【文章內(nèi)容簡介】 SP 和 AH都是位于 IP 頂部，不使用端口的高層協(xié)議。 7 由于多到一地址轉(zhuǎn)換，在許多部署遠程接入客戶機的環(huán)境中，是一種通?，F(xiàn)象，有一種稱之為 NAT 透明度的特殊機制，可克服這些 NAT 問題。 NAT 透明度可將 IKE 和 ESP 分組重新封裝入另一傳輸層協(xié)議，如 UDP 或 TCP，那層的地址轉(zhuǎn)換設(shè)備知道如何將其正確轉(zhuǎn)換。這種機制還允許客戶機繞過網(wǎng)絡(luò)的 接入控制，這種網(wǎng)絡(luò)支持 TCP 或UDP，但卻會阻礙加密信息流動。注意，這種特性無論如何不會影響傳輸?shù)陌踩浴?NAT 透明度將獲取被 IPSec保護的分組，然后在 TCP 或 UDP 中再次封裝。 IPSec 之前的 NAT 當(dāng)兩個站點通過 IPSec 連接，如果因站點的網(wǎng)址重復(fù)，隧道就不會建立，因為 VPN 端接設(shè)備無法確定向哪個站點提交分組。在 IPSec 之前使用 NAT，由于將一組重疊網(wǎng)絡(luò)轉(zhuǎn)換入一個獨特的網(wǎng)址范圍，不會與 IPSec 隧道建立沖突，因而可克服這些缺陷。這是建議使用 NAT 的唯一場合。但是，要知道一些協(xié)議在分組數(shù)據(jù)分段中植 入了IP 地址。通常當(dāng)出現(xiàn)地址轉(zhuǎn)換時，要確定是否為協(xié)議通曉設(shè)備執(zhí)行的地址轉(zhuǎn)換，不僅在 IP 報頭中，也包括分組的數(shù)據(jù)分段。如果由于植入了 IP 地址，分組在進入隧道前無法正確轉(zhuǎn)換地址，那么，當(dāng)分組離開隧道時，遠程應(yīng)用就無法接收到植入在數(shù)據(jù)分段中的正確 IP 地址。在這種情況下，應(yīng)用可能無法正常發(fā)揮功能。當(dāng)今的許多遠程接入 VPN 客戶機支持使用頭端端接 VPN 設(shè)備所分配的虛擬地址。利用這一虛擬地址，遠程站點的設(shè)備可與遠程接入客戶機連接。這實際上是由穿越隧道的所有分組的一到一地址轉(zhuǎn)換來完成的。如果 VPN 客戶機無法正確完成分組的地 址轉(zhuǎn)換，或出現(xiàn)了一個不支持的新應(yīng)用，那么，應(yīng)用就可能無法發(fā)揮功效。 總之，在您的站點和遠程接入 VPN 客戶機虛擬地址池，它與您通過 IPSec 連接的其他設(shè)備地址不重復(fù)，此時可使用地址范圍。如果不可能的話，僅在這種情況下使用 NAT，以支持連接。不要隱藏 VPN 設(shè)備的公共對等地址，因為這樣并未提供真正的安全增值，而且可能會造成連接出現(xiàn)問題。當(dāng)您認為 NAT 有介入而且遠程接入客戶機無法成功地建立隧道或在已建立的隧道上發(fā)送分組時，可考慮實施 NAT 透明度模式。要知道 NAT 透明度模式并不會解決與對 NAT 不友好的客戶機應(yīng)用相關(guān) 的連接問題。 單一目的和多目的設(shè)備 在網(wǎng)絡(luò)設(shè)計過程中，您需要選擇是在聯(lián)網(wǎng)或安全設(shè)備中采用集成功能，還是采用 VPN 設(shè)備的特殊功能。集成功能通常是很吸引人的，因為您可以在現(xiàn)行設(shè)備上實施，且該設(shè)備經(jīng)濟有效，其特性可與其他設(shè)備互操作，從而提供功能更理想的解決方案。