远程工作正在蓬勃发展

我们将告诉您一种廉价且安全的方法，可确保远程员工通过 VPN 连接，而不会让公司面临声誉或财务风险，也不会给 IT 部门和公司管理层带来额外问题。

随着IT的发展，越来越多的职位可以吸引远程员工。

早期的远程工作者主要是创意职业的代表，例如设计师、文案撰稿人，现在是会计师、法律顾问，许多其他职业的代表可以轻松地在家工作，只在必要时才去办公室。

但无论如何，有必要通过安全通道来组织工作。

最简单的选择。 我们在服务器上设置 VPN，为员工提供登录密码和 VPN 证书密钥，以及如何在其计算机上设置 VPN 客户端的说明。 IT 部门认为其任务已完成。

这个想法似乎不错，除了一件事：必须是一名知道如何自己配置一切的员工。 如果我们谈论的是一个合格的网络应用程序开发人员，他很可能会胜任这项任务。

但会计师、艺术家、设计师、技术作家、建筑师和许多其他职业不一定需要了解设置 VPN 的复杂性。 要么需要有人远程连接并提供帮助，要么亲自来现场设置一切。 因此，如果某些东西停止为他们工作，例如，由于用户配置文件中的故障，网络客户端设置已丢失，那么一切都需要重新重复。

一些公司提供一台已安装软件的笔记本电脑和一个配置好的 VPN 软件客户端，用于远程工作。 理论上，在这种情况下，用户不应该拥有管理员权限。 这样就解决了两个问题：保证为员工提供适合其任务的许可软件和现成的沟通渠道。 同时，他们无法自行更改设置，从而降低了呼叫频率
技术支援。

在某些情况下这很方便。 例如，拥有一台笔记本电脑，您可以白天舒适地坐在房间里，晚上安静地在厨房工作，以免吵醒任何人。

主要缺点是什么？ 与plus相同——它是一个可以携带的移动设备。 用户分为两类：一类喜欢台式电脑的强大功能和大显示器，另一类则喜欢便携性。

第二组用户双手投票选择笔记本电脑。 收到公司笔记本电脑后，这些员工开始愉快地带着它去咖啡馆、餐馆、去大自然并尝试在那里工作。 如果它能工作，而不仅仅是将收到的设备用作您自己的计算机来进行社交网络和其他娱乐就好了。

迟早，公司笔记本电脑不仅会丢失硬盘上的工作信息，还会丢失配置的 VPN 访问信息。 如果在 VPN 客户端设置中选中“保存密码”复选框，则按分钟计算。 在没有立即发现损失、没有立即通知支持服务、或者没有立即找到有权阻止的合适员工的情况下，这可能会变成一场大灾难。

有时限制对信息的访问会有所帮助。 但限制访问并不意味着完全解决丢失设备的问题；这只是在数据泄露和泄露时减少损失的一种方法。

您可以使用加密或双因素身份验证，例如使用 USB 密钥。 从表面上看，这个想法不错，但现在如果笔记本电脑落入坏人之手，其所有者将不得不努力获取数据访问权限，包括通过 VPN 访问。 在此期间，您可以设法阻止对公司网络的访问。 远程用户也面临着新的机会：破解笔记本电脑、访问密钥或同时破解所有内容。 形式上，保护级别提高了，但技术支持服务不会无聊。 此外，每个远程操作员现在都必须购买双因素身份验证（或加密）套件。

另一个悲伤而漫长的故事是丢失或损坏的笔记本电脑（扔在地板上，与甜茶、咖啡和其他事故一起洒落）和丢失的访问密钥造成的损失。

除此之外，笔记本电脑还包含机械部件，例如键盘、USB 连接器和带屏幕的盖子 - 所有这些部件都会随着时间的推移而磨损其使用寿命、变形、松动，必须进行维修或更换（最常见的是，整个笔记本电脑都被更换）。

所以现在怎么办？ 严禁将笔记本电脑带出公寓并进行追踪
移动？

那么他们为什么要赠送笔记本电脑呢？

原因之一是笔记本电脑更容易转移。 让我们想出其他一些同样紧凑的东西。

您可以发放的不是笔记本电脑，而是已配置 VPN 连接的受保护 LiveUSB 闪存驱动器，并且用户将使用自己的计算机。 但这也是一场彩票：软件程序集能否在用户的计算机上运行？ 问题可能只是缺少必要的驱动程序。

我们需要弄清楚如何远程组织员工的联系，并且希望员工不会屈服于携带公司笔记本电脑在城市中闲逛的诱惑，而是坐在家里平静地工作，而不会出现忘记或忘记的风险。在某处丢失了委托给他的设备。

固定 VPN 访问

如果您提供的不是终端设备（例如笔记本电脑），或者尤其不是用于连接的单独闪存驱动器，而是带有板载 VPN 客户端的网络网关，该怎么办？

例如，一个现成的路由器，支持各种协议，其中已经配置了 VPN 连接。 远程员工只需将计算机连接到它即可开始工作。

这有助于解决什么问题？

1. 配置为通过 VPN 访问公司网络的设备不会被带出家门。
2. 您可以将多台设备连接到一个 VPN 通道。

我们在上面已经写过，能够使用笔记本电脑在公寓里走动是件好事，但使用台式电脑通常更容易、更方便。

您可以将 PC、笔记本电脑、智能手机、平板电脑，甚至电子阅读器连接到路由器上的 VPN - 任何支持通过 Wi-Fi 或有线以太网访问的设备。

例如，如果您更广泛地看待这种情况，这可能是一个可供多人工作的迷你办公室的连接点。

在这样一个受保护的段内，连接的设备可以交换信息，您可以组织文件共享资源之类的内容，同时可以正常访问互联网，发送文档以打印到外部打印机，等等。

公司电话！ 这个声音在管子的某个地方听起来有很多东西！ 适用于多个设备的集中式 VPN 通道允许您通过 Wi-Fi 网络连接智能手机，并使用 IP 电话拨打公司网络内的短号码。

