【導讀】IPSec虛擬專用網系統(tǒng)介紹

　　

【正文】 道的建立請求。它將使用新隧道傳輸數(shù)據，舊隧道將被關閉。在遠程對等設備備份前，繼續(xù)利用舊隧道傳輸數(shù)據是一個問題，當設備脫機維護時，這也是一個每天都要遇到的系統(tǒng)管理工作。思科公司建議您當頭端 VPN 設備脫機維護時，應清除遠程設備上的 IKE SA，以促進 IKE 的重新建立。不要改變 IKE SA 使用周期。 雖然，該解決方案會更快地使隧道到期，在這些情況下會使管理工作更加簡化，但是處理器使用數(shù)量的提高并不能證實其真正的效果。思科公司建議您不要將 IKE 保持激活信息與用于彈性的路由選擇協(xié)議組合運行，以為保持當前的狀態(tài)提供支持。同時運行兩種機制會顯著地降低可擴展性，就 CPU 的總計開支而言。 思科公司的一種新型 IKE 保持激活信息，稱之為空端對等檢測（ DPD），可以較低的 CPU 價格提供與 IKE 保持激活信息相同的功能。它的機理是通過僅向從未發(fā)送或接收過出入數(shù)據的設備發(fā)送 IKE 對等可接入性探針，來發(fā)揮效能。 IKE 保持激活信 息可向所有 IKE 對等發(fā)送更新信息，這也解釋了為什么它是一種類似于發(fā)送問候信息的路由選擇協(xié)議的 CPU 集中過程的原因。在路由選擇協(xié)議彈性環(huán)境中，路由器 VPN 設備可經常在隧道上發(fā)送信息流。 DPD 并不像路由選擇問候信息發(fā)送那樣發(fā)送請求和使用 CPU 那么長時間。最后，即使您的網絡中不要求高可用性，也可考慮使用 IKE 保持激活信息，或使用 DPD 來保持隧道當前的狀態(tài)。這種設置會減輕管理負擔。 分支機構和頭端分析 下面即將討論的中小型設計可用于兩種可能的配置中。在第一種配置中，設計是作為一家較大型機構的一個分支機構，構建于配 置中，在 SAFE 企業(yè)中進行了介紹。在第二種配置中，設計是一家機構網絡的頭端。這種頭端可能擁有到相同機構其他辦公室的 VPN 連接。例如，一個大型的法律事務處可能會將中型網絡設計用作其頭端，而將若干小型網絡設計用于其他部門。全天候遠程辦公者可能通過在遠程網絡設計中討論過的一些選項進入頭端。 還有一個例子就是大型的汽車制造公司，它可能會將 SAFE 企業(yè)設計作為其總部，而在本文中所討論的許多設計則作為它的遠程機構和遠程辦公者。在適合的情況下，對設計需要做出的修改在各節(jié)中進行了討論。 遠程用戶設計 本節(jié)將討論為遠程用 戶提供 VPN 到 SAFE 設計內頭端站點連接的四種選項。遠程連接適用于移動和家庭辦公者。這些設計主要是提供從遠程站點到公司總部的連接，通過一些方式，包括互聯(lián)網。四個選項列舉如下： ? 軟件接入選項－擁有軟件 VPN 客戶機和 PC 個人防火墻軟件的遠程用戶 ? 遠程站點防火墻選項－受指定防火墻保護的遠程站點，可向公司總部提供防火墻保護和 IPSec VPN 連接；WAN 連接通過 ISP 提供的寬帶接入設備提供（即 DSL 或電纜調制解調器） ? 硬件 VPN 客戶機選項－使用指定硬件 VPN 客戶機的遠程站點，可向公司總部提供 IPSec VPN 連接 ； WAN連接通過 ISP 提供的寬帶接入設備提供。 ? 遠程站點路由器選項－使用路由器的遠程站點，可向公司總部提供防火墻保護和 IPSec VPN 連接。該路由器可以提供直接寬帶接入，或穿越 ISP 提供的寬帶接入設備。 在下面的設計指南一節(jié)中將對這些設計的具體內容逐一詳細討論。 15 圖 ISP 邊緣模塊 寬帶接入設備 寬帶接入設備 寬帶接入設備（可選） 帶 VPN 的家庭辦公防火墻 硬件 VPN 客戶機 帶防火墻和 VPN 的路由器 帶個人防火墻的 VPN 軟件客戶機 軟件接入選項 遠程站點防火墻選項 硬件 VPN 客戶機選項遠程站點路由器選項 關鍵 VPN 設備 ? 寬帶接入設備 －提供寬帶網（ DSL、有線等）的接入功能 ? VPN 防火墻 －在遠程站點和公司頭端間提供端到端加密隧道；提供遠程站點資源的網絡級保護以及信息流的過濾功能 ? 