專家答疑:VPN集中器如何與防火墻和平共處
VPN為專用網絡之間通過公共網絡實現加密連接。通俗的說,VPN主要用來解決遠程訪問的需求。到目前為止,VPN是用的最普遍的遠程訪問解決方案。為此思科公司也專門設計了VPN集中器來幫助企業實現VPN的部署。
思科提供的VPN集中器基本上可以實現企業VPN方面的全部需求,VPN集中器的主要作用就是通過遠程接入VPN來為遠程用戶提供接入服務。不過在部署思科VPN集中器的時候,需要考慮如何跟防護墻和平共處。由于VPN集中器可以防止在網絡不同的位置中。如可以跟防火墻并行防止,也可以防止防火墻的外圍,也可以放在內部等等。雖然其位置沒有限制,但是在部署的時候,網絡管理員需要注意其與防火墻位置的不同,要求與功能也略有差異。網絡設計人員需要注意這些差異,才能給VPN集中器選擇一個合適的位置讓其安家。也只有如此,VPN集中器才能夠發揮其應有的作用。
位置一:把VPN集中器放置在防火墻外面
其實,VPN集中器也有部分防火墻的保護功能,所以把其放置在防火墻的外面可以提供額外的安全保障。因為通過VPN集中器連接企業的內外網,可以在集中器的接入口使用相關的訪問規則來提高企業網絡的安全性。也就是說,VPN集中器可以實現部分防火墻功能。當遠程用戶通過互聯網接入到VPN集中器時,這是一種非常行之有效的解決方案。因為若如此配置的話,本地站點并不需要外部因特網接入。
如果采用這種配置方式的話,網絡管理員需要注意兩點。
一是對于網絡安全不是特別苛刻的企業,有時候甚至可以利用VPN集中器來代替防火墻。因為在其接入口本身就可以配置相關的訪問規則,來提到防火墻的部分功能,保護企業網絡的安全。故企業如果有了VPN集中器的話,還可以省去防火墻的投資。所以,這對部分企業來說,是一個不錯的選擇。
二是需要注意流量的問題。上面說到的這一點可以說是這么部署的好處。那么現在這個流量問題則是其不足之處了。如果按照上面這么部署的話,有一個很大的缺點,就是企業內外網絡數據的交換都需要通過集中器來處理,因為此時集中器在企業內外商數據交換的主干通道上。故道企業內外數據交換比較頻繁的話,則會給集中器性能帶來比較大的壓力。若企業真的準備這么部署的話,那網絡管理員就需要根據企業的實際情況,選擇合適的VPN集中器。如果有比較頻繁的數據交換,如視頻會議、電子商務等等網絡應用比較頻繁的話,那最好能夠選擇配置高一點的VPN集中器。
位置二:把VPN集中器放置在防火墻的內部
網絡管理員也可以把防火墻放置在防火墻的內部,即防火墻與企業邊界路由器之間。當把集中器部署在防火墻內部的話,那么防火墻將是直接接觸企業外網設備。也就是說,防火墻是保障企業內網安全的第一道防線。不過話說回來,雖然防火墻已經起到了保護企業內部網絡的目的,但是,VPN集中其仍然需要進行一些接入規則的配置,來提高VPN網絡的安全性。如要在接入規則上,對接入用戶的訪問權限進行控制。普通用戶不能夠修改VPN集中器的配置等等。也就是說,關于VPN接入的相關安全控制,仍然需要VPN集中器來實現。這有利于VPN接入的管理,有利于提高VPN的安全性,為企業提供一個比較安全的遠程網絡訪問環境。
另外,如果采用這種部署方式的話,由于VPN集中器仍然處在企業內外網數據交互的唯一通道上。所以,企業內外網需要進行數據交換時,所有的數據都要通過VPN集中器。當VPN遠程訪問與企業內外網數據交換同時大量發生時,就將給VPN集中器帶來比較大的壓力。這跟第一種部署方式的通病是一樣的。
