作者:[美]RichardDeal著
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
CiscoVPN完全配置指南试读:
版权信息书名:CiscoVPN完全配置指南作者:[美]RichardDeal著排版:吱吱出版社:人民邮电出版社出版时间:2012-10-01ISBN:9787115293756本书由人民邮电出版社授权北京当当科文电子商务有限公司制作与发行。— · 版权所有 侵权必究 · —第一部分|Part 01VPN第1章VPN概述这一章介绍了虚拟专用网(VPN)的概念和为什么使用它们。我考察了业务量通过公网发送时产生的问题,以及VPN如何做才可以保护这些流量。我介绍了VPN的连接方法、VPN的类型、当使用VPN时要考虑的事情、VPN的组件、VPN的设计和问题、VPN实施的例子和选择一个VPN实施类型时要考虑的问题。本书其他章节扩展了这里谈到的这些主题。1.1 流量问题
VPN最初开发的主要目的是处理将明文数据通过网络进行传输时的安全问题。明文数据指的是可以被任何人检查和理解的信息,这包括源、目标和中间人。发送明文流量应用的例子包括Telnet,通过FTP或者TFTP的文件传输协议,使用邮局协议(POP)或者简单邮件传输协议(SMTP),以及其他协议的电子邮件。不道德的个人,例如黑客,可以利用发送明文数据的应用程序来执行下面类型的攻击:
窃听;
伪装;
中间人。
每种类型的攻击都可以暴露您的数据和公司的资产,使其处于不同的危险程度。下面的3小节更深入的讨论了这些攻击。1.1.1 窃听攻击
针对明文数据的最常见的攻击类型是窃听(eavesdropping)。在窃听攻击中,当数据包通过两台设备传输时,数据包的内容可以被人检查。某些类型的应用程序和协议易于受到窃听攻击,包括Telnet、POP、HTTP、TFTP、FTP、简单网络管理协议(SNMP)等。
在所有上述应用和协议中,用户名和密码之类的认证信息,都是在两台设备间以明文格式传送的,黑客可以使用这种信息来执行访问和实施其他类型的攻击。
注意:即使某些协议可能以明文的形式发送信息,在许多情况下,它们至少有最低限度的验证方法来使得在某人访问资源之前验证个人的身份。例如,Telnet、POP和SMTP这些应用也考虑了认证问题,即使这些验证信息是以明文的形式发送的。实际上,这些协议初始不是为安全设计的,而是为了解决某些连接性问题。然而,自这些应用程序从20世纪70年代、80年代和90年代初期发展以来,特别是Internet的使用激增,使得事情发生了改变。
一、窃听工具
通常情况下,一台协议分析仪可以用来检查(窃听)数据包。分析仪可以是基于硬件的解决方案或者是一台具有混杂网络接口卡(NIC)和相应软件的PC机。为了让这种类型的攻击奏效,攻击者必须对实际的源和目标设备之间的连接具有访问的能力。
主要有两种类别的协议分析仪:通用的和攻击型的。一台通用的协议分析仪能捕捉所有它看得见的数据包,并且通常是使用一种诊断工具来进行故障诊断与排除。市面上有许多基于软件的协议分析仪,采用免费软件就可以完成这一操作。
另一方面,攻击型协议分析仪是一台增强型的通用协议分析仪。攻击型的协议分析仪查看应用程序和协议的某些类型来寻找认证、金融和安全信息。一个攻击者将使用这些特定信息来执行其他类型的攻击。
二、窃听解决方案
敏感的信息包括信用卡信息、个人信息、社会保险号码、电话号码和地址、用户名和口令以及专利信息。因为许多协议和应用程序在传输敏感信息的时候是不安全的(他们将信息以明文的形式发送),所以保护信息非常必要。一种解决方案是利用令牌卡使用一次性口令(OTP)。这可以防止某些人使用协议分析仪来捕捉口令信息而执行访问攻击。然而,这种解决方案只对口令攻击有效;其他类型的在明文连接上传输的信息都不被保护。
对于公司来说,在电子商务环境下保护信用卡信息的最通常的解决方案是使用具有SSL加密的HTTP(HTTPS)来加密特定用户的信息。对于合作伙伴的访问,通常采取的一种方式就是实施加密的VPN。加密可以将明文的信息变成随机的字符串;只有目标设备可以解密这些信息。加密可以以下面的两种方法来实施:
链路加密——整个数据帧(例如PPP或者HDLC帧)在两台设备之间加密;这用在直接连接的设备之间的点对点的连接上;
数据包的负荷加密——只有数据包的负荷被加密,这种类型的加密可以在第3层的网络上路由,例如Internet。
加密通常用于穿过公网的外部连接。然而,对于某些类型的敏感数据,您可能想在它穿过您的内联网时加密数据。在这两种解决方案中,您将会看到,数据包的负荷加密是VPN解决方案中的一种最常使用的方法。其原因是在许多情况下,数据必须传过多跳,因此数据包的负荷加密是最具有扩展性的:只需两台设备处理加密/解密的过程,而中间设备只是发送加密的数据。1.1.2 伪装攻击
一个伪装攻击就是一个个体隐藏其身份,甚至会假冒别人的身份。在网络环境下,这是通过改变数据包中的源地址信息来实现的。在TCP/IP协议族中,这通常被称为欺骗(spoofing)。使用欺骗的攻击者通常会把这种攻击和拒绝服务(DoS)攻击或者非授权访问攻击组合在一起。
一、伪装工具
不像窃听攻击,许多类型的工具可以用来实现伪装攻击。为了修改数据包中的源IP地址,需要一个特殊的数据包产生程序。这就让黑客能够指定数据包所用的源地址,而不是使用与黑客的PC NIC相关联的IP地址。
一个攻击者通常会试图使用一个授权的外部源地址来屏蔽数据包过滤器。当然,任何返回的流量都会返回到实际授权的外部地址,而不是返回到攻击者。为了看到返回的流量,攻击者将会把这种攻击和路由选择攻击结合起来,这就使得返回流量可以重定向到攻击者。为了实施一个简单的DoS攻击,攻击者试图使用一个内部的源地址,而数据包过滤器通常会允许它通过一种防火墙系统。
