我們將告訴您一種廉價且安全的方法,可確保遠端員工透過 VPN 連接,而不會讓公司面臨聲譽或財務風險,也不會給 IT 部門和公司管理層帶來額外問題。
隨著IT的發展,越來越多的職位可以吸引遠距員工。
如果說早期的遠距工作者主要是創意職業的代表,例如設計師、文案撰稿人,那麼現在是會計師、法律顧問,而許多其他職業的代表可以輕鬆地在家工作,只在必要時才去辦公室。
但無論如何,有必要透過安全通道來組織工作。
最簡單的選擇。我們在伺服器上設定 VPN,為員工提供登入密碼和 VPN 憑證金鑰,以及如何在其電腦上設定 VPN 用戶端的說明。 IT 部門認為其任務已完成。
這個想法似乎不錯,除了一件事:必須是一位知道如何自己配置一切的員工。如果我們談論的是一個合格的網頁應用程式開發人員,他很可能會勝任這項任務。
但會計師、藝術家、設計師、技術作家、建築師和許多其他職業不一定需要了解設定 VPN 的複雜性。要么需要有人遠端連接並提供幫助,要么親自來現場設置一切。因此,如果某些東西停止為他們工作,例如,由於使用者設定檔中的故障,網路用戶端設定已遺失,那麼一切都需要重新重複。
一些公司提供一台已安裝軟體的筆記型電腦和一個配置好的 VPN 軟體用戶端,用於遠端工作。理論上,在這種情況下,使用者不應該擁有管理員權限。這樣就解決了兩個問題:保證提供員工適合其任務的授權軟體和現成的溝通管道。同時,他們無法自行更改設置,從而降低了呼叫頻率
技術支援。
在某些情況下這很方便。例如,擁有一台筆記型電腦,您可以在白天舒適地坐在房間裡,晚上安靜地在廚房工作,以免吵醒任何人。
主要缺點是什麼?與plus相同-它是一個可以攜帶的行動裝置。使用者分為兩類:一類喜歡桌上型電腦的強大功能和大顯示器,另一類則喜歡便攜性。
第二組用戶雙手投票選擇筆記型電腦。收到公司筆記型電腦後,這些員工開始愉快地帶著它去咖啡館、餐廳、去大自然並嘗試在那裡工作。如果它能工作,而不僅僅是將收到的設備用作您自己的電腦來進行社交網路和其他娛樂就好了。
遲早,公司筆記型電腦不僅會丟失硬碟上的工作信息,還會丟失配置的 VPN 存取資訊。如果在 VPN 用戶端設定中選取「儲存密碼」複選框,則按分鐘計算。在沒有立即發現損失、沒有立即通知支援服務、或沒有立即找到有權阻止的合適員工的情況下,這可能會變成一場大災難。
有時限制資訊的存取會有所幫助。但限制存取並不意味著完全解決遺失設備的問題;這只是在資料外洩和外洩時減少損失的一種方法。
您可以使用加密或雙重認證,例如使用 USB 金鑰。從表面上看,這個想法不錯,但現在如果筆記型電腦落入壞人之手,其所有者將不得不努力獲取資料存取權限,包括透過 VPN 存取。在此期間,您可以設法阻止對公司網路的存取。遠端用戶也面臨新的機會:破解筆記型電腦、存取金鑰或同時破解所有內容。形式上,保護等級提高了,但技術支援服務不會無聊。此外,每個遠端操作員現在都必須購買雙重認證(或加密)套件。
另一個悲傷而漫長的故事是丟失或損壞的筆記型電腦(扔在地板上,與甜茶、咖啡和其他事故一起灑落)和丟失的訪問密鑰造成的損失。
除此之外,筆記型電腦還包含機械部件,例如鍵盤、USB 連接器和帶屏幕的蓋子- 所有這些都會隨著時間的推移而磨損其使用壽命、變形、鬆動,必須修理或更換(最常見的是,整台筆記型電腦都被更換)。
所以現在怎麼辦?嚴禁將筆記型電腦帶出公寓並進行追踪
移動?
