【正文】 MSCHAP v2 或 EAP/TLS 身份驗(yàn)證被協(xié)商之后，數(shù)據(jù)才由 MPPE 進(jìn)行加密， MPPE 需要這些類型的身份驗(yàn)證生成的公用客戶和服務(wù)器密鑰。 對(duì)于 L2TP服務(wù)器，將使用 IPSec機(jī)制對(duì)數(shù)據(jù)進(jìn)行加密 IPSec是基于密碼學(xué)的保護(hù) 服務(wù)和安全協(xié)議的套件。 IPSec 對(duì)使用 L2TP 協(xié)議的 VPN 連接提供機(jī)器級(jí)身份驗(yàn)證和數(shù)據(jù)加密。在保護(hù)密碼和數(shù)據(jù)的 L2TP 連接建立之前， IPSec 在計(jì)算機(jī)及其遠(yuǎn)程 VPN服務(wù)器之間進(jìn) 行協(xié)商。 IPSec 可用的加密包括 56 位密鑰的數(shù)據(jù)加密標(biāo)準(zhǔn) DES 和 56 位密鑰的三倍 DES (3DES)。 要實(shí)現(xiàn) VPN連接，企業(yè)內(nèi)部網(wǎng)絡(luò)中必須配置有 VPN 設(shè)備 ， VPN設(shè)備 一方面連接企業(yè)內(nèi)部專用網(wǎng)絡(luò)，另一方面要連接到 Inter，也就是說(shuō) VPN設(shè)備 必須擁有一個(gè)公用的 IP地址。當(dāng)客戶機(jī)通過(guò) VPN連接與 內(nèi)部 網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行通信時(shí)，先由 ISP（ Inter服務(wù)提供商）將所有的數(shù)據(jù)傳送到 VPN設(shè)備 ，然后再由 VPN設(shè)備 負(fù)責(zé)將所有的數(shù)據(jù)傳送到目標(biāo)計(jì)算機(jī)。 VPN使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密?？蛻魴C(jī)向 VPN設(shè)備 發(fā)出請(qǐng)求， VPN設(shè)備 響應(yīng)請(qǐng)求并向客戶機(jī)發(fā)出身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到 VPN設(shè)備 ， VPN設(shè)備 根據(jù)用戶數(shù)據(jù)庫(kù)檢查該響應(yīng)，如果賬戶有效， VPN設(shè)備 將檢查該用戶是否具有遠(yuǎn)程訪問(wèn)權(quán)限，如果該用戶擁有遠(yuǎn)程訪問(wèn)的權(quán)限， VPN設(shè)備 接受此連接。在身份驗(yàn)證過(guò)程中產(chǎn)生的客戶機(jī)和服務(wù)器公 有密鑰將用來(lái)對(duì)數(shù)據(jù)進(jìn)行加密。 為 VPN設(shè)備 選擇位置 遠(yuǎn)程用戶的從屬關(guān)系有助于確定 VPN設(shè)備放置的位置。對(duì)于期望通過(guò)遠(yuǎn)程訪問(wèn)復(fù)制辦事處工作環(huán)境的員工來(lái)說(shuō)， VPN設(shè)備 最好直接放在專用網(wǎng)絡(luò)中，但這一方法也最易成為攻擊者的攻擊目標(biāo)。 對(duì)于員工企業(yè)，如果絕大多數(shù)遠(yuǎn)程用戶屬于外部機(jī)構(gòu)，將 VPN設(shè)備放在 DMZ網(wǎng)絡(luò)上意義更大，因?yàn)樗葍?nèi)部網(wǎng)絡(luò)更為安全，屏蔽 DMZ的防火墻有助于保護(hù)其間的設(shè)備。這種方法也比將 VPN設(shè)備完全放在安全設(shè)施周邊之外更安全。如果一臺(tái)認(rèn)證服務(wù)器屬于 DMZ子網(wǎng)，它會(huì)得到細(xì)心的管理和保護(hù)，免于內(nèi)部和外部的 威脅。 企業(yè)在設(shè)計(jì)安全內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)時(shí)，安置 VPN 和認(rèn)證服務(wù)器是關(guān)鍵的一步。其中，建立與下屬辦事處的鏈路最簡(jiǎn)單：一對(duì) VPN 服務(wù)器只需在兩個(gè)站點(diǎn)間建立加密通道。因?yàn)槌霾盥眯械膯T工或遠(yuǎn)程工作站需要進(jìn)行認(rèn)證，因此，它們建立與 VPN 服務(wù)器的鏈路，將認(rèn)證請(qǐng)求傳送到 DMZ 上的認(rèn)證服務(wù)器。外界顧問(wèn)不需要認(rèn)證，他們只需同另一臺(tái) VPN 服務(wù)器連接起來(lái)，這一臺(tái)服務(wù)器應(yīng)位于第二個(gè) DMZ 上，以保護(hù)公司的認(rèn)證服務(wù)器。