注意:在第2层的网络中,黑客可能使用ARP欺骗来将两台设备之间的流量重定向到黑客的设备。
二、伪装解决方案
当然,使用一个强壮的防火墙系统来限制进入到您的网络中的数据包的类型是必需的。然而,一个防火墙系统将允许流量是从授权的外部系统而来,即使它是VPN的流量。因此,某种类型的数据包的验证检查是必需的。例如,您需要决定数据包是否来自一个合法的源,而不是来自执行伪装攻击的黑客。
最通常的解决方案是使用一个数据包的完整性检查系统,它是通过散列函数来实施的。散列函数允许用户验证传输的数据包的源。因为散列函数使用具有共享密钥的单向散列,只有具有共享密钥的设备才能建立并验证散列值。VPN中,最通常使用的散列函数是MD5和SHA。
注意:数据包的验证在这章后面的1.3.4小节中还要讨论,而散列函数在第2章中将讨论。1.1.3 中间人攻击
一个中间人攻击可以采取许多形式,包括下面最常用的两种:
会话回放攻击;
会话截获攻击。
使用会话回放攻击时,攻击者位于两台设备之间,捕捉来自会话中的数据包。攻击者将试图在以后使用捕捉到的数据包来回放(重新发送)它们。攻击者的目标就是使用相同的数据包来获取对远端系统的访问。在某些情况下,攻击者会改变数据包的内容来协助这一过程。
图1-1中的这幅图形解释了一个例子。在步骤1中,用户发送流量给真实的服务器。在步骤2中,攻击者截取了从用户到真实服务器的流量(假设它是一个Web会话)。通常,一个攻击者要么会用自己的源地址而不是真实的目标地址来仿冒DNS的回应包,这也是一种伪装攻击,要么与一种重路由选择攻击结合起来,仿冒数据包。如果攻击者能够访问源和目标之间的链路,攻击者可以很容易地使用协议分析仪来检查这个数据包。在这个例子中,假设攻击者正在使用重定向攻击,所有的流量都会发送给攻击者。攻击者伪装成真实的服务器,而且发送响应给用户PC,甚至可能是恶意的Java或者ActiveX脚本,来捕捉任意用户特定的敏感信息。在这个例子中,攻击者会把用户原始的流量进行重定向,并且发送响应给真正的目标,如步骤3所示。图1-1 会话回放攻击
在一个会话截获攻击中,攻击者试图将自己插入到已有的连接中,接着控制两台设备之间的连接。图1-2解释了一个会话截获攻击。图1-2 会话截获攻击
为了执行这种攻击,攻击者不得不执行伪装,攻击者假装是源和目标设备。而且,攻击者必须对源和目标设备之间流动的数据包具有访问的能力。本质上,这看起来像图1-2的上部分所示。
另一方面,图1-2的下面部分更具有代表性,表明会话截获攻击是如何发生的。在这个例子中,当设备A发送流量给设备B时,攻击者截取了流量并且假装是设备B,他给设备A发送响应,发送的信息类似于设备B发送的信息。从设备A的角度来看,他认为自己实际上是和设备B交互的。攻击者也使用同样的过程和设备B交互。当数据流在设备A和设备B之间来回流动时,攻击者将会执行数据操作攻击——修改两台设备之间的数据来实施实际的会话截获攻击。攻击者使用这个过程来了解两台设备的信息,包括其安全弱点。
对于UDP和ICMP之类的协议,实施会话截获攻击对于黑客来说是非常简单的过程,这是因为没有相应的机制来定义连接是如何维护的。对于TCP,特别是TCP的定序过程,会话截获则会难一些。序列号应当是随机的,对于黑客来说去猜测下一段的序列号是非常困难的事情。因此,截获TCP会话是一件很困难的事情。然而,并不是所有的TCP应用程序都使用随机的序列号。在许多情况下,基于现有连接中过去的序列号去猜测现有的序列号是一件非常容易的事情。一名有经验的黑客可以将自己插入到现有的TCP的连接中。当然,这不是一个简单的过程。黑客需要执行许多步骤并且使用某些复杂的工具来实施攻击。
一、中间人攻击工具
攻击者通常会使用一种攻击协议分析仪来捕捉上述所描述的两种攻击类型的数据包。使用会话回放攻击,黑客甚至可以使用Java或者ActiveX脚本来捕捉来自Web服务器会话的数据包。使用TCP会话截获攻击,攻击者需要某种类型的特殊TCP序列号猜测程序来成功地截获并且控制一个现有的TCP连接。
二、中间人攻击解决方案
对中间人攻击有几种解决方案。例如,为了防止TCP会话的截获,您应当有一个防火墙系统来随机化TCP的序列号,确保对于攻击者来说预测会话的下一个序列号成为几乎不可能的事情。Cisco PIX安全设备和其他的可用设备可以执行这种功能。然而,攻击者可以使用其他方法,如前一小节所讨论的,来控制会话。
注意:TCP序列号是32位的长度,提供了大约20亿个可能的组合,随机化序列号使得去猜测连接中的下一个序列号成为几乎是不可能的事情。
这种类型的问题的最好解决方案就是使用VPN。VPN提供了3种工具来抗击中间人攻击:
设备验证;
数据包完整性检查;
加密。
使用设备验证,您可以确保正在给您发送流量的设备就是一台授权的设备,而不是一台伪装的设备。使用数据包完整性检查,您可以确保发给您的数据包来自一个授权的源,而且没有被损害或者被假冒。使用加密,您可以确保中间人攻击设备不能去窃听两台设备之间正在共享的数据。这些主题将会在本章的1.3节中进行更多的讨论。1.2 VPN定义
我在前面的小节中曾经提到,VPN可以用来处理某种类型的攻击。因此,问题是:什么是虚拟专用网(VPN)?我在计算机领域已经工作了近20年,总有人让我解释各种技术以及这些技术可以用来做什么。在安全方面,我最常被问到的问题是“什么是VPN?”我见过所有对“VPN是什么”的解释,如:
它是一个加密的隧道;
它使用IPSec、GRE、PPTP、SSL、L2TP或者MPLS(在本章后面介绍);
它加密数据;
