防范于未然　VPN设备实现安全远程接入2

防范于未然　VPN设备实现安全远程接入2

对于这些作法，大多数用户不会感到任何不同，因此也可以达到终端接入的目的。但是由于大部分企业SQL服务器和应用服务器放在一台PC机上，因此给攻击者一个很好的机会和渠道。例如，早期做法是直接把SQL服务器的TCP1433端口开放给外部用户，这样就相当于给所有用户都开放了此端口；即使现在大量的软件都是做一个应用服务器中转一下，也是开放了应用服务器的计算机；而B/S的应用，同样要对外开放SQL服务器或者其它端口。由于计算机的端口开放，黑客只要使用类似Portscan的软件，就可以很快的查到企业服务器。

　　这样的情况，在台湾、香港或外企公司，由于已经具备很强的安全意识，所以基本上都是用VPN来做远程，没有人愿意冒风险以直接开放的方式进行配置。但是在国内，一般项目实施的供应商在项目洽谈的时候，可能考虑控制成本或者是迎合客户决策者的低成本暗示，一般会掩盖此问题，只有在出了安全问题的时候才有可能暴露。所以，企业用户使用路由器虚拟服务的方式，会容易被竞争对手或黑客入侵，导致报价信息、商业机会外泄、投标输掉等情况都有可能发生。

　　图：企业用户应用情况分析

　　用户A：不论是存取终端服务器、ERP应用服务器，或是SQL服务器，都极有可能被黑客侵入；

　　用户B：服务器都配置于同一硬件计算器上，风险更大；

　　用户C：采用VPN，使用VPN隧道隔离对外联系，黑客无从进入。

　　二、方便的黑客工具

　　由于信息交流的方便，再加上有很多像“灰鸽子”这样的服务厂商，利用以上漏洞攻击企业并不困难。