那他們為什麼要贈送筆記型電腦呢?
原因之一是筆記型電腦更容易轉移。讓我們想出其他一些同樣緊湊的東西。
您可以發放的不是筆記型電腦,而是已設定 VPN 連線的受保護 LiveUSB 隨身碟,並且使用者將使用自己的電腦。但這也是一場彩券:軟體程式集能否在使用者的電腦上運作?問題可能只是缺少必要的驅動程式。
我們需要弄清楚如何遠端組織員工的聯繫,並且希望員工不會屈服於攜帶公司筆記型電腦在城市中閒逛的誘惑,而是坐在家里平靜地工作,而不會出現忘記或忘記的風險。在某處遺失了委託給他的設備。
固定 VPN 訪問
如果您提供的不是終端設備(例如筆記型電腦),或者尤其不是用於連接的單獨閃存驅動器,而是帶有板載 VPN 用戶端的網路網關,該怎麼辦?
例如,一個現成的路由器,支援各種協議,其中已經配置了 VPN 連線。遠端員工只需將電腦連接到它即可開始工作。
這有助於解決什麼問題?
- 配置為透過 VPN 存取公司網路的裝置不會被帶出家門。
- 您可以將多台裝置連接到一個 VPN 頻道。
我們在上面已經寫過,能夠使用筆記型電腦在公寓裡走動是件好事,但使用桌上型電腦通常更容易、更方便。
您可以將 PC、筆記型電腦、智慧型手機、平板電腦,甚至電子閱讀器連接到路由器上的 VPN - 任何支援透過 Wi-Fi 或有線乙太網路存取的裝置。
例如,如果您更廣泛地看待這種情況,這可能是可供多人工作的迷你辦公室的連接點。
在這樣一個受保護的段內,連接的設備可以交換訊息,您可以組織文件共享資源之類的內容,同時可以正常訪問互聯網,發送文件以打印到外部印表機,等等。
公司電話!這個聲音在管子的某個地方聽起來有很多東西!適用於多個裝置的集中式 VPN 通道可讓您透過 Wi-Fi 網路連接智慧型手機,並使用 IP 電話撥打公司網路內的短號碼。
否則,您將不得不撥打行動電話或使用 WhatsApp 等外部應用程序,這並不總是符合公司安全策略。
由於我們談論的是安全性,因此值得注意另一個重要事實。透過硬體 VPN 網關,您可以透過在入口網關上使用新的控制功能來增強安全性。這使您可以提高安全性並將部分流量保護負載轉移到網路網關。
合勤科技能為這種情況提供什麼解決方案?
我們正在考慮向所有能夠並且想要遠距工作的員工發放一種設備,供臨時使用。
因此,這樣的設備應該是:
- 便宜;
- 可靠(以免在維修上浪費金錢和時間);
- 可在零售連鎖店購買;
- 易於設定(旨在無需專門呼叫即可使用
訓練有素的專家)。
聽起來不太真實,對吧?