它保护通过Internet的流量;
它保护您的数据免遭黑客的攻击。
就像您所看到的,许多人对什么是VPN都有不同的看法或理解。例如,如果您在Internet上搜寻术语VPN,您会很容易地找到许多不同的、有时类似有时矛盾的定义。例如,在www.webopedia.com,关于VPN的定义是: “一种网络,它是通过公网线路来连接节点而构建的。例如,有一些系统,它允许用户使用Internet作为介质来建立网络传输数据。这些系统使用加密和其他的安全机制来确保只有授权的用户可以访问网络,而且数据不能被截获。 ”1.2.1 VPN描述
对我来说,webopedia的定义对于什么是VPN产生了更大的困惑。为了消除这种困惑,我将讨论VPN实际是什么和VPN的不同的归类。我会接着讨论某些不同类型的VPN的实施。从最简单的角度来说,VPN就是一种连接,通常是被保护的,位于两个通常没有必要直连的实体之间。这两个实体也可以通过点对点的链路直接连接,但是我们通常会看到它们会相隔超过一跳或者通过网络隔开。术语“实体”可以指一台特定的设备或者一个特定的网络(多台设备)。连接,在许多情况下,跨过一个公网;然而,VPN也可以很容易地达到内部使用的目的。
在我给VPN下的定义中,“受保护”一词需要稍微解释一下。许多人认为这意味着加密(保护流量防止窃听攻击),或者那个数据包还没有被损害(对于中间人攻击)。所有的这些说法通常都是正确的;然而,一个好的VPN的解决方案将会处理下面的许多(如果不是全部的)问题:
通过使用加密技术,例如RC-4、DES、3DES和AES来防止数据被窃听。
防止数据包被损坏是通过使用数据包完整性的散列函数,例如MD5和SHA来实现的。
通过使用个体认证机制来防止中间人攻击,例如预共享密钥或者数字证书。
防止回放攻击是通过在传输被保护的数据时使用序列号来实现的。
定义机制来规定数据是如何被封装和保护的,而且被保护的流量是如何在设备之间传输的。
定义什么样的流量实际上需要被保护。
就像您看到的,VPN负责所有种类的功能。
注意:当然每种VPN实现方案并非都包括所有这些组件,也并非都能像其他方法那样安全地实现这些组件。连接是如何建立的,如何被保护的,如何被维护的以及如何被拆除的,这些都随着VPN解决方案而各不相同。因此,使用您公司的安全策略来决定什么样的VPN技术最适合您的特定情况这一点非常重要。在某些情况下,通常会看到在同一网络上会部署不止一个的VPN解决方案。1.2.2 VPN连接模式
在我讨论4种VPN的通常类型和3种VPN分类之前,我首先要讨论两种基本类型的连接模式,它们用于在设备之间传输数据:
隧道模式;
传输模式。
如果您以前用过Internet协议安全(IPSec),您可能非常熟悉这两个术语。其他类型的VPN可能使用不同的术语来描述这两种连接模式,但自从我使用IPSec以来,每当我讨论VPN时,我更喜欢用IPSec的术语。
这两种模式都定义了在两台实体设备之间传输被保护的数据时基本的封装过程。我常看到人们使用“隧道”来描述这个过程,然而,我不喜欢用隧道这个词,因为对于VPN来说,它可能有其他的含义。因此,我喜欢用术语“封装”来描述数据是如何在两个VPN实体之间传输的。下面两个小节将会讨论这两种连接模式。
一、传输模式
传输模式连接用于在设备的真正源和目标IP地址之间传输数据时使用。图1-3解释了传输模式的使用。在这个例子中,网络管理员很担心从公司办公室的PIX安全设备到公司办公室内部的系统日志服务器之间发送的系统日志消息的安全性。网络管理员决定使用VPN来保护系统日志消息。图1-3 VPN类型和分类
因为这是一种在实际传输数据的设备之间的VPN连接,所以采用了一种传输模式的连接。在传输模式的连接中,实际的用户数据(UDP段含有系统日志的信息)被封装在一个VPN数据包中。
图1-4显示了一个在传输模式中使用封装过程的例子。在这个例子中,具有系统日志数据的PIX UDP段。 PIX将UDP段封装在VPN的数据包或者段里面。 VPN封装包含的信息将帮助目标设备确认被保护的信息(如果使用了加密,可能会解密)。VPN信息接着会封装进一个IP数据包里,而源地址是PIX,目标设备是系统日志服务器。图1-4 传输模式封装方法
注意:在传输模式中,如果VPN保护的数据包被窃听攻击所检查,攻击者将会知道通信中的实际源和目标设备。当然,如果您正在使用加密作为VPN的一种保护方法,攻击者将不能解密在VPN设备之间传输的实际的负荷(在本例中,是系统日志数据)。
二、隧道模式
传输模式的一种限制是它不具备很好的扩展性,因为保护是基于每一台设备的。图1-3解释了一种情况,在这里传输模式不是一种很好的VPN连接方法。在这个例子中,假设在区域办公室有10台设备需要和总部办公室的10台设备通信,并且进一步假设,每一个站点内的10台设备都需要和远程站点内的10台设备通信。考虑到这种情况,您需要在每一台设备上建立9个VPN连接,而每一个站点有10台设备,这将需要180个连接。换句话说,当您建立这个场景的时候,您会将自己累垮。
因此,当您有许多设备在两个不同的区域需要以安全的方式互相通信时,您应当使用隧道模式,而不是传输模式。在隧道模式中,实际的源和目标设备通常不保护流量,相反,某些中间设备用于保护这些流量。从刚才的例子看,在总部办公室和区域办公室的设备需要保护流量,每一个位置的两台路由器可以负责VPN的保护。代表其他设备提供VPN保护的设备通常被称为VPN网关。
我将通过一个例子来解释隧道模式是如何工作的。在这个例子中,本地设备将建立一个正常的IP数据包,并且将这个数据包转发到本地的VPN网关。假设在区域办公室的PIX (在图1-3中显示)需要发送系统日志消息给位于总部办公室的系统日志服务器,在这里,在两个地点的边界路由器正在执行VPN网关的功能。