指定的 VPN 設(shè)備通常在對功能的要求很高、或性能要求使用特殊硬件時，才會使用。當(dāng)決定了采取何種選項，可根據(jù)設(shè)備的容量和功能對決策進行權(quán)衡，并與集成設(shè)備的功能優(yōu)勢相對照。例如，有時您可以選拔集成型高容量 CiscoIOS 路由器和 IPSec 加密軟件，而非較小型的 CiscoIOS Router 以及相關(guān) VPN 設(shè)備。在整個體系結(jié)構(gòu)中，兩類系統(tǒng)都有所使用。由于 IPSec 是一種要求嚴格的功能，隨著設(shè)計規(guī)模的提高，選擇 VPN 設(shè)備取代集成型路由器或防火墻的可行性也日趨增大。注意，對 VPN 設(shè)備這一概念的了解不是件容易的事情。當(dāng)今的許多 VPN 設(shè)備可提供理想的性能和 VPN 管理選項，與此同時，也提供有限的路由選擇，防火墻或 COS 功能，而它們可能與集成設(shè)備有關(guān)。如果所有這些高級功能都得以實現(xiàn)，從性能和部署選項的角度來看，這種設(shè)備也開始越來越像集成型設(shè)備。同樣，除了路由選擇和安全特性的全面 實施以外，可支持全部VPN 功能的 VPN 路由器，可在 VPN 單獨環(huán)境中進行配置，其特征更象一種應(yīng)用。 入侵檢測、網(wǎng)絡(luò)接入控制、信任和 VPN 在考慮 VPN 技術(shù)的部署時，請記住，通過這樣做，您正在擴展網(wǎng)絡(luò)的安全范圍，從而將一些通常并不重視高安全性的領(lǐng)域容納了進來，它們包括： ? 員工家庭 ? 機場 ? 賓館 8 ? 網(wǎng)吧 作為一家機構(gòu)，需要首先回答的問題是 VPN 技術(shù)自身和使用它的周圍應(yīng)用和硬件的信任程度如何。得出結(jié)論的一個好辦法是回答下列問題：作為一家機構(gòu)，您是希望信任來自 VPN 的個人或遠程站點，就像信任通過專用 WAN鏈路連接的 本地員工和站點一樣嗎 ?如果您的答案為“是”，那么，您就應(yīng)該部署 VPN 技術(shù)，就如同您部署當(dāng)今的專用 WAN 鏈路和調(diào)制解調(diào)器池一樣。但是，這只是思科公司的情況，對其大部分 VPN 鏈接的客戶的信任則應(yīng)相對謹慎。因此， IPSec VPN 在部署時，周圍通常環(huán)繞著多層接入控制和入侵檢測。雖然配備 3DES 的 IPSec 十分安全，存儲密鑰的人為不安全性和設(shè)備的配置錯誤，為保證其他安全性能造成了極大的不確定性；更不要提膝上型電腦失竊和特洛伊木馬了。本文主要是為后者而寫的。如果您遭遇到前面的情況，您會發(fā)現(xiàn)這里的許多信息都是極有價值的 ，雖然您可能會覺得這些設(shè)計太注重于安全了。 網(wǎng)絡(luò)入侵檢測系統(tǒng) 網(wǎng)絡(luò)入侵檢測系統(tǒng) (NTDS)是一項用于減少與擴展安全范圍有關(guān)風(fēng)險的技術(shù)。有 VPN 設(shè)計中， NIDS 完成了兩項基本功能。首先， NIDS 可用于分析源自或送至 VPN 設(shè)備的信息流。在這里， NIDS 將檢測從遠程站點或遠程用戶穿過 VPN 的攻擊。因為我們知道該信息流的初始地，發(fā)生欺騙行為的機率較低，任何攻擊都會引發(fā)來自 NTDS 的強烈反應(yīng)。這種反應(yīng)包括規(guī)避或 TCP 重設(shè)。 