再者,這種部還是需要注意一點。由于防火墻放置在VPN集中器的前面。這也就是說,如果用戶需要進行遠程訪問的話,那么這個遠程連接的請求必須要先通過防火墻。所以為了遠程用戶能夠順利連接到VPN集中器中,必須要在防火墻上進行一些額外的配置,允許VPN連接請求順利通過防火墻。如遠程訪問者有固定的IP地址,則在防火墻配置中要允許這個IP地址的通信流量通過。這種情況往往出現在公司不同局域網之間的互聯。如遠程辦事處等等,他們往往有固定的IP地址。但是,有些情況也可能沒有固定的IP地址。如一些個人用戶,他們出差時不知道在哪里。為此,防火墻就要允許所有源地址的IKE等數據流通過防火墻。否則的話,遠程用戶就有可能無法連接到VPN集中器上,因為其連接請求直接被防火墻所阻擋。故如果網絡管理員要采用這種布置的話,就必須對防火墻進行額外的配置。同時,為了企業內部網絡的安全,如果企業主要利用VPN來進行不同局域網之間的連接,那么最好在防火墻配置的時候,進行IP地址的限制。不要因為VPN虛擬專用網的應用而降低了企業內部網絡的安全性。
位置三:VPN集中器與防火墻并行
上面兩種方案中,我們看到都有一些難以克服的缺點。如以上兩種方法VPN集中器都處在企業內外網數據傳輸的唯一線路上,這會額外增加VPN集中器的數據處理負擔。另外,第二種方案需要更改防火墻配置,如需要允許所有源地址的IKE數據流量,是以犧牲防火墻的安全保護功能為代價的。所以,以上兩種處理方式筆者認為不是最優的處理方式。當然,企業如果不部署防火墻的話,可以采用第一種方式來提高內網的安全性,只是需要犧牲VPN集中器的硬件資源。如果企業有了防火墻,又需要部署VPN應用的話,那么筆者建議各位網絡管理員才,采用筆者這里介紹的第三種部署方式,即讓VPN集中器與防火墻并行。
為什么這種方式比前兩種方式更加合理呢?根據筆者的認識,其優勢主要集中在如下幾個方面。
一是此時企業內外網數據交流的通道已經有兩條。普通的內外網數據交換從防火墻走;而通過VPN請求的數據則從VPN集中器走。兩條道路各走各的,互不相干。如此的話,VPN集中器的數據處理壓力就會小的多。另外,在VPN集中器上進行的訪問規則的配置,只對VPN請求有效。不會影響到其它的數據流兩。
二是可以提高企業內部網絡的安全性。上面筆者談到過,若把VPN集中器放置在防火墻內部的話,需要對防火墻進行額外的調整。可能需要允許所有源地址的IKE流量通過防火墻。這對企業內部網絡的安全會造成不利影響。而如果把VPN集中器與防火墻并行的話,遠程客戶就直接使用VPN集中器的公網地址進行廉潔,即在不經過防火墻設備直接與VPN集中器進行相連。這也就是說,防火墻不用再開放所有IP地址的IKE數據流量,遠程用戶也能夠如愿以償的連接到VPN集中器上進行遠程訪問。這就在很大程度上保障了企業內部網絡的安全。
另外,值得慶幸的是,遠程訪問用戶建立VPN連接之后,防火墻仍然把VPN集中器當作一個外部的實體。所以,防火墻的安全策略仍然對遠程用戶有效。所以網絡管理員可以在防火墻上使用單一的安全策略來限制用戶可以看到哪些資源不能夠看到哪些資源。不要小看這個功能,在實際工作中他非常有效。因為這意味著企業網絡管理員可以在一個平臺上管理企業內部用戶與外部遠程訪問用戶的訪問權限。這對提高企業內部信息的安全性具有非常重大的利益。
不過這個方案也有一個不足的地方。由于VPN集中器與防火墻都同時面對互聯網絡,也就是說,當遠程用戶需要連接到VPN集中器的時候,就需要同時有兩個合法的公網地址。VPN集中器一個,防火墻一個。而現在不少的企業,往往只有一個合法的公網IP地址。這也就會給企業帶來額外的成本負擔。
以上三種就是VPN集中器與防火墻的三種對應關系。筆者現在采用的是第三種,因為筆者認為第三種無論從安全或者管理上來說,都是非常方便的。雖然企業需要額外采用一個合法的公網IP地址,但是相對于其優勢來說,這個投資還是值得的。
【編輯推薦】
