遠端存取是啟用許多商務機會 (例如遠端管理和高安全性應用程式) 的關鍵因素。有許多商業團體和使用者運用的生產和管理應用程式,經常會需要對公司 LAN 可靠的遠端存取。
雖然 VPN 會對通過 VPN 通道的資料加密,而提供安全存取,但不會防止惡意軟體 (例如從遠端存取電腦所啟動的病毒或蠕蟲) 的入侵。病毒或蠕蟲攻擊可能源自連接到 LAN 的感染電腦。
因為組織 (例如金融服務業) 必須保有其安全交易的商譽,即使小型安全性缺口也會傷害公司信譽,因此,VPN 連線必須能經歷嚴格的存取需求檢查和驗證。
當遠端電腦沒有符合組織的安全性需求時,可能會發生不安全的 VPN 存取。大部分的 VPN 實作在連接到公司網路之前,不會檢查遠端電腦是否有最新安全性更新或病毒碼。因此,許多組織不認為基本 VPN 架構的遠端存取符合他們的安全性需求。
VPN 隔離提供機制解決這些問題。VPN 隔離會確保使用 VPN 通訊協定連接到網路的電腦會經歷連線前和連線後檢查,並且會被隔離直到電腦符合必要的安全性原則。這些檢查以自訂指令碼實施,會檢查 Service Pack 版本、安全性更新,以及是否執行核准的防毒軟體並含最新的病毒定義檔。組織可以在這些自訂指令碼中測試其他需求。
VPN 隔離解決方案會將所有符合指定遠端存取原則的連接電腦置於隔離網路,並會驗證這些電腦符合組織的安全性原則。只有在遠端存取電腦通過所有的連線檢查時,遠端存取 VPN 伺服器才會解除隔離限制並允許對公司網路的存取。
本指南描述透過 Microsoft® Windows Server™ 2003 Service Pack 1 (SP1) 新功能,以 VPN 計劃和實作隔離服務時所面臨的挑戰。
本頁內容
商業挑戰
商業優勢
誰應該閱讀本指南
讀者的先決條件
規劃指南概觀
商業挑戰
組織在透過 VPN 連線提供遠端存取時,會面臨多項挑戰。視提供的服務、公司運作的管理架構及安全性環境而定,挑戰會有所不同。典型挑戰包括如何:
定義有效的 VPN 存取原則。
降低感染或不符規定之電腦連接到公司 LAN 的可能性。
符合有關維護資料安全性和個人資訊的法律需求。
商業優勢
實作有效 VPN 隔離服務的組織,會獲得一些重要優勢。這些優勢包括:
加強對公司資產的安全存取。VPN 隔離會堅守防毒和安全性更新需求,而增強網路存取安全性。
簡化服務管理和維護。組織可以標準化 VPN 實作的最新安全技術。他們可以從網路基礎結構中移除硬體 VPN 實作,例如特殊的遠端存取電腦系統,因而簡化任何支援工具、文件和連線程序。簡化作業會改進 VPN 存取解決方案的日常操作支援,而抵銷實作隔離解決方案的管理成本。
改進遠端存取的可預測性和使用性。增強的可靠性和使用性會促使員工使用 VPN 服務,而提高對重要工作和公司資源防護的信任。
降低整體擁有成本 (TCO)。強制遠端電腦符合嚴格的信任電腦原則,會降低整體管理和支援成本。節省成本是因為支援電話減少,以及減少花費在處理病毒和蠕蟲攻擊所需的時間。
改進重要公司資訊的安全性。客戶資訊對大部分組織來說是最重要的,特別是在管理環境中運作的組織更是如此。盡可能維護此資訊的安全性,有助於符合管理規範需求和維持組織商譽。
改進商務程序。實作 VPN 隔離解決方案會改進業務主管、客戶經理和顧問所使用之商務應用程式和程序的可用性。提高可用性,會促進更快的決策過程,並改進產品和服務供應的彈性。
如需這些優勢的詳細資訊,請參閱第 2 章<虛擬私人網路隔離的方法>。
誰應該閱讀本指南