NIDS 在許多 VPN 環(huán)境中都發(fā)揮著關(guān)鍵作用，因為大多數(shù) VPN 安全策略表明，第三層和第四層 VPN 網(wǎng)絡(luò)接入幾乎是無所不在的。這種設(shè)置提高了對 NIDS 捕獲和停止大多數(shù)源于遠程站點的攻擊的依賴性。其次， NIDS 可用于加密后，確認僅僅是加密信息流被發(fā)送并由 VPN 設(shè)備接收。通過將 NIDS調(diào)至任一非 VPN 分組報警，您可確認只有加密分組流過網(wǎng)絡(luò)。這種設(shè)備可防止 VPN 設(shè)備的任何錯誤配置，因而可阻止未加密信息流穿過設(shè)備。該功能在大型網(wǎng)絡(luò) VPN 設(shè)計中進行了更詳細的論述。 網(wǎng)絡(luò)接入控制 除 NIDS 以外，通常使用防火墻的接入控制應(yīng)該在 VPN 設(shè)備前后設(shè)置。隨著信息流向園區(qū)網(wǎng)，當(dāng)在 VPN 設(shè)備內(nèi)部實施接入控制時，可確保只有許可的 相應(yīng)地址范圍和協(xié)議得到支持，如前所述， VPN 接入的大多數(shù)策略傾向于允許遠程用戶使用本地 LAN 上幾乎所有協(xié)議。因此，要對您不希望遠程用戶社區(qū)接入的協(xié)議進行定義，與定義希望接入的協(xié)議相比，則相對簡單。 在更大型的部署中，將各類 VPN 與離散的網(wǎng)絡(luò)接入控制點分隔開來會有所幫助。這可以通過為各類 VPN 提供專用防火墻接口來完成，如同在大型 VPN 設(shè)計中所做的一樣。該設(shè)置支持不同 VPN 應(yīng)用享有不同的信任級別。例如，一家機構(gòu)可能會認為它信任站點到站點 VPN 要比信任遠程接入 VPN 多一些。這種更好的信任是源于，在站點到站點的情 況下，您知道您的遠程對等設(shè)備 IP 地址并在使用數(shù)字證書，而在遠程接入 VPN 的情況下，您通常不知道您的遠程對等設(shè)備的地址，并且依賴于與次級驗證相結(jié)合的分組預(yù)共享密鑰，以允許您的用戶接入網(wǎng)絡(luò)。當(dāng)按這種方式部署時， VPN 信息流可根據(jù)它所抵達的接入控制設(shè)備的接口進行過濾。 VPN 設(shè)備的輸出過濾（向公共網(wǎng)）也是十分重要的。這種過濾可幫助確保 VPN 設(shè)備只見到 IPSec 信息流出入共公共接口。通常，這種過濾可通過帶標(biāo)準(zhǔn) ACL 的路由器來完成，由于用標(biāo)準(zhǔn) ACL 替代了防火墻，從而可將防火墻安置在 VPN 設(shè)備后面，如前所述。該設(shè)置與 當(dāng)今的許多部署形成了鮮明的對照， 當(dāng)今的部署都將防火墻安置在VPN 設(shè)備的前面。當(dāng)安置在前面時，對用戶信息流的種類不具備可視性，因為信息流依然是加密的。防火墻在VPN 設(shè)備前所能提供的大多數(shù)優(yōu)勢此時已喪失殆盡 ， 因為 IPSec 信息流無法被大多數(shù)防火墻智能地過濾。管理員需要在防火墻上開一個洞，以允許信息流過（即用于 IKE 的 UDP500 和用于 ESP 的 IP50)。在這一點上，就像路由器上標(biāo)準(zhǔn)分組過濾器的行為一樣。建議使用 VPN 設(shè)備自身的過濾輸入，以允許只有 IKE 和 ESP 得到支持。