個人防火墻軟件 －為個人 PC 提供設備級保護 ? VPN 防火墻路由器選項 －在遠程站點和公司頭端間提供安全的端到端加密隧道；提供遠程站點資源的網絡級保護以及信息流的過濾功能 ? 遠程接入 VPN 客戶機 －在個人 PC 和公司頭端間提供安全的端到端加密隧道 的軟件解決方案 ? VPN 硬件客戶機 －在遠程站點和公司頭端間提供安全的端到端加密隧道 16 圖 5. 遠程用戶模塊－ VPN 的詳細模型 驗證遠程站點 端接 IPSe 個人防火墻和病毒掃描 適用于本地攻擊緩解 驗證遠程站點 端接 IPSec 寬帶接入設備 寬帶接入設備 寬帶接入設備 帶 VPN 的家庭辦公防火墻 硬件 VPN 客戶機 帶防火墻和 VPN 的路由器 驗證遠程站點 端接 IPSec 防火墻 帶個人防火墻的 VPN 軟件客戶機 軟件接入選項 遠程站點防火墻選項 硬件 VPN 客戶機選項 遠程站點路由器選項 驗證遠 程站點 用于本地攻擊緩解的病毒掃描 用于本地攻擊緩解的個人防火墻和病毒掃描 用于本地攻擊緩解的病毒掃描 端接 IBSec 防火墻 設計指南 在下文中將對遠程用戶連接選項的具體內容進行詳細介紹。假設所有設備都擁有單一的本地網絡。在這些設計中，所有 VPN 設備都進行配置，缺省路由設置成 ISP 下一跳轉設備。假設客戶端設備（ CPE）未執(zhí)行 NAT 功能。這些設計中的性能通常受到來自媒體類型或上載帶寬電信服務供應商的限制。 軟件接入選項 軟件接入選項是針對移動和家庭辦公用戶的。對遠程用戶的所有要求是一臺帶 VPN 客戶機軟件的 PC 機，以及 17 互聯(lián)網連接，或通過撥入或以太網連接的 ISP 網絡。 VPN 客戶機軟件的主要功能是建立一個從客戶機設備到 VPN頭端設備的安全加密隧道。當防火墻和客戶機自身的過濾開始發(fā)生作用時如果接入權通過策略下達，此時網絡的接入和授權都是由總部所在地來控制的。遠程用戶首先驗證，然后接收 IP 參數(shù)，如虛擬 IP 地址，它被用于所有 VPN 信息流和名稱服務器的場所（ DNS 和 WINS）。分離隧道也可通過中央站點啟用或停用。就 SAFE 設計而言，分離隧道是禁用的。對于擁有已建立隧道的所有遠程用戶，通過公司連接接入互聯(lián)網 而言，它是不可或缺的。當連接至互聯(lián)網或 ISP 網絡時，由于遠程用戶不總是希望建立隧道，因而建議使用個人防火墻軟件來減少PC 的未授權接入。同時建議用病毒掃描軟件來緩解影響 PC 的病毒和特洛伊馬程序。 IKE 保持激活信息被用于確定頭端可用性機制。頭端設備驗證可通過分組預共享密鑰來完成， OTP 被用于通過XAR TH 的用戶驗證。這一選項中的安全管理包括在隧道上發(fā)布策略，以及新 VPN 客戶機更新通知。如果多到一 NAT 出現(xiàn)于客戶機和頭端之間， NAT 透明度模式應予以實施。該選項的唯一替代內容是在下列選項之一中做出選擇。與之相 比，后者允許通過分離隧道的互聯(lián)網接入，并可通過集成型防火墻 /VPN 設備提供更強大的安全特性管理功能。 遠程站點防火墻選項 遠程站點 VPN 防火墻選項是針對家庭辦公用戶或極小型分支辦事處的。憑借該選項，遠程站點將有望從電信服務供應商那里獲得某些形式的寬帶接入。 VPN 防火墻是安裝在 DSL 或有線調制解調器背面的。 VPN 防火墻建立了一個到 VPN 頭端設備的隧道，可通過 NAT 提供互聯(lián)網接入，以及審查和過濾功能。遠程站點網絡的個人 PC，除非是在途中，需要通過互聯(lián)網接入公司內部網，否則，無需利用 VPN 客戶機軟件訪問公司資源 。在這種遠程站點配置中，鑒于企業(yè)級防火墻特性的實施，分離隧道被禁用。建議使用病毒掃描軟件來緩解分離隧道遭遇的風險。 正確的地址歸納應予以實施，以減輕管理工作的壓力，并在需要時為遠程站點內的相互交流提供支持。公司網絡和互聯(lián)網的接入和授權是受遠程站點防火墻和 VPN 頭端設備控制的。遠程站點防火墻的配置和安全管理可以通過從防火墻的公共邊緣到后面的公司總部的 IPSec 隧道來完成。這種設置可確保遠程站點用戶無需對家庭辦公防火墻的配置執(zhí)行任何配置調整。該遠程站點可接入公司網絡的個別用戶，無需經過該選項中的用戶驗證。