使用 VPN 服务器保护环境

客户机到站点 VPN 服务器可以帮助您保护环境并满足合规性要求。

使用安全组和 ACL 进行边界保护

VPN 服务器支持与 VPC 安全组和访问控制表 (ACL) 集成。有关更多信息，请参阅关于安全组和设置网络 ACL。

要保护环境免受意外或未经授权的通信，请配置 ACL 和安全组规则以在缺省情况下拒绝所有流量，并且仅允许期望的协议，CIDR 或端口。配置安全组和 ACL 以用于 VPN 提供了 VPN 服务器正常运行所需的规则示例。您可以使用其他规则来限制使用 VPN 服务器端口访问特定网络 (而不是 Any 或 0.0.0.0/0)。

使用 VPN 客户机认证的访问控制

客户机到站点 VPN 服务器支持证书认证和用户/验证码认证。请参阅设置客户机到站点认证和 VPN 客户机认证，以获取有关每种方法所需的配置的更多信息。

您可以同时使用这两种认证方法来认证客户机访问权。请使用以下准则以获取最佳结果。

使用用户名/密码进行认证

要使用用户名或密码进行认证，请注意以下事项:

此选项要求 VPN 客户端用户使用所需的 MFA 方法进行认证，然后才能获取有效的验证码并用于 VPN 连接。可以从“IAM 认证”部分 (管理> 访问权 (IAM)> 设置> 认证) 进行配置。有关更多信息，请参阅启用多因子认证。
用户名/密码认证要求用户具有 IAM VPN 服务器用户角色。有关更多信息，请参阅创建 IAM 访问组并授予角色以连接到 VPN 服务器。您必须配置 IAM 访问组或访问策略，以仅对需要 VPN 访问权的用户启用此角色。

使用客户机证书进行认证

要使用客户机证书进行认证，请注意以下事项:

使用唯一的客户机证书。客户机证书认证的 VPN 服务器配置需要客户机证书作为输入。但是，可以单独创建由同一认证中心 (CA) 签署的唯一客户机证书，并将其用于不同的用户。
使用证书撤销列表 (CRL) 来撤销客户机证书。客户机到站点 VPN 服务器支持 CRL 以撤销客户机证书。有关更多信息，请参阅创建 VPN 服务器。
请勿使用通过公用 CA 签名的客户机证书，例如通过 Secrets Manager创建的 LetsEncrypt 证书。使用公用-CA 签名的客户机证书意味着任何人都可以供应客户机证书并成功进行认证。此外，无法使用 CRL 轻松跟踪和撤销使用公共 CA 创建的证书。

其他 VPN 服务器配置

客户机到站点 VPN 服务器支持许多其他选项，您可以配置这些选项以提高安全性并满足合规性需求。有关更多信息，请参阅创建 VPN 服务器和 VPN 服务器的规划注意事项。

您应该了解 VPN 服务器配置的以下问题:

VPN 服务器支持客户机空闲超时。缺省情况下，VPN 客户机连接在 10 分钟后断开连接，而没有活动流量。您可以编辑超时以添加所需值。
在 VPN 服务器上启用全隧道方式。全隧道方式更安全且更受欢迎，尤其是从不可信网络进行连接时。在全隧道方式下，来自 VPN 客户端的所有流量都将路由到 VPN 服务器。
配置传输协议和 VPN 端口。在某些情况下，您可能不想使众所周知的端口 (例如 TCP/443) 保持打开状态。编辑此选项以使用非缺省传输协议和 VPN 端口。
配置Activity Tracker以接收和分析 VPN 服务器日志。有关更多信息，请参阅 Activity Tracker 事件。