“ 疫情期间,企业纷纷开启了远程办公模式。作为远程办公的常用工具,SSL VPN承载了互联网与企业内网的互联互通,充当了企业内网大门的角色,同时,其潜在的安全风险正在考验企业级用户的IT安全管理经验。”
01 VPN地址需要防护
—
VPN是远程办公不可或缺的安全手段,通过在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
从上图我们不难看出,一个非常大的隐患已经出现在我们面前了。Ping一下该地址,其网站IP是暴露的。
因为暴露在公网上,所以SSL VPN自身经常成为DDoS攻击的对象。DDoS攻击通过耗尽用户网络带宽或者占用大量硬件CPU和内存资源的方式,达到VPN网关拒绝服务的目的,导致员工不能正常访问企业资源,降低了工作效率。因此,SSL VPN地址隐藏及SSL VPN 登录入口的安全防护,是企业信息安全管理团队必须重视的问题。
针对上述问题,云盾智慧慧御网站安全云防护给使用SSL VPN的企业用户提供以下安全建议:
- 应避免SSL VPN地址直接暴露在互联网上,建议用ICP备案的域名访问VPN;
- 建议将VPN访问域名接入云防护系统,可以实现VPN地址隐藏,结合云防护系统支持DDoS攻击防护,保证系统的可用性。
02 慧御提供防护
—
通常,SSL VPN在数据传输时都不采用标准的HTTPS协议,而常见的网站安全云防护方案都只能防护HTTP/HTTPS协议的域名。云盾智慧慧御云防护的SSL VPN地址隐藏及防护方案,能通过对该域名做TCP协议转发的方式支持非HTTP/HTTPS协议的防护,保证VPN的私有协议能被云防护完美支持,在保证VPN自身业务正常的基础上,提供DDoS攻击防御能力。
因此,整体方案具有以下特点:
- 支持非HTTPS协议的VPN业务防护;
- 实现SSL VPN的IP地址隐藏,尽可能减小因IP地址暴露带来的安全风险;
- 通过分布式防护节点提供异常流量清洗服务,可抵御各类常见的DDoS攻击。
03 正在使用的客户
—
- 某网络公司近期频繁遭到DDoS攻击,导致用户出口带宽被打满。经排查确认是一起针对该公司SSL VPN网关公网IP地址的NTP放大攻击。通过采纳云盾智慧的安全建议,该公司改为通过已备案域名访问VPN网关,域名接入云防护系统并配置了DDoS防护策略后,有效缓解了DDoS攻击带来的影响。
- 四川省某政府客户, SSL VPN是通过IP地址登录,导致了一些被攻击的事件出现,采纳云盾智慧的安全建议后,该单位申请了域名并且通过域名访问VPN网关,随后将已备案域名加入了云防护,从而解决了安全风险。
04 如何获得防护
—
扫描以下二维码即可申请试用
