众所周知，使用VPN(虚拟专用网络)可以实现对专用网络访问，既安全又便宜。如下图所示。现在企业内部有一个文件服务器，而出差在外或者在家办公的员工需要通过互联网来访问企业内部的这个文件服务器。此时网络管理员就可以在他们之间建立一个VPN连接来实现。

　　由于VPN给企业带来了很大的价值，为此采用这种方式实现远程访问的企业也越来越多。而针对这种VPN连接的攻击也越来越多。笔者在这里就要向大家推荐，在条件允许的情况下最好在文件服务器外边再部署一个ForeFront安全网关，让其来隔离来自VPN连接的攻击。

　　一、ForeFront安全网关、防火墙与VPN

　　根据目前VPN的技术，VPN实现主要有两种方式，分别为远程访问VPN与点对点VPN。前者主要是为漫游用户提供对企业内部网络的安全远程访问。简单的说，就是需要使用VPN连接的用户往往是一个，或者说一个用户对应一个VPN连接。而后者主要是在站点之间实现快速的连接。如现在不是一个用户需要访问，而是一个分支机构的所有用户都有可能需要访问集团总部的文件服务器。此时就需要采用点对点的部署方式。在ForeFront安全网关中，支持这两种部署方式，只是其在配置上有所差异。为此在利用ForeFront安全网关来武装VPN之前，网络管理员需要先根据企业的需求，确认具体要采用的方式。

　　另外需要注意的是，如果VPN产品采用的也是微软的，而此时VPN服务器是集成到Windows的防火墙功能当中的。在这种情况下，如果要实现VPN与ForeFront安全网关相互配合的话，VPN还必须遵循ForeFront的防火墙策略。不过这个内容已经超出了这篇文章要阐述的范围。如果有读者需要的话，后续在以后的文章中笔者会对这一内容进行展开叙述。

　　二、利用隔离控制来保护VPN网络的安全

　　隔离控制是VPN连接中常用的一种安全措施。如现在有某个用户提出了VPN的连接请求。当这个请求到达ForeFront安全网关之后，ForeFront会先将这个请求隔离在一个叫做“被隔离的VPN客户端”网络中。然后会根据一定的规则对这个连接请求的合法性进行验证。通过之后，才会将这个连接移动到真正的VPN客户端网路中。这里有一个地方容易误解。被隔离的VPN客户端网路这是一个真实存在的网络，其也需要受到防火墙策略的制约。

　　笔者建议：

　　一是可以通过隔离控制功能来实现差别访问。如对于“被隔离的VPN客户端”网络中的连接，在没有通过身份验证之前，相当于是匿名访问。网络管理员可以根据需要，对这种类型的连接开放一些公共资源。如现在企业内部假设了一台微软的Update更新服务器。而分公司的用户需要通过VPN连接到这台更新服务器进行补丁的更新等任务。此时可以将这个更新服务器开放给“被隔离的VPN客户端”的连接。以方便他们自动完成客户端的更新工作。

　　二是合理选择隔离的机制。ForeFront安全网关支持NAP(网络访问保护)和RQS(远程访问隔离服务)两种隔离机制。前者允许管理员基于客户端的标识、客户端所属的组、客户端符合公司策略的程度来定义隔离的规则。而后者则主要是通过RQC(远程访问隔离客户端)来确定客户端计算机的安全程度，从而向RQS通知客户端计算机是否受制于隔离策略。这两个隔离措施的具体内容各位读者可以参考相关的资料。这里需要强调的是，这两种隔离机制各有其特点，分别适用于不同的场合。简单的说，前者有一个动态修正的特点，而后者没有。在使用这个隔离机制的时候，难点就在于如何根据用户的需求选择合适的隔离机制。一个比较笨的办法是，分别尝试这两种不同的机制。然后向企业员工征求满意度，最后再确定具体需要使用的隔离机制。

　　三、VPN客户端凭据的管理与维护

　　在文章一开头，笔者谈到过VPN连接通常有两种方式：远程访问与点对点访问。无论采用什么方式，有一点是肯定的，就是用户必须有合法的客户端凭据，才能够通过VPN连接来访问企业内部的资源。不过这里需要注意的是，VPN部署的方式不同，其客户端凭据的配置与管理也是不同的。在ForeFront安全网关中所需要关注的重点也有所差异。笔者认为，对于以下内容各位网络管理员要有清晰的认识。

　　一是不同的部署方式，其客户端凭据安全性有所不同。如对于远程访问来说，当远程用户建立VPN连接的时候，安全网关会将ForeFront远程用户的凭据与这个连接进行关联。如果其他用户使用这个连接，则ForeFront将不会接受他们的凭据，不会建立VPN连接。但是如果使用点对点的部署方式的话，其实一个VPN连接对应的是多个用户。如在一个分公司中，往往有一个VPN客户端服务器(可以是一个硬件服务器，也可以是一个软服务器)。VPN连接的建立是这个VPN客户端服务器与VPN服务器之间完成的。而分公司的用户只需要连接到这个VPN客户端服务器的话，就可以通过VPN连接与企业内部的服务器进行交互式访问。此时VPN的扇性就会得不到保证。在这种情况下，在分公司的网络中可能需要采用额外的安全机制。如在VPN客户端服务器上，指定只有那些IP地址或者MAC地址才能够通过这个客户端服务器来使用已经建立的VPN连接。

　　二是需要注意，VPN、安全网关、防火墙共存的情况。当承载客户端连接的计算机或者位于它后面的计算机有一个正确安装和配置的防火墙客户端时，这些计算机或者客户端会将加入到VPN客户端网络。到这一步没有问题。不过后面这个内容需要引起管理员注意。此时ForeFront安全网关接收的是每个用户的凭据，而不是主机的凭据。也就是说，只认人、不认机器。牢记这个内容，在后续故障的排除上会起到很大的帮助。

　　当有特殊安全需要的时候，管理员还可以通过用户映射等功能来进一步加强VPN连接的安全性。用户映射用能对于非Windows的客户端会比较实用。具体的内容笔者不做过多展开。最后需要提醒的一点是，对于那些受到病毒感染的VPN客户端，该如何处理呢?这也是在ForeFront安全网关部署中需要关注的内容。