【正文】 每項設(shè)計都擁有多個模塊，以解決 VPN 技術(shù)各個方面的問題。各個設(shè)計或模塊（適用時）所涉及的主題內(nèi)容列舉如下： ? 總體設(shè)計最佳慣例 ? 高可用性 ? 可擴展性 ? 性能 ? 識別 ? 安全管理 ? 網(wǎng)址轉(zhuǎn)換（ NAT） ? 安全性 ? 路由選擇 ? 外部網(wǎng)情況考慮 設(shè)計討論完畢后，在附錄 A 中就 SAFE 的驗證實驗進行了介紹，這其中包括配置概覽。附錄 C 收錄了本文中所使用的大量技術(shù)詞匯的定義。例如，網(wǎng)絡(luò)主管可閱讀各部分的前言介紹內(nèi)容，以獲得 VPN 設(shè)計策略和構(gòu)思的全面綜合信息。由于本文涵蓋了多種 VPN 部署情況，首先閱讀本文的簡介部分，然后，再瀏覽您欲部署的 VPN 類型，將對您有極大的助益。思科公司建議您不要在缺乏有關(guān)安全策略的情況下部署 VPN 或任何安全技術(shù)。雖然網(wǎng)絡(luò)安全問題在文中有所涉及，但不是本文所要討論的主要內(nèi)容，因而未加詳述。有興趣了解有關(guān)網(wǎng)絡(luò)安全詳盡內(nèi)容的讀者，應瀏覽 SAFE 安全文件，以獲得詳盡的設(shè)計指導，網(wǎng)址： ： //。要實現(xiàn)絕對的安全，只能將系統(tǒng)與網(wǎng)絡(luò)隔離，再把它封閉起來，放在 Fort Knox 的地下室中。然而，您可以參考本文和 SAFE 安全文件中的指導，建立一個健全的安全策略，時刻關(guān)注黑客和安全社區(qū)的最新發(fā)展動態(tài)，運用有效的管理措施維護和監(jiān)控所有系統(tǒng)，從而達到理想的安全性能。尤其是，與 VPN 有關(guān)的若干技術(shù)并未提及。只介紹了識別策略，包括 X509 V3 數(shù)字證書，以及其他識別技術(shù)。 CA 及其相關(guān)部署技術(shù)如在本文中詳細論述，則本文可能無法充分地描述識別和 VPN 的其他相 關(guān)領(lǐng)域。其次，本文中的 VPN 設(shè)計假設(shè)客戶現(xiàn)場存在 VPN 設(shè)備并由客戶進行控制。因而，本文可用于對電信服務(wù)供應商的 VPN 服務(wù)進行評價，但不可用作外包 VPN 的最佳慣例。就如何在 VPN 中提供獨具特色的服務(wù)級別，以及確?？煽康年P(guān)鍵任務(wù) 數(shù)據(jù)吞吐量而言， Qos 是一個關(guān)鍵組成部分，本文就許多其他重要的設(shè)計情況進行了介紹。 第四，本文假設(shè)當 VPN 被選為兩站點間的連接網(wǎng)絡(luò)時，它是這些站點進行交流的唯一方式。有關(guān)如何利用 IPSec 備份專用 WAN 鏈路，以及在按需撥號路由選擇 (DDR)環(huán)境中 IPSec 的使用未做說明。第五，SAFE 使用了思科公司及其合作伙伴的產(chǎn)品，但是，本文并未專門指 定產(chǎn)品名稱，部件是根據(jù)功能，而非型號或名稱進行介紹的。實驗和結(jié)果，以及實驗的配置快照都包含在附錄 A“驗證實驗”中。在部分或全部網(wǎng)狀網(wǎng)絡(luò)中，動態(tài)對等搜索機制發(fā)揮了最佳性能，在這種網(wǎng)絡(luò)中，偶爾會要求分支到分支連接。 4 本文中 “黑客”一詞是指惡意試圖獲得未授權(quán)網(wǎng)絡(luò)資源接入的個人。 體系結(jié)構(gòu)概述 設(shè)計基礎(chǔ) SAFE VPN 盡可能貼切地模擬了當今網(wǎng)絡(luò)的功能需求。但是，按優(yōu)先順序排列的下列設(shè)計目標，將引導決策的確立過程。它必須以安全的方式執(zhí)行上述功能，并與此同時，盡可能多地保留傳統(tǒng)的專用 WAN 連接特性。 SAFE VPN 準則 下列準則代表了影響著 SAFE VPN 內(nèi)幾乎每一種設(shè)計的出色設(shè)計構(gòu)思，它們收入在文章中的起始部分，因而避免了在文章后部的多次重復提及。