图1-5显示了一个使用封装过程的例子。在这个图中,区域的PIX产生了一个系统日志信息,把它封装到一个UDP中,并放入IP数据包,这个IP数据包里的源地址是PIX的本地地址,目标地址是总部日志服务器的IP地址。当区域路由器/VPN网关收到区域PIX的系统日志IP数据包后,VPN网关会封装这个带有VPN保护信息的数据包,可能是加密原始的整个PIX的数据包。下一步,VPN网关将这个信息放入到另一个IP数据包中,在这里,数据包的源地址是区域办公室路由器的IP地址,目标地址是总部办公室路由器的VPN网关(在本例中,是边界路由器)。一旦总部路由器收到这个被保护的数据包,它会验证保护并且删除它(如果您正在使用加密保护数据包,总部的VPN网关将解密数据包)。系统日志服务器接着会收到原始的IP数据包,而并不知道(或者关心)该数据包实际上从区域PIX设备到系统日志服务器一直是被保护的。图1-5 隧道模式封装方法
考虑到这种连接模式的过程,隧道模式提供了一些比传输模式优越的特性,如下所示。
提供了扩展性——您可以选择一台更合适的设备来执行保护过程,从您的设备上卸载了CPU消耗多的保护过程。
允许灵活性——当您在VPN网关后添加一台新的设备来保护从该设备发出的流量时,您通常不需要对您的VPN配置做任何变化。
隐藏了通信——在VPN网关设备之间执行网络上窃听攻击的攻击者知道流量是在VPN网关之间被保护的,但是没有办法知道VPN网关是否是此传输的真正的源和目标设备,或者这个数据是否已被其他设备传输。
使用私有地址——真正的源和目标设备可以使用公开的或者专用的地址,这是因为它们被VPN网关设备封装在另外一个数据包里。
使用现有的安全策略——因为设备是用其实际的IP地址与其他设备进行通信的,您通常不需要改变在您的防火墙和数据包过滤设备上已定义的任何内部的安全策略。1.2.3 VPN类型
总的来说,VPN类型描述了实际参与VPN连接的实体的类型。有4种常见的VPN类型:
站点到站点VPN;
远程访问VPN;
防火墙VPN;
用户对用户VPN。
在下面小节中我将使用图1-3来解释4种VPN类型。
一、站点到站点VPN
站点到站点VPN在VPN网关之间使用隧道模式连接来保护两个或者更多的站点或者地点之间的流量。站点到站点的连接通常被称为局域网到局域网连接(L2L)。使用L2L VPN,在一个地点的中心设备提供了对站点之间流量的保护。这种保护过程,因此也包括位于两台VPN设备之间的传输网络,对两个站点的终端用户的设备来说是透明的。
关于何种类型的设备可以承担VPN网关的角色,Cisco有下面这些设备可供选择:
VPN 3000系列集中器;
具有VPN软件的基于IOS的路由器;
PIX和ASA安全设备。
在图1-3中,为了建立一个区域办公室和总部办公室之间的保护连接,您应当使用下面的这些配置:
在总部办公室,VPN网关设备应当是边界路由器、PIX,或者是VPN集中器;
在区域办公室,VPN网关设备应当是边界路由器或者是PIX。
注意:Cisco通常建议您用路由器作为VPN L2L的解决方案;然而,这是一句很笼统的话,在做出这个决定之前还应考虑其他的因素。就像您在整本书中看到的,每种类型的设备都有好处和缺点。例如,这里就是一些与其他设备相比,Cisco产品的基本优点:
· IOS路由器——有先进的QoS、GRE隧道、路由选择以及扩展和先进的VPN L2L能力。
· Cisco VPN 3000集中器——易于建立和故障诊断与排除。
· PIX安全设备防火墙——有先进的防火墙和安全特性,包括有状态过滤、应用程序过滤和先进的地址转换能力。
二、远程访问VPN
远程访问VPN通常用于一台单用户设备,例如PC或者一个小型家用办公室(SOHO),一个硬件客户端(一个Cisco的VPN 3002硬件客户端,低端的PIX设备或者低端的基于IOS的路由器)和VPN网关设备之间的低带宽或者宽带连接的应用。远程访问VPN通常使用隧道模式作为连接模式。首先,这个看起来很奇怪,因为一台设备是VPN网关设备,另外一台不是。然而,如果您考虑有关传输连接模式是如何工作的,在这种模式中,被保护的数据是在真正的源和目标设备之间传输的,就会认为一个远程访问连接并不十分适用这种模型。使用远程访问连接,流量需要从源到某些中间设备之间被保护,它可以验证被保护的信息(并且如果加密了,可以解密)。真正的目标将会收到未保护的信息。要做到这一点,就要使用隧道模式。
使用远程访问,VPN端点或者客户端,连接到VPN网关将需要两个IP地址:一个是它自己的NIC地址;另外一个是内部地址,这个地址通常被称为虚拟的或者逻辑地址或者被分配的IP地址。
图1-6解释了一个关于远程访问连接的例子。在这个例子中,一位电缆调制解调器用户从家里正在使用一台PC通过一个VPN网关,即VPN3000集中器连接到总部办公室。ISP使用DHCP给在家里的PC用户的网卡分配一个IP地址。需要第二个地址与总部办公室需要被保护的设备通信;这是一个内部的地址,它有时可以由用户手动分配,或者更通常的是,在VPN会话建立时,从VPN网关获取的。通常,这个IP地址来自一个中心站点的DHCP服务器,或者一个本地定义的地址池。当远程访问客户想要发送信息给在总部办公室VPN网关后的设备时,例如一台Web服务器,远程访问客户建立一个IP数据包,这个数据包的源地址是内部地址,而目标地址是总部办公室网络设备的地址。这个数据包接着使用VPN信息被封装和保护,并且添加一个外部的IP头。在外部的IP头中,源地址是远程访问用户的ISP分配的NIC地址,而目标地址是VPN网关。VPN网关一旦收到被保护的数据包,就会验证这个数据包,解密封装的数据包,如果需要的话,会将这个封装的IP数据包转发给总部的内部设备。图1-6 远程访问连接的例子