我假 設環(huán)境是受控制的。如果環(huán)境不受控制，可考慮在頭端防火墻設立用戶驗證。 VPN 會使用設備預共享密鑰驗證。鑒于是大型部署，建議使用數(shù)字證書。 DPD 類型的 IKE 保持激活信息將被用于高可用性機制，以確保頭端的可用性。 VPN 上未采用 NAT 轉換本地網絡，因為假設網絡不會與其他網絡重疊。 硬件 VPN 客戶機選項 硬件 VPN 客戶機選項等同于遠程站點防火墻選項，除了硬件 VPN 客戶機不擁有住宅防火墻。這種選項要求在個人主機上使用個人防火墻，尤其當實施分離隧道時。沒有個人防火墻， VPN 設備后面的個人主機安全性則將依賴于攻擊者無法跨 越 NAT。這種依賴性是基于下述原因，當分離隧道實施時，到互聯(lián)網的連接將通過一個簡單的多到一地址轉換，而不經過第四層和更高層的任何過濾。如果分離隧道禁用，所有互聯(lián)網接入都必須通過公司總部。這種設置會部分緩和對終端系統(tǒng)防火墻的要求。 硬件 VPN 客戶機提供了兩種主要優(yōu)勢。首先，就 VPN 軟件客戶機而言，公司網絡和互聯(lián)網的接入和授權是受總部中央控制的。 VPN 硬件客戶機設備自身的配置和安全性管理都是通過中央站點的安全插件層（ SSL）連接來完成的。這種設置可確保遠程站點用戶無需對硬件 VPN 客戶機進行任何配置調整。硬件 VPN 客戶機選項的第二個優(yōu)勢是，遠程站點網絡上的個人 PC，無論安裝的 OS 為何種類型，無需借助 VPN 客戶機軟件接入公司資源。但是，在遠程站點接入公司網絡的個人用戶憑借該選項則無需進行驗證。硬件客戶機可按兩種模式運行。在第一種模式中，硬件客戶機后面的所有用戶，通過使用多到一 NAT，在公司內部網上將顯現(xiàn)為一個用戶。在第二種模式中，接入未帶 NAF 的公司內部網的所有設備，以及內容網的主機，一旦隧道建立后，都可初始化到硬件 18 客戶機背后主機的連接。在 SAFE VPN 中部署了后一種模式。第一種模式管理簡便，因而更具有可擴展性， 但第二種模式更具備多樣化的特性。二種模式所提供的安全級別是相同的。 利用靜態(tài)配置的分組預共享密鑰， VPN 硬件客戶機將通過 VPN 頭端集中器的設備驗證。我們假設環(huán)境是受控制的。如果環(huán)境不受控制，可考慮在頭端防火墻實施用戶驗證。鑒于是大型部署，建議使用數(shù)字證書。 DPD 類型的 IKE 保持激活信息將被用于高可用性機制，以確保頭端的可用性。 遠程站點路由器選項 遠程站點路由器選項幾乎等同于遠程站點防火墻選項，只是有少許例外。第一，由于該路由器是一種特性全面的路由器，因此，可支持一些高級應用如 Cos。 Cos 可用于使公司 內部網接入優(yōu)先于互聯(lián)網網絡沖浪。第二，有一種選項可將 VPN 防火墻和寬帶接入設備的功能集成入單一設備。它要求您的 ISP 允許您對寬帶路由器本身進行管理，這種情況并非普遍現(xiàn)象。 IKE 保持激活信息或路由協(xié)議將被用于高可用性機制，以確保頭端可用性。 小型 VPN 設計 小型 VPN 設計采用了與 SAFE 安全技術小型網絡設計相同的拓撲結構。這種設計可支持站點到遠程接入 VPN，在配置一節(jié)中對此進行了一些解釋。對這項設計的討論大多數(shù)都是基于這樣一個前提，即這種設計作為公司的頭端運營。當用作分支機構時，設計應做的調整也包括在內。這 種小型網絡 VPN 設計包含在小型網絡公司互聯(lián)網模塊中。整個小型 VPN 設計在下圖中進行了介紹。 圖 邊緣 小型網絡 /分支機構邊緣 小型網絡 /分支機構園區(qū)網 公司互聯(lián)網模塊 園區(qū)網模塊 公共服務 管理服務器 公司用戶 公司服務器 公司互聯(lián)網模塊 公司互聯(lián)網 模塊為內部用戶提供了互聯(lián)網服務接入功能和互聯(lián)網用戶訪問公共服務器中的信息的功能。它還為遠程場所和遠程辦公者提供了 VPN 接入功能。 19 圖 到 ISP 公共服務 到園區(qū)網 一個或多個設備 關鍵 VPN 設備 ? 防火墻或防火墻路由器－提供資源的網絡組保護和 信息流狀態(tài)過濾功能 ? RADIU