但是，與從前的 SAFE 安全資料相比，它更加依賴資料中有關(guān)準則的部分。因 此，有關(guān)的設(shè)計討論也較為近似。在閱讀了 VPN 準則之后，作者意在使您得出與他相同的結(jié)論。在遠程接入VPN 中，出現(xiàn)了用戶驗證和設(shè)備驗證。 設(shè)備驗證采用了預共享密鑰或數(shù)字證書 ，以提供設(shè)備身份， 預共享密鑰有三種 ：通配符、分組和獨 立。 通配符預共享密鑰與確定某一對等身份的獨立信息無關(guān)。因此，通配符共享密鑰不可應用于站點到站點設(shè)備驗證。當使用通配符預共享密鑰時，網(wǎng)絡(luò)中的每臺設(shè)備都使用同一密鑰。被破壞的預共享密鑰易于遭到中間人攻擊。動態(tài)加密映射可 通過接受任意 IP 地址的互聯(lián)網(wǎng)密鑰交換 (IKE)，促進這種攻擊。但是，很明顯，這種設(shè)備在大型網(wǎng)絡(luò)中無法擴展。 5 數(shù)字證書 與獨立預共享密鑰相比，可更理想地擴展，因為它允許一臺設(shè)備驗證其他設(shè)備，但不具備通配符密鑰的安全特性。如果黑客入侵或竊取了一臺帶數(shù)字證書的設(shè)備，管理員可廢除該數(shù)字證書。 CRL 包含經(jīng) CA 認可的廢除證書名單。在隧道驗證和建立過程中，生成數(shù)字證書或廢除已接收證書的設(shè)備，必須了解確切的時間 (最好為協(xié)調(diào)通用時間 [UTC])。雖然，可選擇是否對核查 CRL 進行配置，當數(shù)字證書部署時，遠程和頭端設(shè)備必須始終配備這項功能。 數(shù)字證書也提 供了更多的密鑰加密 (更多種子位 )、公共 /專用密鑰對老化和非拒絕模式。采用第三方管理 CA 以及企業(yè)管理 CA 可能會對推進外部網(wǎng) VPN 的部署有幫助。目前，管理員向遠程接入客戶機部署數(shù)字證書的負擔已變得日趨沉重。如前所述，這種驗證類型無法提供嚴格的設(shè)備驗證。利用一種嚴格的用戶驗證方案，如一次性口令 (OTP)，缺乏嚴格的設(shè)備驗證的問題就顯得不那么突出。 在設(shè)備和用戶驗證完成后， IPSec 接入控制就相繼出現(xiàn)。該數(shù)據(jù)庫可利用訪問控制目錄 (ACL)進行調(diào)用。您可以考慮將加密 ACL 用于 基礎(chǔ)網(wǎng)絡(luò)安全接入控制，但思科公司建議您不要采取這種方式，因為它會使配置顯著復雜化。就遠程接入流量過濾而言，當用戶經(jīng)由擴展驗證 (XAUTH)成功完成驗證時，通過加載用戶計劃授權(quán)信息，接入控制會動態(tài)生成。 IPSec 標準要求使用數(shù)據(jù)完整性或數(shù)據(jù)加密二種功能之一，具體使用哪個可任選 。由于在 1999 年的上次比賽中，價值 50000 美元、采用單一數(shù)據(jù)加密標準（ DES）的設(shè)備受到黑客攻擊，歷時達 22 小時 15 分鐘，因此，思科公司建議您不要將它用于數(shù)據(jù)加密。數(shù)據(jù)完整性分兩類： 128 位強度 Messaqe Digests(MD5)HMAC 或 160 位強度安全散列算法 (SHA)HMAC。思科公司建議使用 SHA，因為安全性的提高在重要性上超過了處理器開支的少許增長 (實際上 ，在某些硬件實施中，有時 SHA 要快于 MD5)。當隧道數(shù)據(jù)的敏感度，迫使需更積極地對每個設(shè)備進行加密密鑰替代和重新驗證時，您可以考慮改變使用周期的缺省值。這些嚴格的加密算法不能向某些國家或客戶出口。 改變這些數(shù)值會提高安全水平；但與此同時， 也提高了處理器開支。通過在每次全新快速模式 (QM)SA需要生成新密鑰時完成 DiffieHellman(DH)乘冪， Perfect Forward Secrecy(PFS)會在新資料的基礎(chǔ)上，生成一個新密鑰 。思科公司建議您不要改變使用周期和實施 PFS，除非數(shù)據(jù)敏感度對其提出強制性要求。 DiffieHellman 乘冪的強度可配置； 6 組 1(768 位 )、 2(1024 位 )和 5(1536 位 )都可獲支持。 