因为这个内部地址是被保护的(那是因为您使用的是隧道模式),您可以很容易地使得远程访问的客户看起来就像是总部办公室网络的扩展。例如,如果总部办公室正在使用地址空间172.16.0.0/16,如图1-6所示,您可以使得客户使用一个地址池中的内部地址,如172.16.254.0/24,让客户看起来好像正在连接到一个172.16.0.0/16的网络中。从总部办公室设备的角度来看,看起来好像远程访问用户正在连接到一个172.16.0.0/16网络中。然而,实际上,客户和总部办公室之间可能隔着许多跳,如图6-1所示。
注意:Cisco建议对于远程访问连接,您应当使用Cisco VPN 3000系列的集中器来作为VPN网关产品。当做远程访问VPN网关解决方案时,我们把3000系列集中器和Cisco路由器或者PIX或ASA安全设备做一个比较,在集中器上建立和故障诊断与排除远程访问连接比其他两种产品容易得。然而,如果我只有一小部分用户需要远程访问连接,而我已经有PIX或者ASA设备或是IDS路由器已经安装到总部办公室,我将会使用现有的设备,而不是购买一台3000的集中器。一旦用户的数量开始增长到一个很高的值,我就必须认真考虑购买一台集中器。在其他时候,我需要考虑用路由器而不是集中器进行远程访问连接的原因可能是我需要先进的QoS能力,而这是集中器所缺乏的特性。
三、防火墙VPN
一个防火墙VPN本质上是一个带有增强的安全和防火墙功能的L2L或者远程访问VPN。防火墙VPN通常用于VPN连接的一端基于公司的安全策略,需要增强的安全和防火墙功能,并且它们管理或者拥有在目前网络中已经到位的安全解决方案。
由防火墙VPN执行的这些安全或者防火墙的功能包括:
有状态防火墙;
应用程序层过滤;
先进的地址转换策略;
与地址有关的问题较多的协议,例如多媒体和语音。
除了上述所列功能,一个防火墙VPN具有和L2L或者远程访问VPN相同的特性。从我的观点来看,我不喜欢将防火墙VPN作为一个单独的VPN分类;然而,Cisco在讨论VPN类型时通常使用这个术语。如果您正在部署Cisco的设备来实施防火墙VPN,VPN网关设备通常可能是PIX或ASA安全设备。
四、用户到用户VPN
一个用户到用户的VPN类型本质上是一个在两台设备之间的传输模式的VPN连接。这两台设备可以是PIX设备和一台系统日志服务器、一台路由器和一台TFTP服务器、一个使用Telnet访问Cisco路由器的用户,或者许多其他的连接对等体。
注意:Cisco官方并不认为用户到用户是一种VPN类型,但是自从我使用这种模式来保护特定设备之间的特定类型的流量以来,我已经把这种类型划归为现实世界中可以见到的VPN类型了。1.2.4 VPN分类
有3种基本类型的VPN分类,这种分类说明了VPN可以用在哪里:
Intranet;
Extranet;
Internet。
图1-3中解释了这些术语和VPN一起使用时的含义。
一、Intranet
一个intranet VPN通过本公司的网络架构连接来自同公司的资源。这里是intranet VPN连接的一些简单的例子:
传输模式连接一个公司内部的网络架构,例如两台设备之间的VPN(路由器发送流量给一台系统日志服务器,一台PIX设备将它的配置文件备份到一台TFTP服务器,在一台PC上的用户使用Telnet登录到一台Catalyst 3550交换机上,等等)。
隧道模式在一个公司的网络架构的不同地点之间进行连接。例如通过专用的帧中继或者ATM网络在两个办公场所之间进行连接。
二、Extranet
一个extranet VPN将一个公司的资源和另外一个公司的资源进行连接,例如一个商业合作伙伴。这些通常都是L2L连接,但是也可以是其他的类型。一个关于extranet的例子就是一个公司外包了它的帮助桌面功能,并且建立了一个VPN来提供从它的总部办公室到外包公司的VPN连接。
三、Internet
一个Internet VPN使用公网作为骨干网在设备之间传输VPN的流量。例如,您可以使用Internet,它是一个公共的网络,来将两个站点连接在一起(L2L连接),或者家庭办公用户使用他们的本地ISP来建立到总部网络的VPN连接(远程访问连接)。
注意:请记住,所有4种VPN类型都由这3种VPN分类支持。至于您应当使用那种类型,这是基于您的访问需求和您的公司对安全策略的要求。1.3 VPN组件
既然您已对什么是VPN有了一个基本的理解,那么就让我们来讨论构成一个传统的VPN的组件。并不是所有的VPN实施都会包括部分或所有的这些组件。而且,基于您的安全策略所列出的需求,您可能并不需要所有的这些组件。因此,您需要检查您的安全策略来决定哪种VPN实施(或者不止一种)有必要的组件来满足您的安全策略的要求。
下面的小节将会讨论通常组成一个VPN实施中的某些更关键的组件部分。特别是,它们是由下面这些部分组成的:
验证;
封装方法;
数据加密;
数据包的完整性;
密钥管理;
抗抵赖性;
应用程序和协议的支持;
地址管理。1.3.1 验证
您可能忧虑的一点是如何在验证一台设备或者用户的身份之后,才允许他们建立到达您网络的VPN连接。有两种通常的验证分类:
设备;
用户。
一、设备验证
设备验证允许用户基于远程VPN设备提供的验证信息来限制到您的网络的VPN访问。通常,这是下面两种类型的验证方法之一:
预共享密钥;
数字签名或者证书。
预共享密钥通常用于小型的VPN环境中。需要配置一个或者更多的密钥来验证设备的身份。建立预共享密钥验证是非常简单的。许多管理员都更偏向于使用它,而不是数字签名或者证书,后者需要做更多的工作才能建立。预共享密钥要求用户在要参与VPN连接的每一台设备上都配置一个或者多个密钥。