如果 NAT透明度機制得以實施，您應(yīng)該只允許 特別的 UDP 或 TCP 端口連接到 VPN 設(shè)備 。 通常這種接入控制功能可作為 IPSec 功能，存在于相同的硬件平臺。如果您的 VPN 設(shè)備也擁有穩(wěn)定的防火墻， 9 或當(dāng)遠程用戶利用擁有 VPN 客戶機軟件和個人防火墻的膝上電腦連接時，則可做到這一點。 分離隧道 當(dāng)遠程 VPN 用戶或站點被允許接入公共網(wǎng)（互聯(lián)網(wǎng)），與此同時，他未先將公共網(wǎng)絡(luò)信息流安置在隧道內(nèi)，就接入了專用 VPN 網(wǎng)絡(luò)，此時就出現(xiàn)了分離隧道。如果分離隧道未設(shè)置，遠程 VPN 用戶或站點將需要把所有信息傳輸通過 VPN 頭端，在那里將進行加密和審查，然后再發(fā)送至公開的公共網(wǎng)。 例如，撥打本地互聯(lián)網(wǎng)接入服務(wù)供應(yīng)商（ ISP），并通過 IPSec 客戶機上公司連接的遠程接入用戶，擁有二項選擇。一是讓用戶在 VPN 連接上僅傳遞公司內(nèi)部數(shù)據(jù)。瀏覽網(wǎng)絡(luò)可直接通過他的 ISP 進行。第二個選項是讓用戶將所有信息流（包括互聯(lián)網(wǎng)信息流）首先傳遞至頭端，然后再路由至公司網(wǎng)絡(luò)或向外至互聯(lián)網(wǎng)。對兩種技術(shù)進行抉擇通常要視您對遠程站點或用戶的信任度而定。為提高這些用戶的信任度，可考慮使用額外的安全技術(shù)，如個人防火墻或病毒搜索。希望使用分離隧道的遠程站點應(yīng)擁有穩(wěn)定的防火墻，以便對允許出入遠程站點的明碼文本信息流進行控制 。同樣，遠程用戶（在連接 VPN 的同時和未連接 VPN 時）應(yīng)運行防火墻以過濾信息流，并完成病毒搜索。甚至在分離隧道不支持的情況下，個人防火墻經(jīng)常也是十分必要的，因為用戶并非總是在 VPN 上連接的。移動用戶可能會通過賓館中的高速互聯(lián)網(wǎng)接入來連接并瀏覽網(wǎng)絡(luò)，此時并未連接公司網(wǎng)絡(luò)。如果沒有個人防火墻，該系統(tǒng)無論何時未連接至 VPN，都會暴露在攻擊下。 同樣，許多硬件 VPN 設(shè)備也使用 NAT，并將其作為防火墻加以利用。以作者的觀點看來， NAT 不是一種安全特性，不應(yīng)該這樣部署。即使地址是隱含的，但未進行分組過濾或序列號檢查， 受 NAT 保護的系統(tǒng)也會暴露于外在的攻擊下。一種單純依靠 NAT 的安全環(huán)境并非是一個真正的安全環(huán)境。當(dāng)使用這些設(shè)備時，為設(shè)置在設(shè)備后面的PC 提供個人防火墻是十分重要的。即使在分離隧道不支持的情況下，如果主機在漫游中（如膝上電腦），此時個人防火墻則是必備的。在考慮到實施分離隧道的安全性風(fēng)險時，也會很容易得出下述結(jié)論，對此完全不必過濾。事實上，不實施分離隧道會給 VPN 頭端造成巨大負載，因為所有互聯(lián)網(wǎng)相關(guān)信息流都需要流經(jīng)頭端設(shè)備的 WAN帶寬。使用 WAN 資源并非理想的選擇，經(jīng)常會導(dǎo)致在遠程站點做出實施相應(yīng)安全技術(shù)的決定 ，以支持分離隧道的生成。在 SAFE VPN 中，遠程站點除了特殊情況外，都假設(shè)實施了分離隧道。如果不支持分離隧道，而設(shè)計不會改變，那么由于頭端的流量負載加大，性能和擴展就會產(chǎn)生少許變化。 