#原创分享# VPN功能调优分享

设备使用时间长以后，就可能会出现一些影响性能或降低安全性的操作，那我们应该如何应对

1、本地密码认证安全

1.1、查看本地用户管理时是否有“sangfor”、“test”等测试用户，如果未使用可以删除；

1.2、查看是否有公共组，如果未使用可以删除或禁用；

1.3、开启密码安全策略；

注：密码安全策略仅对本地用户名密码认证的私有账号有效，对LDAP、Radius等第三方对接的认证方式不生效；

通过密码安全策略来定期通知用户修改密码，并规定密码复杂度；

2、开启防暴力破解

2.1、开启防暴力破解的功能防止帐号密码被爆破而导致内网失陷；

2.2、封锁用户仅对本地用户或LDAP导入本地的用户生效；

2.3、封锁IP会对所有的认证方式（包括第三方认证）生效；

3、第三方认证

第三方认证如LDAP、Radius等，根据实际情况配置好组映射或者角色映射，然后根据实际情况授权，确保权限最小化，防止越权带来的风险

4、开启双因素认证

4.1、双因素认证，需要同时满足多次认证要求才能允许登录VPN；

4.2、密码泄露或者撞库等攻击导致的安全隐患；

5、关闭匿名登录

开启匿名登录后就不需要输入用户名密码或者选择其他认证方式了，直接选择匿名登录就可以连上VPN，较不安全，建议关闭匿名登录的功能

6、权限划分

在配置角色授权时，使用最小权限的原则分配资源，非必要场景，不要将L3VPN全网资源、WEB全网资源和泛域名全网资源分配给用户并禁用该资源

7、允许访问资源客户端类型

在配置资源时，保障访问资源的客户端类型最小化，建议在配置资源的时候选择好允许访问资源的客户端类型，不需要访问资源类型的客户端禁止访问

8、关闭HTTP接入

HTTP端口仅作跳转和选路的作用，若非分布式或SSL多线路等必须使用HTTP端口的环境下，建议关闭80端口

9、开启host头部攻击防护

9.1、建议开启host头部攻击防护，开启后，仅允许写入的地址接入（一般写的外网接入地址即映射后的IP或者域名）其他的地址如DMZ口，LAN口的内网地址等均无法接入VPN；

9.2、若以域名方式接入VPN，则需要将域名解析后的IP也加入，不加入会导致EC接入使用异常；

10、关闭PPTP/L2TP接入

建议使用更安全的SSL接入，建议关闭PPTP/L2TP VPN的接入

11、允许接入客户端类型

建议关闭不使用的接入客户端类型

12、控制台加固

12.1、建议关闭远程维护，使用更安全的HTTPS访问控制台；

12.2、控制台超时时间不要设置太长，建议10分钟为宜，根据实际使用情况调整；

13、关闭探测

建议关闭设备的ping和traceroute、外网登录本机的MML、外网使用升级客户端进

行维护的功能

14、管理员帐号加固

14.1、建议对管理员登录控制台做IP限制，仅允许受信的运维IP登录控制台，有环境的情况下也可以开启证书/USB-KRY认证；

14.2、添加时，注意网络中是否有NAT的环境，若有需添加NAT后的地址；

目前统计到这些，欢迎补充~

您好，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创内容要求及奖励规则：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=117259

不错不错，很详细，感谢分享

很不错的分析贴，对于VPN里面的一些好的优化功能做了一个统计。多谢分享。

还有看看详细版本信息补丁包有没有打上，最好再用aCheck巡检一下

感谢分享