考虑到配置的工作量,预共享密钥有一个主要的缺点:它们的扩展性很差。例如,假设您当前有9个站点,每一个站点都有一台路由器,而预共享密钥用于设备的验证,并且VPN L2L的设计在这些站点之间是全网状的。您增加了一个新的站点。这就需要您在新的站点对路由器增加9个密钥,并且在其他9个站点的路由器上对于这个站点的路由器也要建立密钥信息。所以增加更多的站点对于验证密钥的管理会变得更加复杂。
注意:使用预共享密钥的最初的观点是密钥应当和一个特定的静态的源IP地址关联到一起。然而,这个概念对于远程访问是不适用的,这是因为用户是从Internet上的任何地方发起他们的连接,并且使用的是动态IP地址。结果,基于组的预共享密钥的概念诞生了。在这种模型中,一个特定的预共享密钥将会基于在远程访问VPN连接发起过程中以明文发送的组名来进行查找。通常,预共享密钥对于先前所讨论的中间人攻击是较难防范的。由于连接的一端只能确认另外一端有相同的预共享密钥,而另外一端到底是谁并不知道。对于中间人攻击的解决方案就是互相的组验证并且允许头端设备使用数字证书来标志它自己,而不是对于每一个终端用户都需要一个证书。
通常数字签名或者更通常的说法,数字证书用于大型的VPN实施环境中的设备验证。数字证书是由一个共同的机构,即证书颁发机构(CA)来集中管理的,这使得添加和清除VPN设备成为一个简单的过程。任何时候当一台设备添加到VPN的拓扑中,对这台设备就会产生一个新的数字证书,它含有这台设备的验证信息,这是证书颁发机构所持有的。其他VPN设备可以访问证书颁发机构来确认其他设备的身份。就像您所看到的,一台设备并不需要本地存储其他设备的验证信息——这个信息是由证书颁发机构集中管理的。然而,使用数字证书的主要缺点就是初始建立和实施证书服务是很费时的。
二、用户验证
设备验证的一个问题和预共享密钥一样,就是设备验证的信息是存储在设备本地的。如果在设备本身被危及的情况下,这就出现了一个问题。通常,我并不担心这个问题,这是因为就像数据中心一样,设备本身是处在安全的环境中的。然而,我担心的是验证信息存储在不安全的设备上,例如PC和笔记本电脑。许多VPN实施方案,都会给验证再增加一层安全,这被称为用户验证,它来验证是否允许来自一台特定设备的用户的VPN连接。通常,这被应用在远程访问VPN中。在某些情况下,依赖于VPN实施类型(在本章的1.5节中讨论),VPN可能执行设备验证和用户验证这两种验证。
使用用户验证,用户必须提供一个用户名和口令。这个口令可能是一个静态的口令或者是一次性口令(通过使用令牌卡)。作为一个例子,假设您的VPN实施中同时采用了设备验证和用户验证,如果有人偷走了您的员工的笔记本电脑,这个小偷可能会使用存储在设备本地的验证信息,但是他必须知道用户名和口令才能获取访问。使用令牌卡,这个小偷必须知道用户的用户名,访问用户的令牌卡,还需要知道用户的PIN(个人识别号码)。而且,许多VPN实施允许管理员防止用户将用户验证信息存储在他们的桌面上。第2章将会更深入的讨论验证方法。1.3.2 封装方法
VPN必须定义的另外一个组件就是封装方法:用户信息,例如数据,是如何被封装并且在网络中传输的。换句话说,内容的实际格式是什么?您可以通过以下提问来了解这个答案:
什么字段出现在VPN的头部或者尾部的信息中?
这些字段出现的顺序是什么?
这些字段的大小是什么?
封装也定义了什么样的应用程序或者协议可以放在VPN数据包的负荷里。某些VPN的实施中只封装应用层的信息,而其他的会封装整个第3层的数据包或者第2层的帧。信息如何封装是非常重要的,因为它可以影响数据在通过防火墙或者地址转换设备时是否会遇到问题。这个论题会在本章的1.4.2小节中进行讨论。1.3.3 数据加密
数据加密被用于解决窃听的问题。数据加密理论上是将用户数据和密钥值通过一个加密算法运行,产生看起来是随机字符串的字符。只有拥有相同密钥值的设备可以解密它。存在许多加密算法,例如DES、3DES、AES、Blowfish、RSA、IDEA、SEAL和RC4等。然而,并不是每种VPN实施都支持所有的加密算法。通常情况下,支持两种或者3种加密算法。加密算法会在第2章深入讨论。1.3.4 数据包的完整性
加密对设备来说是非常消耗CPU的。攻击者知道您正在VPN中使用加密,可以利用这一点来对您的VPN设备实施拒绝服务(DoS)攻击。基本上,黑客可以使用带有垃圾的假冒数据包,使用的IP地址是来自一个可信VPN源。当您的VPN设备收到这个假冒数据包,将试图解密它。当然,结果是不成功的并且把这个假冒数据包丢掉。然而,您的设备会浪费CPU的运转时间来执行这个过程。
因为可能出现数据包的损害或者数据包的欺骗,某些VPN实施给您一个执行数据包完整性检查的选择,或者某些人通常所说的数据包验证。使用数据包验证时,签名附着在数据包上。签名是通过将数据包的内容和一个共享密钥等信息通过一个散列函数运算而产生的,产生的是一个固定的输出,称为数字签名。这个签名会被添加到原始的数据包的后面,并将这个修改后的数据包发送给目的地。目的地会验证这个签名,如果签名是有效的,目的地会解密这个数据包的内容。验证一个散列的签名与解密过程相比,需要非常少的CPU运转时间。
用于数据包完整性检查的两种更通用的散列函数是SHA和MD5。散列函数会在第2章深入讨论。1.3.5 密钥管理
我已经提到有3种VPN的部件都使用密钥:验证、加密和散列函数。在VPN连接中管理密钥是非常重要的。例如,密钥是如何产生的?是静态配置的还是随机产生的?多长时间密钥会重新产生来增加安全性?