否则，您将不得不拨打移动电话或使用 WhatsApp 等外部应用程序，这并不总是符合公司安全策略。

由于我们谈论的是安全性，因此值得注意另一个重要事实。 借助硬件 VPN 网关，您可以通过在入口网关上使用新的控制功能来增强安全性。 这使您可以提高安全性并将部分流量保护负载转移到网络网关。

合勤科技能为这种情况提供什么解决方案？

我们正在考虑向所有能够并且想要远程工作的员工发放一种设备，供临时使用。

因此，这样的设备应该是：

• 便宜；
• 可靠（以免在维修上浪费金钱和时间）；
• 可在零售连锁店购买；
• 易于设置（旨在无需专门调用即可使用
  训练有素的专家）。

听起来不太真实，对吧？

然而这样的设备是存在​​的，它确实存在并且是免费的
出售
- 合勤 ZyWALL VPN2S

VPN2S 是一个 VPN 防火墙，允许您使用私人连接
点对点，无需复杂的网络参数配置。

图 1. Zyxel ZyWALL VPN2S 的外观

简要设备规格

硬件特性

10/100/1000 Mbps RJ-45 端口
3 个局域网、1 个广域网/局域网、1 个广域网

USB 端口
2 x的USB 2.0

无风扇
是

系统容量和性能

SPI 防火墙吞吐量 (Mbps)
1.5 Gbps

VPN 带宽 (Mbps)
35

同时会话的最大数量。 传输控制协议
50000

同时 IPsec VPN 隧道的最大数量 [5] 20

可定制区域
是

支持 IPv6
是

最大VLAN数
16

主要软件功能

多 WAN 负载平衡/故障转移
是

虚拟专用网（VPN）
是（IPSec、L2TP over IPSec、PPTP、L2TP、GRE）

VPN客户端
IPSec/L2TP/PPTP

内容过滤
1 年免费

防火墙
是

VLAN/接口组
是

带宽管理
是

事件日志和监控
是

云助手
是

遥控
是

注。 表中数据基于 OPAL BE 微码 1.12 或更高版本
以后的版本。

ZyWALL VPN2S 支持哪些 VPN 选项

实际上，从名称就可以清楚地看出，ZyWALL VPN2S 设备主要是
旨在通过 VPN 连接远程员工和小型分支机构。

• L2TP Over IPSec VPN 协议是为最终用户提供的。
• 为了连接小型办公室，提供了通过站点到站点 IPSec VPN 的通信。
• 此外，使用 ZyWALL VPN2S 您可以建立 L2TP VPN 连接
  安全互联网访问的服务提供商。

需要注意的是，这种划分是有很大条件的。 例如，您可以
远程点配置站点到站点 IPSec VPN 连接
边界内的用户。

当然，这一切都使用严格的 VPN 算法（IKEv2 和 SHA-2）。

使用多个 WAN

对于远程工作来说，最主要的是要有稳定的渠道。 不幸的是，与唯一
即使来自最可靠的提供商的通信线路也无法保证这一点。

问题可以分为两类：

• 速度下降 - 多 WAN 负载平衡功能将有助于解决此问题
  以所需的速度保持稳定的连接；
• 通道故障 - 为此，使用多 WAN 故障转移功能
  使用复制方法确保容错。

有哪些硬件功能可以实现此目的：

• 第四个 LAN 端口可配置为额外的 WAN 端口。
• USB 端口可用于连接 3G/4G 调制解调器，提供
  蜂窝通信形式的备份信道。

提高网络安全性

如上所述，这是使用特殊的主要优点之一
集中式设备。

ZyWALL VPN2S 具有 SPI（状态数据包检测）防火墙功能，可抵御各种类型的攻击，包括 DoS（拒绝服务）、使用欺骗性 IP 地址的攻击以及未经授权的系统远程访问、可疑网络流量和数据包。

作为额外的保护，该设备具有内容过滤功能，可阻止用户访问可疑、危险和无关内容。

通过设置向导进行快速、简单的 5 步设置

为了快速建立连接，有一个方便的设置向导和图形
多种语言的界面。

图 2. 设置向导屏幕之一的示例。

为了实现快速高效的管理，合勤科技提供了完整的远程管理实用程序包，您可以使用它们轻松配置 VPN2S 并对其进行监控。

复制设置的能力极大地简化了将多个 ZyWALL VPN2S 设备传输给远程员工的准备工作。

VLAN支持

尽管 ZyWALL VPN2S 专为远程工作而设计，但它支持 VLAN。 这使您可以提高网络安全性，例如，如果个体企业家的办公室已连接且具有访客 Wi-Fi。 标准VLAN功能，例如限制广播域、减少传输流量和应用安全策略，是企业网络所需要的，但原则上它们也可以用于小型企业。

VLAN 支持对于组织单独的网络（例如 IP 电话）也很有用。

为确保 VLAN 运行，ZyWALL VPN2S 设备支持 IEEE 802.1Q 标准。

总结

丢失已配置 VPN 通道的移动设备的风险需要除分发公司笔记本电脑之外的解决方案。

使用紧凑且廉价的 VPN 网关可以让您轻松组织远程员工的工作。

ZyWALL VPN2S 模型最初设计用于连接远程工作人员和小型办公室。

有用的链接

→ 合勤 VPN2S – 视频
→ Zyxel 官方网站上的 ZyWALL VPN2S 页面
→ 测试：小型办公室解决方案 VPN2S + WiFi 接入点
→ 电报聊天“合勤俱乐部”
→ 电报频道“合勤新闻”

来源： habr.com