專(zhuān)家答疑:VPN集中器如何與防火墻和平共處
VPN為專(zhuān)用網(wǎng)絡(luò)之間通過(guò)公共網(wǎng)絡(luò)實(shí)現(xiàn)加密連接。通俗的說(shuō),VPN主要用來(lái)解決遠(yuǎn)程訪問(wèn)的需求。到目前為止,VPN是用的最普遍的遠(yuǎn)程訪問(wèn)解決方案。為此思科公司也專(zhuān)門(mén)設(shè)計(jì)了VPN集中器來(lái)幫助企業(yè)實(shí)現(xiàn)VPN的部署。
思科提供的VPN集中器基本上可以實(shí)現(xiàn)企業(yè)VPN方面的全部需求,VPN集中器的主要作用就是通過(guò)遠(yuǎn)程接入VPN來(lái)為遠(yuǎn)程用戶(hù)提供接入服務(wù)。不過(guò)在部署思科VPN集中器的時(shí)候,需要考慮如何跟防護(hù)墻和平共處。由于VPN集中器可以防止在網(wǎng)絡(luò)不同的位置中。如可以跟防火墻并行防止,也可以防止防火墻的外圍,也可以放在內(nèi)部等等。雖然其位置沒(méi)有限制,但是在部署的時(shí)候,網(wǎng)絡(luò)管理員需要注意其與防火墻位置的不同,要求與功能也略有差異。網(wǎng)絡(luò)設(shè)計(jì)人員需要注意這些差異,才能給VPN集中器選擇一個(gè)合適的位置讓其安家。也只有如此,VPN集中器才能夠發(fā)揮其應(yīng)有的作用。
位置一:把VPN集中器放置在防火墻外面
其實(shí),VPN集中器也有部分防火墻的保護(hù)功能,所以把其放置在防火墻的外面可以提供額外的安全保障。因?yàn)橥ㄟ^(guò)VPN集中器連接企業(yè)的內(nèi)外網(wǎng),可以在集中器的接入口使用相關(guān)的訪問(wèn)規(guī)則來(lái)提高企業(yè)網(wǎng)絡(luò)的安全性。也就是說(shuō),VPN集中器可以實(shí)現(xiàn)部分防火墻功能。當(dāng)遠(yuǎn)程用戶(hù)通過(guò)互聯(lián)網(wǎng)接入到VPN集中器時(shí),這是一種非常行之有效的解決方案。因?yàn)槿羧绱伺渲玫脑?huà),本地站點(diǎn)并不需要外部因特網(wǎng)接入。
如果采用這種配置方式的話(huà),網(wǎng)絡(luò)管理員需要注意兩點(diǎn)。
一是對(duì)于網(wǎng)絡(luò)安全不是特別苛刻的企業(yè),有時(shí)候甚至可以利用VPN集中器來(lái)代替防火墻。因?yàn)樵谄浣尤肟诒旧砭涂梢耘渲孟嚓P(guān)的訪問(wèn)規(guī)則,來(lái)提到防火墻的部分功能,保護(hù)企業(yè)網(wǎng)絡(luò)的安全。故企業(yè)如果有了VPN集中器的話(huà),還可以省去防火墻的投資。所以,這對(duì)部分企業(yè)來(lái)說(shuō),是一個(gè)不錯(cuò)的選擇。
二是需要注意流量的問(wèn)題。上面說(shuō)到的這一點(diǎn)可以說(shuō)是這么部署的好處。那么現(xiàn)在這個(gè)流量問(wèn)題則是其不足之處了。如果按照上面這么部署的話(huà),有一個(gè)很大的缺點(diǎn),就是企業(yè)內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)的交換都需要通過(guò)集中器來(lái)處理,因?yàn)榇藭r(shí)集中器在企業(yè)內(nèi)外商數(shù)據(jù)交換的主干通道上。故道企業(yè)內(nèi)外數(shù)據(jù)交換比較頻繁的話(huà),則會(huì)給集中器性能帶來(lái)比較大的壓力。若企業(yè)真的準(zhǔn)備這么部署的話(huà),那網(wǎng)絡(luò)管理員就需要根據(jù)企業(yè)的實(shí)際情況,選擇合適的VPN集中器。如果有比較頻繁的數(shù)據(jù)交換,如視頻會(huì)議、電子商務(wù)等等網(wǎng)絡(luò)應(yīng)用比較頻繁的話(huà),那最好能夠選擇配置高一點(diǎn)的VPN集中器。
位置二:把VPN集中器放置在防火墻的內(nèi)部