部分網(wǎng)狀、全部網(wǎng)狀、分布式和星型網(wǎng)絡(luò) 在任一網(wǎng)絡(luò)拓撲結(jié)構(gòu)上鋪設(shè) VPN 時，許多因素都會影響網(wǎng)絡(luò)的可擴展性和性能。這些因素中包括與明碼信息流處理和加密，硬件加速和軟件 IPSec，配置復(fù)雜性、高可用性、相關(guān)安全性（防火墻 IDS 等）。路由選擇對等設(shè)備的數(shù)量和被跟蹤的網(wǎng)絡(luò)。全部網(wǎng)狀網(wǎng)絡(luò)會迅速地陷入可擴展性的困境之中，因為網(wǎng)絡(luò)中的每臺 設(shè)備都必須通過一個獨特的 IPSec 隧道與網(wǎng)絡(luò)中的其他設(shè)備交流。這就是 n(n1)/2 隧道模式，對于 50 節(jié)點網(wǎng)絡(luò)而言，就是1225 條隧道，配置的復(fù)雜性是巨大的，在某些情況下擴大網(wǎng)絡(luò)的規(guī)模已經(jīng)變得不現(xiàn)實。許多隧道也都存在性能問題。部分網(wǎng)狀網(wǎng)絡(luò)與全部網(wǎng)狀網(wǎng)絡(luò)相比，有較大的可擴展空間，因為內(nèi)部分支的連接只是根據(jù)需要才建立。與全部網(wǎng)狀網(wǎng)絡(luò)中的設(shè)備相同的是，在這種拓撲結(jié)構(gòu)中的限制因素是，在 CPU 合理應(yīng)用的前提下，設(shè)備可支持的隧道數(shù)量。這二種網(wǎng)絡(luò)都可運用一種動態(tài)隧道端點搜索機制，以簡化配置和提高可擴展性。但是，如同在“說明”一節(jié)中所描述的一樣，這些網(wǎng)絡(luò)不在本文的討論范疇之內(nèi)。 中心輻射型網(wǎng)絡(luò)可以更理想地擴展，因為頭端集線器站點可擴展，以滿足日越發(fā)展的分支容量需求。需連接其他遠程站點的低容量分支通過集線器站點實現(xiàn)連接。但是，所有流量都渡過集線器站點，而且這種設(shè)備要求大量的帶寬，因為它包括了所有分支到分支信息流，以及中心輻射信息流。并非所有頭端 VPN 設(shè)備都支持分支到分支內(nèi)部通信。遠程站點可能要配置分離隧道，視頭端所選擇的設(shè)備類型而定。例如，防火墻模式是在所有站點實施分離隧道，因而無需集線器防火墻處理分支到分支信息流。如果信息 流路由選擇是區(qū)域性的或存在其他要求，而此時大多數(shù)信息流并不要求通過集線器站點接入網(wǎng)絡(luò)，那么，就可以考慮利用分布層來降低頭端的帶寬要求，因而提高了網(wǎng)絡(luò)的可擴展性。 10 互操作性與混合和同種設(shè)備部署 雖然 IPSec 是一種已證實的標(biāo)準(zhǔn)，但 Request for Comments(RFC)依然為它的解釋留下了充足的空間。另外，互聯(lián)網(wǎng)草案，如 IKE 模式配置和供應(yīng)商專用特性，提高了互操作問題出現(xiàn)的可能性。例如 IPSec 判斷隧道上 /下狀態(tài)和遠程對等設(shè)備的可接入性并無一定的標(biāo)準(zhǔn)。因為這些緣故，您應(yīng)該對供應(yīng)商產(chǎn)品的互操作信息及 其在互操作性評比中的表現(xiàn)情況進行綜合評價。通常，發(fā)生微許配置和代碼（有時）改變，對于在可靠的狀態(tài)下推動互操作性是必要的。意識到這些變化會影響到