在整個 SAFE VPN 體系結(jié)構(gòu)中，至少需采用下列模式： IKE 3DES、 SHAHMAC、 DH 組 預共享密鑰、 IPSec 3DES、 SHAHMAC、無 PFS 和隧道模式 。為保持可擴展性、性能和可管理性，強烈建議遠程站點使用主網(wǎng)的子網(wǎng)，以便進行歸納。例如，遠程站點網(wǎng)絡(luò) 。如果無法將遠程網(wǎng)絡(luò)歸納入一個主網(wǎng)，那么每個地方網(wǎng)絡(luò)到遠程網(wǎng)絡(luò)都需要在遠程站點輸入一次。每次 ACL 輸入都將構(gòu)建一個單獨的隧道 (兩個 IPSec SA)。 IP 編址還可影響 VPN 的多個方面，包括重疊網(wǎng)絡(luò)的遠程管理連接。對于多協(xié)議或 IP 多點廣播隧道，必須使用另一種隧道協(xié)議。通用路由選擇封裝 (GRE)最適合站點到站點 VPN。這些隧道協(xié)議都不支持數(shù)據(jù)加密或分組完整性。 L2TP 還可簡化遠程接入客戶機 地址分配。 GRE 還允許一組 IPSec SA 將流量從一個站點傳輸至另一個站點。 GRE 可封裝所有流量，而無需顧及其來源和目的地。 網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 可發(fā)生于 IPSec 之前或之后。除非提供 接入是必須的，否則將 NAT 應用于 VPN 流量將不失為上策。只有 IPSec 對等的公共 IP 地址可見，這些地址的隱藏并未提供真正的額外安全性。實際上，在賓館、電纜 /數(shù)字用戶線 (DSL)住宅部署和企業(yè)網(wǎng)絡(luò)中，這種情況經(jīng)常出現(xiàn)。 當 IPSec 把驗證報頭 (AH)模式應用于分組完整性時，如果出現(xiàn)一到一地址轉(zhuǎn)換，則將使特征檢驗失效。在這種情況下，分組會表現(xiàn)為在發(fā)送過程中被修改，當遠程對等方收到時，將會迅速被丟棄。這種情況是可能的，因為 ESP 不會使用 IP 報頭內(nèi)容，使分組的完整性得以確認。一些設(shè)備不支持源于 UDP500 以外的 IKE 請求，執(zhí)行多到一 NAT 的一些設(shè)備無法正確處理 ESP 或 AH。 7 由于多到一地址轉(zhuǎn)換，在許多部署遠程接入客戶機的環(huán)境中，是一種通常現(xiàn)象，有一種稱之為 NAT 透明度的特殊機制，可克服這些 NAT 問題。這種機制還允許客戶機繞過網(wǎng)絡(luò)的 接入控制，這種網(wǎng)絡(luò)支持 TCP 或UDP，但卻會阻礙加密信息流動。 NAT 透明度將獲取被 IPSec保護的分組，然后在 TCP 或 UDP 中再次封裝。在 IPSec 之前使用 NAT，由于將一組重疊網(wǎng)絡(luò)轉(zhuǎn)換入一個獨特的網(wǎng)址范圍，不會與 IPSec 隧道建立沖突，因而可克服這些缺陷。但是，要知道一些協(xié)議在分組數(shù)據(jù)分段中植 入了IP 地址。如果由于植入了 IP 地址，分組在進入隧道前無法正確轉(zhuǎn)換地址，那么，當分組離開隧道時，遠程應用就無法接收到植入在數(shù)據(jù)分段中的正確 IP 地址。當今的許多遠程接入 VPN 客戶機支持使用頭端端接 VPN 設(shè)備所分配的虛擬地址。這實際上是由穿越隧道的所有分組的一到一地址轉(zhuǎn)換來完成的。 總之，在您的站點和遠程接入 VPN 客戶機虛擬地址池，它與您通過 IPSec 連接的其他設(shè)備地址不重復，此時可使用地址范圍。不要隱藏 VPN 設(shè)備的公共對等地址，因為這樣并未提供真正的安全增值，而且可能會造成連接出現(xiàn)問題。要知道 NAT 透明度模式并不會解決與對 NAT 不友好的客戶機應用相關(guān) 的連接問題。集成功能通常是很吸引人的，因為您可以在現(xiàn)行設(shè)備上實施，且該設(shè)備經(jīng)濟有效，其特性可與其他設(shè)備互操作，從而提供功能更理想的解決方案。