本文主要介紹了VPN連接的威脅防御，思科遠程接入VPN解決方案，SSL VPN，基于IPSec的遠程接入等方面的技術，同時向大家介紹了如何連接VPN。

Cisco? ASA 5500 系列自適應安全設備是專為中小企業（SMB）和大型企業應用開發的平臺，將最高安全性與VPN服務有機地結合在一起。Cisco ASA 5500 系列自適應威脅防御解決方案基于防火墻、入侵防御系統（IPS）和網絡防病毒功能。作為專用VPN平臺，該解決方案可以獨立使用，也可以與其它解決方案配合使用。

對于VPN服務，由于Cisco ASA 5500 系列提供靈活的技術，因而能根據遠程接入和站點到站點連接要求，提供定制的解決方案。Cisco ASA 5500 系列提供易于管理的IP Security（IPsec）和安全套接字層（SSL）VPN遠程和網絡敏感型站點到站點VPN連接，使企業能夠通過公共網絡為移動用戶、遠程站點和業務合作伙伴創建安全連接。利用Cisco ASA 5500 系列，各機構不需要降低公司安全策略的完整性，就能夠獲得互聯網的連接和成本優勢。Cisco ASA 5500 系列將VPN服務與全面威脅消除服務有機地結合在一起，提供安全的VPN連接和通信。集成式自適應威脅防御功能提供統一保護，保證VPN部署不會成為網絡攻擊的導體，例如蠕蟲、病毒、壞件或黑客等。不僅如此，還可以為VPN流量應用詳細的應用和訪問控制策略，使個人和用戶組能夠訪問到他們有權訪問的應用、網絡服務和資源（見圖1）。

圖1針對任意部署方案的VPN服務：帶有威脅防御的增強型IPsec和SSL VPN服務

遠程接入

Cisco ASA 5500 系列提供支持多種連接方式的完整遠程接入VPN解決方案，包括WebVPN（SSL VPN）、Cisco VPN Client（IPSec VPN）以及從Windows 移動設備建立的Nokia Symbian 移動無線和無客戶端接入。利用思科的遠程接入技術，各企業只需部署一個集成式平臺，就能廣泛支持各種核心企業應用，簡化管理，并提高部署靈活性。

安全的遠程連接可以通過SSL 型Web瀏覽器或VPN客戶端建立，因此，不需要部署和管理獨立的設備就能夠獲得最高的靈活性和應用接入。利用Cisco ASA 5500 系列安全設備，各企業可以為每個用戶組選用最適當的技術，而不需要同時部署多種解決方案。利用安全遠程接入，由于企業不再需要同時為SSL和IPSec VPN 分別建立獨立的平臺，因而提高了效率，降低了成本。

基于IPSec的遠程接入

利用IPSec 提供遠程接入能夠建立最增強型的可定制連接。利用IPSec，用戶幾乎可以訪問任何應用，就好像自己與總部局域網建立了實際連接一樣。思科IPSec 遠程接入具有高度可定制性，利用提供的API，管理員可以編寫執行程序及其它定制程序。

Cisco ASA 5500 系列是思科系統?公司提供的功能最豐富的基于IPSec 的遠程接入解決方案。對于IPSec 部署，由于ASA 5500 系列充分利用了Cisco VPN 3000 系列集中器平臺的特性和功能，因而能提供幾乎相同的功能，但每用戶吞吐量更高。不僅如此，ASA 5500 系列還能無縫地與現有VPN 3000集中器集群集成在一起，使兩個平臺同時為相同的用戶群服務。

另外，Cisco ASA 5500 系列還提供其它思科安全解決方案也提供的新型Cisco Easy VPN遠程接入功能，例如Cisco PIX? 安全設備、Cisco IOS? 路由器和Cisco VPN 3000系列集中器。Cisco Easy VPN 提供可以擴展、經濟高效、易于管理的獨特遠程接入VPN架構，并能夠降低傳統VPN解決方案維護遠程設備配置所需要的運作成本。Cisco ASA 5500 系列設備能夠將最新的VPN安全策略動態推廣到遠程VPN設備和客戶端，以保證這些遠程端點在建立連接之前先實施最新策略，從而實現最高的靈活性、可擴展性和易于使用性。