網(wǎng)絡(luò)管理員也可以把防火墻放置在防火墻的內(nèi)部,即防火墻與企業(yè)邊界路由器之間。當(dāng)把集中器部署在防火墻內(nèi)部的話(huà),那么防火墻將是直接接觸企業(yè)外網(wǎng)設(shè)備。也就是說(shuō),防火墻是保障企業(yè)內(nèi)網(wǎng)安全的第一道防線(xiàn)。不過(guò)話(huà)說(shuō)回來(lái),雖然防火墻已經(jīng)起到了保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的目的,但是,VPN集中其仍然需要進(jìn)行一些接入規(guī)則的配置,來(lái)提高VPN網(wǎng)絡(luò)的安全性。如要在接入規(guī)則上,對(duì)接入用戶(hù)的訪問(wèn)權(quán)限進(jìn)行控制。普通用戶(hù)不能夠修改VPN集中器的配置等等。也就是說(shuō),關(guān)于VPN接入的相關(guān)安全控制,仍然需要VPN集中器來(lái)實(shí)現(xiàn)。這有利于VPN接入的管理,有利于提高VPN的安全性,為企業(yè)提供一個(gè)比較安全的遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)環(huán)境。
另外,如果采用這種部署方式的話(huà),由于VPN集中器仍然處在企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)交互的唯一通道上。所以,企業(yè)內(nèi)外網(wǎng)需要進(jìn)行數(shù)據(jù)交換時(shí),所有的數(shù)據(jù)都要通過(guò)VPN集中器。當(dāng)VPN遠(yuǎn)程訪問(wèn)與企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)交換同時(shí)大量發(fā)生時(shí),就將給VPN集中器帶來(lái)比較大的壓力。這跟第一種部署方式的通病是一樣的。
再者,這種部還是需要注意一點(diǎn)。由于防火墻放置在VPN集中器的前面。這也就是說(shuō),如果用戶(hù)需要進(jìn)行遠(yuǎn)程訪問(wèn)的話(huà),那么這個(gè)遠(yuǎn)程連接的請(qǐng)求必須要先通過(guò)防火墻。所以為了遠(yuǎn)程用戶(hù)能夠順利連接到VPN集中器中,必須要在防火墻上進(jìn)行一些額外的配置,允許VPN連接請(qǐng)求順利通過(guò)防火墻。如遠(yuǎn)程訪問(wèn)者有固定的IP地址,則在防火墻配置中要允許這個(gè)IP地址的通信流量通過(guò)。這種情況往往出現(xiàn)在公司不同局域網(wǎng)之間的互聯(lián)。如遠(yuǎn)程辦事處等等,他們往往有固定的IP地址。但是,有些情況也可能沒(méi)有固定的IP地址。如一些個(gè)人用戶(hù),他們出差時(shí)不知道在哪里。為此,防火墻就要允許所有源地址的IKE等數(shù)據(jù)流通過(guò)防火墻。否則的話(huà),遠(yuǎn)程用戶(hù)就有可能無(wú)法連接到VPN集中器上,因?yàn)槠溥B接請(qǐng)求直接被防火墻所阻擋。故如果網(wǎng)絡(luò)管理員要采用這種布置的話(huà),就必須對(duì)防火墻進(jìn)行額外的配置。同時(shí),為了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全,如果企業(yè)主要利用VPN來(lái)進(jìn)行不同局域網(wǎng)之間的連接,那么最好在防火墻配置的時(shí)候,進(jìn)行IP地址的限制。不要因?yàn)閂PN虛擬專(zhuān)用網(wǎng)的應(yīng)用而降低了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。
位置三:VPN集中器與防火墻并行
上面兩種方案中,我們看到都有一些難以克服的缺點(diǎn)。如以上兩種方法VPN集中器都處在企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)傳輸?shù)奈ㄒ痪€(xiàn)路上,這會(huì)額外增加VPN集中器的數(shù)據(jù)處理負(fù)擔(dān)。另外,第二種方案需要更改防火墻配置,如需要允許所有源地址的IKE數(shù)據(jù)流量,是以犧牲防火墻的安全保護(hù)功能為代價(jià)的。所以,以上兩種處理方式筆者認(rèn)為不是最優(yōu)的處理方式。當(dāng)然,企業(yè)如果不部署防火墻的話(huà),可以采用第一種方式來(lái)提高內(nèi)網(wǎng)的安全性,只是需要犧牲VPN集中器的硬件資源。如果企業(yè)有了防火墻,又需要部署VPN應(yīng)用的話(huà),那么筆者建議各位網(wǎng)絡(luò)管理員才,采用筆者這里介紹的第三種部署方式,即讓VPN集中器與防火墻并行。