當決定了采取何種選項，可根據(jù)設(shè)備的容量和功能對決策進行權(quán)衡，并與集成設(shè)備的功能優(yōu)勢相對照。在整個體系結(jié)構(gòu)中，兩類系統(tǒng)都有所使用。注意，對 VPN 設(shè)備這一概念的了解不是件容易的事情。如果所有這些高級功能都得以實現(xiàn)，從性能和部署選項的角度來看，這種設(shè)備也開始越來越像集成型設(shè)備。 入侵檢測、網(wǎng)絡(luò)接入控制、信任和 VPN 在考慮 VPN 技術(shù)的部署時，請記住，通過這樣做，您正在擴展網(wǎng)絡(luò)的安全范圍，從而將一些通常并不重視高安全性的領(lǐng)域容納了進來，它們包括： ? 員工家庭 ? 機場 ? 賓館 8 ? 網(wǎng)吧 作為一家機構(gòu)，需要首先回答的問題是 VPN 技術(shù)自身和使用它的周圍應用和硬件的信任程度如何。但是，這只是思科公司的情況，對其大部分 VPN 鏈接的客戶的信任則應相對謹慎。雖然配備 3DES 的 IPSec 十分安全，存儲密鑰的人為不安全性和設(shè)備的配置錯誤，為保證其他安全性能造成了極大的不確定性；更不要提膝上型電腦失竊和特洛伊木馬了。如果您遭遇到前面的情況，您會發(fā)現(xiàn)這里的許多信息都是極有價值的 ，雖然您可能會覺得這些設(shè)計太注重于安全了。有 VPN 設(shè)計中， NIDS 完成了兩項基本功能。在這里， NIDS 將檢測從遠程站點或遠程用戶穿過 VPN 的攻擊。這種反應包括規(guī)避或 TCP 重設(shè)。這種設(shè)置提高了對 NIDS 捕獲和停止大多數(shù)源于遠程站點的攻擊的依賴性。通過將 NIDS調(diào)至任一非 VPN 分組報警，您可確認只有加密分組流過網(wǎng)絡(luò)。該功能在大型網(wǎng)絡(luò) VPN 設(shè)計中進行了更詳細的論述。隨著信息流向園區(qū)網(wǎng)，當在 VPN 設(shè)備內(nèi)部實施接入控制時，可確保只有許可的 相應地址范圍和協(xié)議得到支持，如前所述， VPN 接入的大多數(shù)策略傾向于允許遠程用戶使用本地 LAN 上幾乎所有協(xié)議。 在更大型的部署中，將各類 VPN 與離散的網(wǎng)絡(luò)接入控制點分隔開來會有所幫助。該設(shè)置支持不同 VPN 應用享有不同的信任級別。這種更好的信任是源于，在站點到站點的情 況下，您知道您的遠程對等設(shè)備 IP 地址并在使用數(shù)字證書，而在遠程接入 VPN 的情況下，您通常不知道您的遠程對等設(shè)備的地址，并且依賴于與次級驗證相結(jié)合的分組預共享密鑰，以允許您的用戶接入網(wǎng)絡(luò)。 VPN 設(shè)備的輸出過濾（向公共網(wǎng)）也是十分重要的。通常，這種過濾可通過帶標準 ACL 的路由器來完成，由于用標準 ACL 替代了防火墻，從而可將防火墻安置在 VPN 設(shè)備后面，如前所述。當安置在前面時，對用戶信息流的種類不具備可視性，因為信息流依然是加密的。管理員需要在防火墻上開一個洞，以允許信息流過（即用于 IKE 的 UDP500 和用于 ESP 的 IP50)。建議使用 VPN 設(shè)備自身的過濾輸入，以允許只有 IKE 和 ESP 得到支持。 通常這種接入控制功能可作為 IPSec 功能，存在于相同的硬件平臺。 分離隧道 當遠程 VPN 用戶或站點被允許接入公共網(wǎng)（互聯(lián)網(wǎng)），與此同時，他未先將公共網(wǎng)絡(luò)信息流安置在隧道內(nèi)，就接入了專用 VPN 網(wǎng)絡(luò)，此時就出現(xiàn)了分離隧道。 例如，撥打本地互聯(lián)網(wǎng)接入服務(wù)供應商（ ISP），并通過 IPSec 客戶機上公司連接的遠程接入用戶，擁有二項選擇。瀏覽網(wǎng)絡(luò)可直接通過他的 ISP 進行。對兩種技術(shù)進行抉擇通常要視您對遠程站點或用戶的信任度而定。希望使用分離隧道的遠程站點應擁有穩(wěn)定的防火墻，以便對允許出入遠程站點的明碼文本信息流