Cisco ASA 5500 系列安全設備支持VPN客戶端安全策略實施，在試圖建立VPN連接時執行安全檢查，包括安全策略執行情況、版本號以及公司管理的主機安全產品（例如Cisco Security Agent 或個人防火墻軟件），然后再允許遠程用戶接入公司網絡。另外，Cisco VPN Client 還可以根據客戶端的類型、安裝的操作系統以及Cisco VPN Client 軟件的版本限制網絡連接，以防非法VPN客戶端接入公司網絡。

Cisco VPN Client 和 Cisco VPN 3002 Hardware Client 可以自動執行軟件更新，即能夠在建立VPN連接時觸發更新，或者根據需要更新當前連接的VPN客戶端。這種方法使企業能夠輕松地更新遠程用戶的客戶端軟件。

遠程接入用戶可以依據設備本身的內部用戶數據庫進行認證，也可以利用RADIUS或TACACS+ 通過外部源完成認證。由于與主流認證服務，包括Microsoft Active Directory、Microsoft Windows Domains、Kerberos、輕量目錄訪問協議（LDAP）和RSA SecurID，集成在一起，因此，不需要通過獨立的RADIUS/TACACS+ 服務器就能完成用戶認證。

SSL VPN

Cisco ASA 5500 系列能夠同時為無客戶端和完全網絡接入部署提供核心SSL VPN功能。無客戶端接入適用于非公司管理的桌面，例如外部網系統和公共接入點。完全網絡接入適用于需要一致"局域網型"用戶體驗，并需要訪問所有應用或網絡資源的遠程接入用戶?；赟SL的完全網絡接入通過Cisco SSL VPN Client for WebVPN提供，這種網絡接入與IPSec VPN客戶端相似，但不需要預裝VPN Client 軟件。

SSL VPN 只使用Web瀏覽器及其本地SSL加密，不需要預裝VPN 客戶端軟件就幾乎能夠從可以接入互聯網的任何位置遠程訪問網絡資源。利用Cisco ASA 5500 系列上支持的WebVPN，能夠容易地訪問多種企業應用，包括Web資源、Web型應用、NT/Active Directory 文件共享（Web型）、電子郵件以及基于TCP的其它應用，例如來自與互聯網相連、可以到達HTTP互聯網站點的任何計算機的Telnet 或 Windows 終端服務。WebVPN 使用SSL及其后續產品Transport Layer Security（TLS）在遠程用戶與中央站點的特殊內部資源之間建立安全連接。使用WebVPN建立安全連接之后，不需要安裝其它桌面軟件就可以從任何系統接入網絡。#p#

站點到站點

利用Cisco ASA 5500 系列安全設備提供的網絡敏感型IPSec 站點到站點 VPN 功能，企業可以利用低成本的互聯網連接，安全地將其網絡擴展到商業合作伙伴以及世界各地的遠程和衛星辦公室。ASA 5500 系列是思科推出的功能最豐富的基于設備的站點到站點VPN解決方案。通過無與倫比的網絡特性集成，Cisco IOS 路由器能夠提供業內最先進、最靈活的站點到站點VPN連接。

分支機構和遠程機構能夠將公司的范圍擴展到主要市場和位置。基于Cisco ASA 5500 系列的VPN解決方案能夠在多個位置之間建立安全的高速通信，提供企業通信所需要的性能、可靠性和可用性。VPN連接可以使用數字證書和預共享加密等多種方法認證。

