加強虛擬專用網絡安全的策略有哪些

加強虛擬專用網絡安全的策略有以下這些：

• 隧道的建立和數據的加密機制：因為安全完全是依賴于這樣一條虛擬鏈路，那么這個隧道可不可靠、隧道里面傳輸的數據是否有了加密機制保護就顯得尤其重要。隧道可以實現多個協議的封裝，并且可以增加有關VPN應用的靈活性，可以在無連接的IP網上提供點到點的邏輯通道，在對安全性要求更高的場合，必須應用加密機制，這些加密機制是為那些可以傳輸在隧道中的數據提供進一步的數據私密性的保護，使得黑客即使圖突破了隧道也沒辦法篡改原始數據。

• 數據驗證：為了防止數據被篡改，就必須有簽名或者驗證機制來驗證這些數據有沒有被篡改過，也就是所謂的完整性驗證機制，比如md5機制。

• 用戶識別與設備驗證：VPN可使合法用戶訪問他們所需的企業資源，同時還要禁止未授權用戶的非法訪問，一般是借助于AAA來實現。這一點對于Access VPN和Extranet VPN具有尤為重要的意義。建立VPN連接的設備之間進行驗證可以確保VPN隧道的安全可靠。

• 入侵檢測，網絡接入控制：網絡入侵檢測系統需要同VPN設備進行配合，通過分析源自或送至VPN設備的信息流，避免通過VPN連接使內部網絡受到攻擊。一般來講VPN接入的用戶可以訪問內部網絡中大部分資源，可以考慮對VPN接入用戶進行分級和控制，確保內部網絡的運行安全。

• 優化VPN部署架構：在實際部署中一定要將VPN設備部署在數據中心外部，同時在VPN設備進向和出向部署IPS等設備。一方面，通過IPS等設備可以防御對VPN的攻擊，增加攻擊者的攻擊難度；另一方面，當攻擊者獲取VPN權限在進行C段掃描時，相關設備會立即告警，從而大大提高遭遇攻擊時的防護反應速度。并且，由于VPN部署在數據中心外側，因此數據中心的防火墻、IPS與WAF等設備可以防護從VPN發起的對重要服務器的攻擊，防止“一點擊破，全網盡失”的情況發生。

• 加強VPN設備的安全管理：將VPN設備的管理界面和用戶界面進行分離，采取ACL控制，VPN設備的管理界面只能通過堡壘機進行訪問；限制不必要端口如設備的Redis等被非授權IP訪問；加強威脅情報，監控VPN設備的漏洞，與廠家密切聯系并及時對設備進行升級及加固。

回答所涉及的環境：聯想天逸510S、Windows 10。