本指南為大型組織中處理嚴格隱私權問題的人員,以及在強力執行管理架構中工作的人員,提供有用資訊。此外,不論規模大小,只要需要識別保護和資料存取控制的組織都適用。
本指南的預期讀者包括負責計劃、部署或操作遠端存取連結和網路安全性的技術決策者、企業架構設計師及企業安全性管理員。負責計劃、部署或操作 Microsoft Windows® 架構 VPN 網路的顧問也是本資訊的預期讀者。
讀者的先決條件
本指南假設讀者有遠端存取管理概念和技術的實用知識。為了實作指南中的解決方案,讀者應了解並熟悉下列領域和技術:
Windows Server 2003 遠端存取
網際網路驗證服務 (IAS) 或遠端驗證撥入使用者服務 (RADIUS) 的其他實作
連線管理員及連線管理員系統管理組件 (CMAK)
指令碼或批次檔程式
憑證服務及公開金鑰基礎結構 (PKI)
本指南涵蓋 Microsoft 作業架構 (MOF) 中的「作業」和「支援」程序模型象限。此外,也涵蓋 MOF 中的「安全性管理」和「意外事件管理」服務管理功能 (SMF)。如需 MOF 的詳細資訊,請參閱 Microsoft 作業架構網站,網址為:www.microsoft.com/taiwan/technet/itsolutions/techguide/mof/default.mspx。
規劃指南概觀
本指南由下列各章組成:
第 1 章:簡介
本章提供執行摘要、介紹以隔離服務部署 VPN 時所面臨的商業挑戰和優勢、指明本文的推薦讀者、列出讀者的先決條件,並提供本指南中各章和解決方案案例的概觀。
第 2 章:VPN 隔離的方法
本章概述 VPN 隔離存取的方法。此外,也會討論網路通勤者案例解決方案重要的 VPN 存取元素。
第 3 章:問題及需求
本章介紹 Woodgrove National Bank 案例。然後定義 Woodgrove National Bank 之 VPN 隔離案例的背景、商務問題、技術和安全性問題,以及解決方案需求。本章也會討論網路通勤者之 VPN 存取的解決方案案例,檢視此案例的商務、技術和安全性挑戰。
第 4 章:設計解決方案
本章詳述如何為電子通勤族計劃 VPN 存取的案例解決方案。它會討論解決方案概念、先決條件、解決方案架構,並描述解決方案的運作方式。最後,本章會描述如何延伸解決方案。
除了使用 VPN 搭配隔離服務的一般討論,本指南亦提供實作安全遠端存取解決方案的規範性指導,這個解決方案是奠基於這一系列中所介紹的 Woodgrove National Bank 案例。該案例涵蓋如何為電子通勤族實作安全的 VPN 存取。
Microsoft 建立 Woodgrove National Bank 案例,目的是為了說明組織在提供 VPN 網路隔離服務時所面臨的典型挑戰,以及 Microsoft 技術如何解決這些挑戰。這個案例會處理下列各項挑戰:
為極少出現在公司的業務人員實作高度安全的遠端存取。
在重大天災之後,提供商務延續性,讓員工持續在家工作。
提供彈性工作條件,讓員工可以選擇在家工作。
傳遞及時軟體更新給遠端電腦。
歡迎您提供意見
Microsoft 歡迎您對此指南提供回饋。我們非常歡迎您針對下列問題提供寶貴的意見。
提供的資訊有多大的幫助?
逐步的處理程序是否正確?
各章節內容是否易讀且有趣?
整體而言,您對於本指南的評價為何?
或是將您的意見以電子郵件傳送到以下位址:SecWish@microsoft.com。我們會經常回覆本信箱所收到的意見。
我們期待收到您的意見。
.gif){kind=icon}
以 Microsoft 虛擬私人網路實作隔離服務規劃指南 (英文)