VPN地址隐藏及安全防护方案（VPN地址隐藏及安全防护方案）

“ 疫情期间，企业纷纷开启了远程办公模式。作为远程办公的常用工具，SSL VPN承载了互联网与企业内网的互联互通，充当了企业内网大门的角色，同时，其潜在的安全风险正在考验企业级用户的IT安全管理经验。”

01 VPN地址需要防护

—

VPN是远程办公不可或缺的安全手段，通过在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。

从上图我们不难看出，一个非常大的隐患已经出现在我们面前了。Ping一下该地址，其网站IP是暴露的。

因为暴露在公网上，所以SSL VPN自身经常成为DDoS攻击的对象。DDoS攻击通过耗尽用户网络带宽或者占用大量硬件CPU和内存资源的方式，达到VPN网关拒绝服务的目的，导致员工不能正常访问企业资源，降低了工作效率。因此，SSL VPN地址隐藏及SSL VPN 登录入口的安全防护，是企业信息安全管理团队必须重视的问题。

针对上述问题，云盾智慧慧御网站安全云防护给使用SSL VPN的企业用户提供以下安全建议：

• 应避免SSL VPN地址直接暴露在互联网上，建议用ICP备案的域名访问VPN；
• 建议将VPN访问域名接入云防护系统，可以实现VPN地址隐藏，结合云防护系统支持DDoS攻击防护，保证系统的可用性。

02 慧御提供防护

—

通常，SSL VPN在数据传输时都不采用标准的HTTPS协议，而常见的网站安全云防护方案都只能防护HTTP/HTTPS协议的域名。云盾智慧慧御云防护的SSL VPN地址隐藏及防护方案，能通过对该域名做TCP协议转发的方式支持非HTTP/HTTPS协议的防护，保证VPN的私有协议能被云防护完美支持，在保证VPN自身业务正常的基础上，提供DDoS攻击防御能力。

因此，整体方案具有以下特点：

• 支持非HTTPS协议的VPN业务防护；
• 实现SSL VPN的IP地址隐藏，尽可能减小因IP地址暴露带来的安全风险；
• 通过分布式防护节点提供异常流量清洗服务，可抵御各类常见的DDoS攻击。

03 正在使用的客户

—

• 某网络公司近期频繁遭到DDoS攻击，导致用户出口带宽被打满。经排查确认是一起针对该公司SSL VPN网关公网IP地址的NTP放大攻击。通过采纳云盾智慧的安全建议，该公司改为通过已备案域名访问VPN网关，域名接入云防护系统并配置了DDoS防护策略后，有效缓解了DDoS攻击带来的影响。
• 四川省某政府客户， SSL VPN是通过IP地址登录，导致了一些被攻击的事件出现，采纳云盾智慧的安全建议后，该单位申请了域名并且通过域名访问VPN网关，随后将已备案域名加入了云防护，从而解决了安全风险。

04 如何获得防护

—

扫描以下二维码即可申请试用