信息安全体系建设☞安全通信防护

virutal private network是一种最普遍，同时也是最廉价的安全手段。我们通常把virutal private network的安全管控归纳到访问控制领域。一方面控制接入的人或者终端另一方面，控制公司的资产。从virutal private network实现的技术方式看，包括SSL和Ipsec两种加密方式。不能单纯的说哪种方式更好，因为这两种方式都能够实现高强度的通信保护。在实施virutal private network项目的时候，风险通常不会出现在传输阶段，更多的时候是出现在用户的访问信息和访问中端，没有实施严格的控制，或者用户的密码被破解掉。为了缓解WPN这种接入方式带来的风险。我建议在virutal private network访问的目的专要实施适当的访问控制。同时要将virutal private network访问的登录信息和连接信息记录到log中，进行集中储存。virutal private network的使用通常有下面几种用途
第一，提供远程工作的连接，尤其是在当前疫情的情况下，很多公司的同事都从家办公，大家需要一种方式来连接家庭网络和公司网络。以前的远程办公需求没有这么强烈， 自从conv-2019肆虐以来，大家逐渐接受了从家办公， 或者远程办公的模式。我的这个系列着重介绍的是开源安全产品对信息安全体系的共享，根据目前的特殊情况， 开源产品可以充分发挥自己的优势，不会给企业带来额外的经济负担。

第二，是为了连接两个或多个不同的办公网点，保持这些站点的加密网络连接。使这些办公地点虽然地理位置不在一起，但是网络可以无限制的连接起来。同时，这种情况也适用于各个分支机构连接网络到数据中心，这种方式的优点就是成本比较低，网络传输处于受保护的加密状态。在这种情况下使用virutal private network的有点就是比较便宜，把一个加密的通道建立在廉价的公有网络上，甚至ADSL上搭建virutal private network。缺点也显而易见，我们使用的公有网络在运营商手里是最低服务级别的线路， 如果遇到网络连接不稳定的情况， 我们是投诉无门。没有人能为你提供7*24的线路维修或者调整服务。背后有业务部门的不断询问，前面又没有可以提供支持的电话，这个是最尴尬的。但是如果我们把备用线路的链接选择到site2site virutal private network上， 情况会有所不同。所以说花钱还是有花钱的道理的。

第三种情况目前各种云平台大量涌现，同时也有很多公司积极的拥抱网络云平台的服务。但同时还不能够完全的抛弃传统的数据中心。于是就要依赖virutal private network这种连接方式，把传统的数据中心和新兴的云平台连接起来。这样可以保证一部分传统应用继续运行在数据中心，同时另外一部分新兴的应用可以运行在云平台。目前使用云平台的应用已经不存在任何的技术障碍，但是有的行业还要尊从于行业的合规风险。需要把一些敏感的重要的数据存储在传统的数据中心，从而实现对数据的完全管控。

第四种情况比较少见，但是也有使用virutal private network的需求。有的公司比如金融公司或者高科技研发公司，他们需要对核心资产实施高强度的保护。也会在内部搭建virutal private network连接，只允许必要的人访问，必要的资源。这种情况也同样适用于生产企业里面对生产线的隔离和控制。这种属于一种比较变态的设计， 选择这种设计需要基于对核心资产的访问保护。因为根据网络安全的最基本的理论，让正确的人去访问正确的资源。选择了这种的virutal private network部署方式， 显然会丧失掉一些网络的灵活性。随着应用层安全的兴起，在网络层实施这样的配置成本会有一点高。

我们在讲究网络安全或者数据安全的同时，也要考虑实施安全策略的经济性。不要为了五块钱而去实施十块钱的安全措施。如果能够不花钱，打到同样的安全效果，那样是最好的，也是最经济的。今天我选择一款开源的virutal private network产品来介绍网络安全体系建设，不仅仅是因为廉价， 还因为我们可以有机会透彻的了解virutal private network的一些技术细节。
我选择的是一个ubuntu的平台，搭建的测试环境。因为使用ubuntu可以很便利的一遍配置一边测试，尤其是对于一些有图形界面的测试会比较方便。在这里我不会具体的讲解virutal private network配置命令， 但是我会highlight出来一些我认为有价值的地方和大家分享。如果大家想了解具体的配置细节， 大家可以通过度娘来搜索。但是我认为从头到尾的配置一边还是很有价值的， 因为从配置过程中，可以很好的了解PKI知识，如何生成密钥，如何验签，以及服务端和客户端是如何通过ssl协议进行通信的。