隨著春節假期的結束，大部分企業已正式復工，新型冠狀病毒疫情的防護成為常態化。少聚集、少外出是防止病毒傳播、保護自己和他人安全的有效途徑。即使核酸檢測、疫苗接種已有序開展，很多單位仍將部分業務甚至日常運營轉到“線上”進行。遠程辦公為員工的健康帶來保障的同時也降低了運營成本，然而線上辦公真的安全么？VPN真的配置“好”了么？

如何合理、合規、高效地配置VPN，才能保障遠程辦公的安全性、便捷性呢？

第一步 業務資源分開放，分區分域保安全

如同疫情防護過程中的風險區域劃分，病毒/威脅可能出現的或已經出現的區域被劃為高風險區域，將高風險地區的資源/人控制在高風險區域，以街道、社區、單元甚至住戶為單位進行分區隔離，對不同區域實行不同的管控政策。同樣，配置VPN網關時，需將網絡、資源做好分區、分域隔離，把“網絡病毒傳播”的風險降到最低的同時不影響業務的快捷訪問。

天融信資深VPN工程師經驗如下：

1. 使用VPN設備的多個不同網絡端口將內網資源在邏輯上劃分為多個安全域；

2. 根據各個安全區域內運行業務的重要程度、類別，配置對應級別的防護策略；

3. 對進入內網的流量保持持續監測。

第二步 網絡訪問做控制，精準策略防攻擊

戴口罩、穿防護服是疫情期間最常用、最高效的防護手段，而且是一種雙向的安全保護。同樣，在配置VPN的第二個階段，需要采用最常用、最高效的訪問控制策略為手段，為網絡穿上“防護服”甚至“隱身衣”。

天融信資深VPN工程師經驗如下：

1. 配置身份控制策略：通過對用戶身份的鑒別與授權、網元和終端的識別、用戶網絡接入位置的識別，保證只有安全的賬號、安全的位置、安全的終端狀態才能與內網的業務建立VPN連接；

2. 配置訪問控制策略：針對不同的業務資源配置不同的訪問控制列表并形成配置模板，提升訪問安全的同時也提高了配置效率；

3. AI可信分析：開啟客戶端與網關針對異常檢測與行為分析的功能，分析異常操作行為并根據訪問資源的重要性進行告警或提醒。

第三步 內網外網不輕信，“核酸證明”都需要

核酸證明是春節期間識別流動人口安全狀態的有效手段。網絡訪問也是如此，終端和資源只有在按需動態檢測并保證在安全狀態時才能被訪問，以保護網絡和應用的安全。做好VPN客戶端和訪問資源的安全檢測，防止惡意代碼或程序被傳輸到內網。

天融信資深VPN工程師經驗如下：

1. 網關本地攻擊檢測：天融信VPN網關內置的抗攻擊模塊、入侵防御模塊、防病毒模塊，通過特征匹配、行為分析，讓數據夾帶的惡意軟件和攻擊無所遁形；

2. 客戶端檢測：天融信VPN客戶端內置病毒查殺模塊，對于VPN客戶端的終端進行安全狀態檢測，只有通過安全檢測的終端才能啟動VPN連接。

通過天融信VPN工程師的經驗分享，想必您已經升級了VPN更優配置的新技能。此外，天融信建議您在開展遠程辦公期間持續觀察VPN隧道內的網絡流量，按需開啟訪問控制、入侵防御、病毒防御等功能，把遠程訪問帶來的網絡安全風險盡可能降到最低。

天融信VPN產品已進入市場20余年，多年來始終堅持自主創新，致力于為客戶提供可靠的安全接入服務。未來天融信將在技術領域持續突破，幫助客戶抵御復雜的安全威脅，為客戶提供安全、便捷、智能化的遠程訪問體驗。