“ 疫情期間，企業紛紛開啟了遠程辦公模式。作為遠程辦公的常用工具，SSL VPN承載了互聯網與企業内網的互聯互通，充當了企業内網大門的角色，同時，其潛在的安全風險正在考驗企業級用戶的IT安全管理經驗。”

01 VPN地址需要防護

—

VPN是遠程辦公不可或缺的安全手段，通過在公用網絡上建立專用網絡，進行加密通訊。在企業網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目标地址的轉換實現遠程訪問。

從上圖我們不難看出，一個非常大的隐患已經出現在我們面前了。Ping一下該地址，其網站IP是暴露的。

因為暴露在公網上，所以SSL VPN自身經常成為DDoS攻擊的對象。DDoS攻擊通過耗盡用戶網絡帶寬或者占用大量硬件CPU和内存資源的方式，達到VPN網關拒絕服務的目的，導緻員工不能正常訪問企業資源，降低了工作效率。因此，SSL VPN地址隐藏及SSL VPN 登錄入口的安全防護，是企業信息安全管理團隊必須重視的問題。

針對上述問題，雲盾智慧慧禦網站安全雲防護給使用SSL VPN的企業用戶提供以下安全建議：

• 應避免SSL VPN地址直接暴露在互聯網上，建議用ICP備案的域名訪問VPN；
• 建議将VPN訪問域名接入雲防護系統，可以實現VPN地址隐藏，結合雲防護系統支持DDoS攻擊防護，保證系統的可用性。

02 慧禦提供防護

—

通常，SSL VPN在數據傳輸時都不采用标準的HTTPS協議，而常見的網站安全雲防護方案都隻能防護HTTP/HTTPS協議的域名。雲盾智慧慧禦雲防護的SSL VPN地址隐藏及防護方案，能通過對該域名做TCP協議轉發的方式支持非HTTP/HTTPS協議的防護，保證VPN的私有協議能被雲防護完美支持，在保證VPN自身業務正常的基礎上，提供DDoS攻擊防禦能力。

因此，整體方案具有以下特點：

• 支持非HTTPS協議的VPN業務防護；
• 實現SSL VPN的IP地址隐藏，盡可能減小因IP地址暴露帶來的安全風險；
• 通過分布式防護節點提供異常流量清洗服務，可抵禦各類常見的DDoS攻擊。

03 正在使用的客戶

—

• 某網絡公司近期頻繁遭到DDoS攻擊，導緻用戶出口帶寬被打滿。經排查确認是一起針對該公司SSL VPN網關公網IP地址的NTP放大攻擊。通過采納雲盾智慧的安全建議，該公司改為通過已備案域名訪問VPN網關，域名接入雲防護系統并配置了DDoS防護策略後，有效緩解了DDoS攻擊帶來的影響。
• 四川省某政府客戶， SSL VPN是通過IP地址登錄，導緻了一些被攻擊的事件出現，采納雲盾智慧的安全建議後，該單位申請了域名并且通過域名訪問VPN網關，随後将已備案域名加入了雲防護，從而解決了安全風險。

04 如何獲得防護

—

掃描以下二維碼即可申請試用

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!