Cisco ASA 5500 系列安全設備提供的VPN基礎設施支持當今的各種應用，并能夠通過安全的IPSec 網絡傳輸語音、視頻和數據。增強型的站點到站點VPN服務與豐富的檢測功能和服務質量（QoS）特性結合在一起，使企業能夠利用融合型網絡的諸多優勢。由于企業能夠利用Cisco ASA 5500 系列設備，并能夠將VPN與QoS特性和豐富的檢測功能結合在一起，因而能安全地將語音和多媒體服務擴展到遠程機構環境，充分利用融合型網絡具有的諸多優勢，包括提高生產率、降低運作成本和增強競爭優勢等。

延遲、抖動和包損失都會降低語音和視頻質量。Cisco ASA 5500 系列低延遲隊列（LLQ）和流量偵聽特性支持QoS要求很高的應用，例如語音或視頻，以保證端到端網絡QoS策略。延遲敏感型流量的傳輸可以優先于文件傳輸以及能夠容忍延遲的其它流量。隊列性能可以通過一系列配置參數優化。

通過VPN 部署語音和視頻時，應該用狀態化方式檢測流經網絡的所有多服務流量。Cisco ASA 5500 系列安全設備能夠為多種IP語音（VoIP）和其它多媒體標準提供市場領先的保護。支持的VoIP和多媒體標準包括H.323 版本4、會話發起協議（SIP）、思科瘦客戶端控制協議（SCCP）、實時流協議（RTSP）和媒體網關控制協議（MGCP），這些協議能夠幫助企業安全地部署多種當前及新一代VoIP和多媒體應用。

為簡化配置和提高永續性，Cisco ASA 5500 系列還具有網絡拓撲敏感性。由于ASA 5500系列支持VPN隧道上首先打開的最短路徑（OSPF）路由，因而能沿用網絡可到達性知識，保證流量的有效傳輸。不僅如此，子網自動識別特性還能簡化配置，因為它能夠識別每個VPN網關背后的所有主機。

思科遠程接入VPN解決方案

對X.509 數字證書的廣泛支持包括：為具有多層證書權威結構的環境提供N層證書鏈，允許利用簡單證書登記協議（SCEP）自動完成證書登記，以及脫機證書權威機構部署人工登記等。RSA證書支持的密鑰尺寸可長達4096位，基于數字簽名算法（DSA）的X.509證書的密鑰尺寸可長達1024位。另外，用戶也可以聯機登記到Cisco IOS Software證書機構。輕量X.509證書機構有助于簡化公共密鑰基礎設施（PKI）型站點到站點VPN的推廣。

VPN連接的威脅防御

威脅防御：蠕蟲、病毒、間諜軟件、廣告軟件、特洛伊木馬、DoS攻擊

蠕蟲、病毒、應用嵌入式攻擊和應用濫用是當今網絡面臨的重大安全問題。由于當今的VPN設計具有漏洞，因此，遠程接入和遠程機構VPN連接是這些威脅的通用切入點。目前，很多VPN部署都沒有在總部位置的通道終點采取適當的檢測和威脅防御措施，因而使壞件很容易從遠程機構或用戶感染到網絡并伺機傳播。

利用Cisco ASA 5500 系列，不需要增加成本，不需要增加設計、部署或運作的復雜性，就能夠使檢測和威脅防御作為VPN解決方案的一部分。利用ASA 5500 系列的融合型威脅防御功能，客戶可以在壞件進入網絡內部并傳播之前就及時發現并阻止。對于應用嵌入式攻擊，例如通過文件共享對等網絡傳播的間諜軟件或廣告軟件，ASA 5500 系列能夠深入檢測應用流量，以便在壞件瞄準目標并造成危害之前就及時發現危險負載并丟棄其內容。

Cisco ASA 5500 系列安全設備的應用層檢測功能能夠防止VPN部署遭受拒絕服務（DoS）攻擊，例如SYN 泛濫、互聯網控制消息協議（ICMP）泛濫、"teardrops"、端口掃描、"pings of death"以及很多其它常見攻擊。

【編輯推薦】

1. 常用思科路由器密碼恢復經典案例
2. 思科路由器口令恢復辦法全解
3. 思科路由器安全性管理
4. cisco路由器配置ACL詳解
5. cisco路由器啟動進程