另外值得注意的是，企業(yè)為業(yè)務(wù)伙伴進(jìn)行的連接配置最需要技巧，連接請(qǐng)求首先到達(dá)第二個(gè) DMZ 上的VPN 服務(wù)器，之后請(qǐng)求被傳送到 第一個(gè) DMZ 上的認(rèn)證服務(wù)器，最后，批準(zhǔn)的請(qǐng)求被傳送到請(qǐng)求訪問(wèn)的資源中。 重新配置其他網(wǎng)絡(luò)設(shè)備 安裝 VPN，特別是涉及 IP 地址管理和防火墻時(shí)，公司可能要對(duì)網(wǎng)絡(luò)上的其他設(shè)備重新進(jìn)行配置。 VPN 通常使用網(wǎng)絡(luò)地址翻譯器（ NAT），如 IETF RFC 1918 中所述， NAT將專用地址（通常從一組保留的地址中選出）映射到一個(gè)或幾個(gè)在 Inter 上可見(jiàn)的地址上。 網(wǎng)管員至少要使 VPN設(shè)備的配置清楚哪些地址要保留下來(lái)供內(nèi)部使用。此外，許多基于VPN的防火墻還支持動(dòng)態(tài)主機(jī)配置協(xié)議（ DHCP）。網(wǎng)管員需將 DHCP和 VPN功能協(xié)調(diào)起來(lái)，否則，客戶機(jī)可能最終將信息只發(fā)送到 Inter 而不是專用網(wǎng)絡(luò)上。 一些 VPN 設(shè)備使用虛擬網(wǎng)絡(luò)適配器將有效的 IP 地址分配到專用網(wǎng)絡(luò)上，如 DEC 公司的Altavista 通道服務(wù)器，或使用由微軟公司開(kāi)發(fā)的點(diǎn)到點(diǎn)通道協(xié)議（ PPTP）都可以將這些地址分配到未使用的地址中，并對(duì)路由器及其他需要進(jìn)行地址更新的網(wǎng)絡(luò)設(shè)備進(jìn)行必要的修改。 如果 VPN 服務(wù)器在防火墻以內(nèi)，網(wǎng)絡(luò)管理員還要對(duì)防火墻進(jìn)行重新配置。大多數(shù) VPN將所有信息流閉合起來(lái)，形成一股使用單一 TCP端口號(hào)的信息流。這 樣，防火墻需要一個(gè)類屬代理或用于傳遞封閉 VPN信息 流的規(guī)則，以及允許將信息流傳送到 VPN設(shè)備上的規(guī)則。 如果 VPN設(shè)備位于 DMZ部分的外聯(lián)網(wǎng)中，防火墻還需要一個(gè)允許加密信息流從 Inter流動(dòng)到 DMZ上的規(guī)則，另外，還有讓應(yīng)用程序流從 DMZ流動(dòng)到內(nèi)部網(wǎng)絡(luò)上的規(guī)則。如果認(rèn)證服務(wù)器位于內(nèi)部網(wǎng)絡(luò)上，防火墻的配置一定要有允許 DMZ和專用網(wǎng)絡(luò)間的認(rèn)證請(qǐng)求。 網(wǎng)絡(luò)管理員應(yīng)該注意，網(wǎng)絡(luò)中中有一個(gè)千萬(wàn)不能被篡改的地方是專用網(wǎng)絡(luò)的域名系統(tǒng)（ DNS）服務(wù)器，它負(fù)責(zé)專用網(wǎng)絡(luò)設(shè)備的主機(jī)名稱到 IP 地址的解析。如果 DNS 可在 Inter上看到，那么攻擊者可了解專用網(wǎng)絡(luò)的布局。 安裝和配置 VPN 對(duì)于基于軟件的 VPN和那些圍繞防火墻制作的產(chǎn)品，從安全系統(tǒng)入手是根本。在安裝前從服務(wù)器中取消所有不必要的服務(wù)、應(yīng)用程序和用戶帳戶，以確保安裝的是最新的、安全的產(chǎn)品，這樣安裝 VPN軟件才是安全的。 對(duì) VPN進(jìn)行配置時(shí)，網(wǎng)管員要為一系列因素設(shè)定參數(shù)，包括密鑰長(zhǎng)度、主要與次要認(rèn)證服務(wù)器及相關(guān)的共享秘密資源、連接和超時(shí)設(shè)置、證書核查 VPN終點(diǎn)設(shè)備（而不是用戶）的身份，大部分 VPN產(chǎn)品都提供此功能。對(duì)此，一些廠商的實(shí)現(xiàn)的方式是，讓所有信息進(jìn)入 總部設(shè)備下載相關(guān)信息。而對(duì)于遠(yuǎn)程用戶，則需要建立口令，準(zhǔn)備連接腳本，確立認(rèn)證步驟。 網(wǎng)管員還要讓認(rèn)證和授權(quán)程序協(xié)調(diào)起來(lái)。兩者聽(tīng)起來(lái)差不多，但有些微妙且重要的差別。認(rèn)證是要證明遠(yuǎn)程用戶是她或他聲稱的身份（在外聯(lián)網(wǎng)設(shè)置中，要證明的則相反，即服務(wù)器可信）。授權(quán)是要確定遠(yuǎn)程用戶有權(quán)訪問(wèn)何種網(wǎng)絡(luò)資源。如果認(rèn)證服務(wù)器還控制授權(quán)分組，例如營(yíng)銷或策劃小組的授權(quán)，則系統(tǒng)還要注意核查它是否能正確地同 VPN 設(shè)備聯(lián)絡(luò)組信息。 監(jiān)控和管理 VPN 這