例如,假设您的安全策略要求用于加密和数据包完整性检查的密钥至少每隔8小时改变一次。如果您对不同的站点使用静态密钥,如果有100个站点,每次手动修改密钥的时候,您需要花上约一个小时的时间。因此,在许多情况下,需要一个动态的密钥管理过程。当选择一个VPN实施方案时,您应当认真评估这是如何处理的。第3章将讨论对于VPN,用IPSec标准实施VPN方案时,是如何处理的。1.3.6 抗抵赖性
所谓抵赖就是您不能证明一个事物,例如连接的建立,或者购买一件东西确实发生了。抗抵赖是相反的过程:您能证明一个事物在两方发生了。攻击者通常试图执行抵赖攻击。
在金融界,抗抵赖是非常重要的。例如,如果我准备到Internet的在线商店,比如Amazon.com,使用我的信用卡购买一本书,在Amazon(亚马逊)能够成功地让我用信用卡付费之前,将会证明就是我购买了这本书。他们在我填写订单时,会收集我的个人信息,例如我的名字、付费的地址、电话号码和信用卡的信息,并且使用这些信息向我的信用卡公司验证我的身份。当然,亚马逊会保留交易的记录:我输入的是什么信息、日期和时间,以及我的IP地址,来跟踪我是否正在使用其他人的信用卡来实施欺诈。
抗抵赖可以是VPN实施中的一个组件。在VPN的世界中,抗抵赖包括两个组件:验证和计费。我已经在1.3.1小节中讨论了验证,计费是记录VPN的会话。这可以包括两台建立连接的设备的身份,连接使用了多长时间,通过它传输了多少信息,哪些类型的信息穿过了连接,等等。这些信息以后可以用于检测访问攻击,也可以用于管理的目的,例如确定基价和查找带宽的问题。1.3.7 应用程序和协议的支持
当选择一种VPN实施类型时,您需要首先决定什么类型的流量需要被保护。例如,如果在您的网络中只有IP流量,许多VPN实施类型都适用于您;然而,如果您需要同时保护IP和IPX流量,适用于您的VPN实施的种类数量就会快速缩小其范围。同样地,也许您只需要保护特定应用程序的流量,例如Web和E-mail流量,这同样会影响您对VPN方案的选择,比如SSL、还是PPTP或者IPSec。记住VPN的实施对它所封装的协议和应用程序是有限制的,该问题我已在1.3.2.小节中讨论过。1.3.8 地址管理
地址管理只在远程访问连接中是一个问题。正如我在1.2.3小节“远程访问”部分中提到的,一个远程访问客户端通常会被分配一个内部地址。跟踪哪个内部地址分配给哪个远程访问的客户是个很大的问题。
参见图1-7中关于这个问题的一个例子。在这个网络中,客户端为建立VPN的会话有两种选择:VPN网关A和VPN网关B。也许网络管理员对远程访问用户连接哪个网关没有控制,或者也许只是随机的。让我们假设客户属于一个组,该组中的地址池分配给客户的地址来自172.16.254.0/24。这意味着如果客户连接到VPN网关A时,被分配的IP地址为172.16.254.1,那么VPN网关B必须知道这一点,它不能使用这个地址并把它分配给一个不同的客户。而且,内部网络的设备同样也必须知道当它们想发送流量给172.16.254.1时,它们应当把流量转发给VPN网关A,而不是网关B。另外,如果远程访问用户想要拆除它的VPN连接,而重新建立到达网络的连接,但是通过VPN网关B时,VPN网关A也需要知道这一点来更新其地址池的信息。VPN网关A也需要更新它的路由选择信息来到达172.16.254.1。图1-7 远程访问地址例子
对于这种情况,除了路由选择的问题外,实际上有许多方法来解决地址/分配的问题。关于地址分配,通常的解决方案就是使用一个外部的DHCP服务器或者AAA(验证、授权和计费)服务器来给用户分配一个地址。使用AAA服务器来分配地址通常用于客户总是要求将相同的IP地址分配给他的情况;否则,由DHCP服务器或者VPN网关给客户分配IP地址。关于内部设备到达远程访问用户的路由选择问题,VPN网关可以在它们的本地路由选择表中建立静态主机路由,并将该信息通过动态路由选择协议进行重分发。在处理IPSec时,Cisco通常将这个过程称为反向路由注入(RRI)。对于与VPN网关处于同一段的设备来说,VPN网关可以使用代理ARP来告诉直接相连的设备如何正确地到达远程访问客户端。
注意:当一个被分配的IP地址来自VPN网关的本地接口子网时(图1-7所示的内部网络),可以使用代理ARP。当分配的IP地址来自一个非本地子网时,对于本地设备来说,这个地址必需被路由到VPN网关。这可以通过使用动态路由选择过程来完成。另一个选项是,在内部路由器上对这个子网添加一条静态路由指向VPN网关的内部接口;然而,这只在只有一个VPN网关的时候是管用的。当您有两个或更多个网关的时候,您将需要一个动态路由选择进程来发现哪个客户连接到哪个VPN网关上。
在选择一个VPN实施类型时,您也需要权衡这个因素。某些VPN实施可能缺少地址管理,或者地址管理很差,它会影响您对VPN实施类型的选择。1.4 VPN设计
当您对VPN实施权衡了需要的VPN组件后,您需要看看您的VPN设计的布局:什么设备需要VPN功能(服务器、路由器、防火墙、PC等)、需要什么类型的VPN功能,以及需要什么样的连接。这些信息将会极大的帮助您挑选一种合适的VPN实施类型,并且在做出最终选择之前,有助于您考虑设计方面必须考虑的任何问题。
下面的小节讨论了某些VPN设计,以及在您的网络中使用VPN时,必须要考虑的问题。具体地说,这些小节涵盖了下面的内容:
连接类型;
考虑;
冗余。1.4.1 连接类型
从设计的角度来看,本小节将会讨论VPN使用的不同的基本连接类型。这些连接包括点对点、星型拓扑(hub and spoke)和全网状(fully meshed)。
一、点对点
有两种基本类型的VPN点对点的连接:
设备对设备;
网络对网络。
1.设备对设备连接
设备对设备VPN连接就是一种用户对用户的VPN类型,在这里只有两台设备参与到VPN中。这种连接类型通常用于在两台设备之间只有某种特定类型的流量需要保护的时候。关于设备到设备连接的例子包括将Cisco路由器上的配置文件备份到TFTP服务器上,从一台被管理的设备上发送SNMPv2的流量,例如一台Catalyst交换机,给一台SNMP管理服务器发送流量,或者从一种PIX安全设备上将系统日志流量发送给一台系统日志服务器。
