网络工程师复习资料：重新审视远程访问管理

　　企业针对现有的基础设施都设有IT政策，而这通常是与企业的IT目标脱节的。最近，企业都在部署BYOPC(自备电脑)政策，让员工可以自由使用他们想要使用的计算机或者移动设备，然而技术上还无法为这种政策提供足够的保障。

　　一种独立于特定类型设备、操作系统和VPN网关的系统可以帮助企业执行BYOPC政策，这种系统可以允许员工使用所有标准操作系统，例如windows7、windows Vista(32/64位)、Linux、Mac、Symbian和windows mobile，同时能够安全地访问网络。这种情况下，使用自己的设备将帮助员工提供工作效率。

　　教育员工

　　大多数员工(除了那些在IT部门的员工)通常都不是技术人员，当他们试图通过VPN连接到网络时，他们通常会畏缩，因为传统VPN通常需要几个步骤才能建立连接，而员工需要快速有效地访问网络，他们需要的是一键解决方案，而不需要登录、连接等繁琐步骤。

　　一键解决方案可以缩短培训员工的时间，公司可以因此减少IT培训，无故障的解决方案还可以提供办公效率，让员工感觉轻松自在。

　　一键解决方案不仅使连接网络变得更容易，用户界面也简单易懂，这一点很重要，因为员工需要知道连接情况和实时信息，而不用浪费时间去查找这些信息。部署简单界面的VPN客户端可以减少员工对IT部门的询问或者请求帮助。

　　集中管理

　　管理网络对于管理员而言是很复杂的工作，网络是非常全面的，需要很多关注和维护。而随着员工越来越依赖于移动设备(如PDA、笔记本和上网本)，远程访问的需要变得更大。

　　然而，管理所有设备和用户是非常复杂的工作，我们可以通过一个中央管理框架来集中管理和配置。

　　使用中央管理系统，管理员可以轻松管理网络和访问网络的用户，数据可以轻易的从现有目录服务(如Microsoft Active Directory或者 LDAP)中取出，并运用到个人网络地址。这样节约了时间和成本，简化了证书管理和软件分发等工作。

　　同时还减轻了新员工安装和维护的工作，员工变动也能够实时解决，网络管理的工作量也有所减轻，还帮助公司节约成本。

　　混合SSL和IP安全

　　作为VPN客户端，安全套接字层(SSL)和IP安全一直广受争议，很明确的一点是，它们用于两种不同的情况，而其中一个并没有比另一个更有优势。对于用户远程访问，企业解决方案应该同时支持SSL和IPSec。我们应该从移动性、生产效率和政策需要方面来考虑员工的网络访问，而不是从技术上限制网络访问。

　　在某些情况下，IPSec是比较合适的，特别是对于那些想选择在办公室外办公的永久雇员。而SSL更加适合于外部用户，例如客户和供应商，他们只是偶尔需要访问网络。

　　企业需要重新考虑这种混合模式(同时支持IPSec和SSL)的网络，混合VPN渠道为员工在每次远程访问环境中提供安全外部通信，员工既可以通过集中管理的IPSec VPN或者通过“无客户端”公司互联网连接。

　　网络访问控制

　　使用传统技术(例如防火墙或者入侵检测技术)已经不再能够控制威胁，尤其是当越来越多的员工选择移动办公时。网络访问控制(NAC)功能监测和管理连接到公司网络的每个远程访问，通过鉴定每台设备和检查其是否符合公司的安全政策。

　　安全准则和参数是根据公司的远程访问政策而建立的，未知或者可疑设备(包含过期防毒软件的设备或者无法识别的PDA)都将被隔离。

　　当没有部署网络访问控制时，那些未知和可疑设备将访问并且感染网络，随着远程访问用户的增加，这个问题将变得更加严重，网络访问控制功能可疑确保远程访问客户端符合公司的安全政策。

　　例如，确保他们的操作系统是可接受的，安装了必要的安全补丁和最新的病毒库，以及最新的签名。没有网络访问控制功能的话，设备将破坏整个网络，浪费公司的资金和时间。当重新考虑远程访问时，请考虑使用这个功能。