然而這樣的設備是存在的,它確實存在並且是免費的
- 合勤 ZyWALL VPN2S
VPN2S 是一個 VPN 防火牆,可讓您使用私人連接
點對點,無需複雜的網路參數配置。
圖 1. Zyxel ZyWALL VPN2S 的外觀
簡要設備規格
硬體特性
10/100/1000 Mbps RJ-45 端口
3 個區域網路、1 個廣域網路/區域網路、1 個廣域網
USB 端口
2 x的USB 2.0
無風扇
Да
系統容量和性能
SPI 防火牆吞吐量 (Mbps)
1.5 Gbps
VPN 頻寬 (Mbps)
35
同時會話的最大數量。傳輸控制協定
50000
同時 IPsec VPN 隧道的最大數量 [5] 20
可自訂區域
Да
支持 IPv6
Да
最大VLAN數
16
主要軟體功能
多 WAN 負載平衡/故障轉移
Да
虛擬專用網(VPN)
是(IPSec、L2TP over IPSec、PPTP、L2TP、GRE)
VPN客戶端
IPSec/L2TP/PPTP
內容過濾
1 年免費
防火牆
Да
VLAN/介面群組
Да
頻寬管理
Да
事件日誌和監控
Да
雲助手
Да
遙控
Да
注。 表中數據基於 OPAL BE 微碼 1.12 或更高版本
以後的版本。
ZyWALL VPN2S 支援哪些 VPN 選項
實際上,從名稱就可以清楚看出,ZyWALL VPN2S 設備主要是
旨在透過 VPN 連接遠端員工和小型分行。
- L2TP Over IPSec VPN 協定是為最終用戶提供的。
- 為了連接小型辦公室,提供了透過站點到站點 IPSec VPN 的通訊。
- 此外,使用 ZyWALL VPN2S 您可以建立 L2TP VPN 連接
安全網際網路存取的服務提供者。
需要注意的是,這種劃分是有很大的條件。例如,您可以
遠端點配置站點到站點 IPSec VPN 連接
邊界內的使用者。
當然,這一切都使用嚴格的 VPN 演算法(IKEv2 和 SHA-2)。
使用多個 WAN
對於遠距工作來說,最主要的是要有穩定的管道。不幸的是,與唯一
即使來自最可靠的提供者的通訊線路也無法保證這一點。
問題可以分為兩類:
- 速度下降 - 多 WAN 負載平衡功能將有助於解決此問題
以所需的速度保持穩定的連線; - 通道故障 - 為此,使用多 WAN 故障轉移功能
使用複製方法確保容錯。
有哪些硬體功能可以實現此目的:
- 第四個 LAN 連接埠可配置為額外的 WAN 連接埠。
- USB 連接埠可用於連接 3G/4G 數據機,提供
蜂窩通訊形式的備份頻道。
提高網路安全性
如上所述,這是使用特殊的主要優點之一
集中式設備。
ZyWALL VPN2S 具有SPI(狀態資料包偵測)防火牆功能,可抵禦各種類型的攻擊,包括DoS(拒絕服務)、使用欺騙性IP 位址的攻擊以及未經授權的系統遠端存取、可疑網路流量和資料包。
作為額外的保護,該設備具有內容過濾功能,可阻止用戶存取可疑、危險和無關內容。
透過設定精靈進行快速、簡單的 5 步驟設置
為了快速建立連接,有一個方便的設定精靈和圖形
多種語言的介面。
圖 2. 設定精靈畫面之一的範例。
為了實現快速且有效率的管理,合勤科技提供了完整的遠端管理公用程式包,您可以使用它們輕鬆設定 VPN2S 並對其進行監控。
複製設定的能力極大地簡化了將多個 ZyWALL VPN2S 設備傳輸給遠端員工的準備工作。
VLAN支援
儘管 ZyWALL VPN2S 專為遠端工作而設計,但它支援 VLAN。這使您可以提高網路安全性,例如,如果個人企業家的辦公室已連接且具有訪客 Wi-Fi。標準VLAN功能,例如限制廣播網域、減少傳輸流量和應用安全策略,是企業網路所需要的,但原則上它們也可以用於小型企業。
VLAN 支援對於組織單獨的網路(例如 IP 電話)也很有用。
為確保 VLAN 運行,ZyWALL VPN2S 設備支援 IEEE 802.1Q 標準。
總結
遺失已設定 VPN 通道的行動裝置的風險需要分公司筆記型電腦以外的解決方案。
使用緊湊且廉價的 VPN 網關可以讓您輕鬆組織遠端員工的工作。
ZyWALL VPN2S 模型最初設計用於連接遠端工作人員和小型辦公室。
有用的鏈接
→
→
→
→
→
來源: www.habr.com