為什么這種方式比前兩種方式更加合理呢?根據(jù)筆者的認(rèn)識(shí),其優(yōu)勢(shì)主要集中在如下幾個(gè)方面。
一是此時(shí)企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)交流的通道已經(jīng)有兩條。普通的內(nèi)外網(wǎng)數(shù)據(jù)交換從防火墻走;而通過(guò)VPN請(qǐng)求的數(shù)據(jù)則從VPN集中器走。兩條道路各走各的,互不相干。如此的話(huà),VPN集中器的數(shù)據(jù)處理壓力就會(huì)小的多。另外,在VPN集中器上進(jìn)行的訪問(wèn)規(guī)則的配置,只對(duì)VPN請(qǐng)求有效。不會(huì)影響到其它的數(shù)據(jù)流兩。
二是可以提高企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。上面筆者談到過(guò),若把VPN集中器放置在防火墻內(nèi)部的話(huà),需要對(duì)防火墻進(jìn)行額外的調(diào)整。可能需要允許所有源地址的IKE流量通過(guò)防火墻。這對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全會(huì)造成不利影響。而如果把VPN集中器與防火墻并行的話(huà),遠(yuǎn)程客戶(hù)就直接使用VPN集中器的公網(wǎng)地址進(jìn)行廉潔,即在不經(jīng)過(guò)防火墻設(shè)備直接與VPN集中器進(jìn)行相連。這也就是說(shuō),防火墻不用再開(kāi)放所有IP地址的IKE數(shù)據(jù)流量,遠(yuǎn)程用戶(hù)也能夠如愿以?xún)數(shù)倪B接到VPN集中器上進(jìn)行遠(yuǎn)程訪問(wèn)。這就在很大程度上保障了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。
另外,值得慶幸的是,遠(yuǎn)程訪問(wèn)用戶(hù)建立VPN連接之后,防火墻仍然把VPN集中器當(dāng)作一個(gè)外部的實(shí)體。所以,防火墻的安全策略仍然對(duì)遠(yuǎn)程用戶(hù)有效。所以網(wǎng)絡(luò)管理員可以在防火墻上使用單一的安全策略來(lái)限制用戶(hù)可以看到哪些資源不能夠看到哪些資源。不要小看這個(gè)功能,在實(shí)際工作中他非常有效。因?yàn)檫@意味著企業(yè)網(wǎng)絡(luò)管理員可以在一個(gè)平臺(tái)上管理企業(yè)內(nèi)部用戶(hù)與外部遠(yuǎn)程訪問(wèn)用戶(hù)的訪問(wèn)權(quán)限。這對(duì)提高企業(yè)內(nèi)部信息的安全性具有非常重大的利益。
不過(guò)這個(gè)方案也有一個(gè)不足的地方。由于VPN集中器與防火墻都同時(shí)面對(duì)互聯(lián)網(wǎng)絡(luò),也就是說(shuō),當(dāng)遠(yuǎn)程用戶(hù)需要連接到VPN集中器的時(shí)候,就需要同時(shí)有兩個(gè)合法的公網(wǎng)地址。VPN集中器一個(gè),防火墻一個(gè)。而現(xiàn)在不少的企業(yè),往往只有一個(gè)合法的公網(wǎng)IP地址。這也就會(huì)給企業(yè)帶來(lái)額外的成本負(fù)擔(dān)。
以上三種就是VPN集中器與防火墻的三種對(duì)應(yīng)關(guān)系。筆者現(xiàn)在采用的是第三種,因?yàn)楣P者認(rèn)為第三種無(wú)論從安全或者管理上來(lái)說(shuō),都是非常方便的。雖然企業(yè)需要額外采用一個(gè)合法的公網(wǎng)IP地址,但是相對(duì)于其優(yōu)勢(shì)來(lái)說(shuō),這個(gè)投資還是值得的。
【編輯推薦】