关于设备对设备连接的一种担心就是它对VPN端点设备带来了极大的负荷。例如,想象您有一台系统日志服务器,它需要处理来自200台设备的日志信息。在这种情况下,系统日志服务器不得不终结200台VPN的设备对设备连接,这对它可能是一种不可承载的压力。如图1-8的上部分所示。
2.网络对网络连接
网络对网络VPN连接可以被认为是L2L VPN类型的连接。使用网络对网络连接,两个VPN网关可以在两个或者更多个网络之间提供流量保护。这种点对点连接类型与设备对设备连接类型相比,其好处是从不止一台设备来的流量可以被相同的VPN连接保护。而且,您可以选择一台适当的VPN网关设备来控制VPN流量的开销和处理负荷,这就减轻了端点客户机的压力。图1-8的中间部分显示了一个网络对网络连接的类型。
我将会再次审视上面谈到的一种担忧,即200台设备正在向一台中心日志服务器发送系统日志消息,这次不是在系统日志服务器上面终结VPN的连接,相反,您可以在系统日志服务器的前面放置一台VPN的网关设备,并且对这个VPN网关建立远程访问连接,由它负责处理来自远端设备的VPN流量。这将是一个混合的点对点的连接,图1-8的底部显示了这一过程(设备对网络)。图1-8 设备对设备和网络对网络连接
二、全网状
全网状的VPN网络将每台VPN设备或者网络都连接到其他的VPN设备或者网络上。图1-9的左半边显示了一个全网状设计的例子,将多个网络彼此互连。
这种设计的一个好处是,每一台设备或者网络都可以直接通过VPN发送流量到远端的设备,而无需通过一个中介的VPN连接。然而,这种方案的主要缺点就是扩展性。例如,在图1-9中,当您增加更多的站点时,您在每一个站点的设备上就需要增加更多的VPN连接。这将增加VPN设备上的处理负荷而且扩展性很差。图1-9 全网状和部分网状的VPN网络设计
三、部分网状
一个部分网状的VPN设计解决的是全网状VPN设计的缺点。在部分网状的设计中,并不是每一台设备都需要和其他的VPN设备有一台VPN的连接。这种设计的一个例子就是中星型拓扑的设计,如图1-9的右边所示。这在公司网络中是一台非常普遍的设计。中心点通常位于总部,而分支点通常位于远程办公室。这种设计在当分支点需要和位于总部的资源通信时工作的非常好;然而,这种设计当一个分支点向另外一个分支点发送数据时,工作得不是很好。在这种情况下,流量必须被保护两次,而且必须经过额外的一跳,这增加了流量的延迟,并对中心设备增加了额外的负荷。您可以在两个经常需要彼此通信的分支之间增加一个点对点的VPN连接来轻易地解决这个问题。1.4.2 VPN考虑
当设计一个VPN解决方案时,为给您的网络建立一个合适的解决方案有许多因素需要考虑,其中一些因素如下所示:
被保护的流量与非保护的流量;
碎片;
应用程序的类型;
流量保护;
地址转换和防火墙。
下面的小节将会讨论这些因素。
一、被保护的流量与非保护的流量
您需要考虑的其中因素之一就是在两台设备之间当前已经建立一个VPN连接的情况下,它们之间发送的流量是否需要被保护。需要考虑的事情有需要被保护的流量的数量,以及是否有必要保护这些信息(信息的安全敏感性)
例如,假设您的VPN设备支持VPN的处理能力为5 Mbit/s。然而,发送到您设备的VPN流量为6 Mbit/s。不幸的是,在您的VPN设备上将存在很大的性能问题。为了解决这个问题,您可以建立一个称为“分离隧道”的特性,它会发送一些被保护的流量,和一些明文的流量。
在上述例子仅1 Mbit/s的性能差异中(5 Mbit/s是处理极限,但是6 Mbit/s是接收的流量),您必须重新评估什么样的流量真正需要被保护。也许2 Mbit/s的流量是Web流量,而且您决定没有必要保护这种流量。您应当建立一个分离隧道的策略,对于VPN连接,它会保护除Web流量以外的所有的流量。因此,您的VPN设备只需要保护4 Mbit/s的流量,对于您的设备5 Mbit/s的VPN性能来说,这是可以管理的。
提示:为了确定什么流量需要保护,什么流量不需要保护,您需要重新检查您公司的安全策略。对于远程访问的客户来说,我强烈建议使用一个客户端的软件防火墙来防止与未保护流量相关的攻击。
二、碎片
当我查看和VPN实施相关的性能问题时,我要看的第一件事情就是碎片问题。管理员通常都会忘记将VPN添加到数据包中的开销这一因素,并且由于这种开销而导致了碎片的问题。
例如,假设您有一个数据库应用程序通过一个VPN连接发送数据。参与的设备使用的MTU的大小为1 500字节。通常来说,发送数据时最多使用这么大。在这之上,VPN添加了另外的80字节开销,这通常会导致必要的MTU大小将达到1 580字节。然而,VPN设备在它所连接的以太网段上支持的最大的大小为1 500字节。在这种情况下,VPN设备不得不将原来的数据包切割成两个数据包。
许多人可能认为这个过程将会给VPN设备引入一些开销,但不是很大。然而,在许多情况下,它会扼杀设备的性能,因为VPN设备现在不得不处理两倍的数据包。
因此,当了解一个您将使用的特定的VPN设计和VPN类型时,您需要考虑碎片的问题。为了防止碎片,您需要检查VPN的实施来查看它给数据包增加的开销量,并且要了解客户端设备原来正在使用的MTU的大小。您要么需要使用一个动态的MTU发现过程,例如路径MTU发现(PMTUD),它会动态的调整MTU的大小到一个适当的值来防止碎片,要么手动调整MTU的大小。例如,如果客户端的MTU的大小是1 500字节,而VPN设备的开销是80字节,您需要确保始发数据的客户端设备将它们的MTU大小减小为1 420字节。我会在第19章中更深入的讨论对碎片问题的故障诊断与排除。令人吃惊的碎片
我曾经受雇于一家公司帮助他们解决当前的VPN实施。他们告诉我,当他们将VPN实施就位以后,其性能降低到一个不可接受的级别。当他们删除VPN的配置后,问题就消失了。他们认为安装在3620路由器上的VPN网络模块(NM)对于保护流量的处理能力削弱了3620路由器的能力。我了解到他们仅想保护2 Mbit/s的流量,而VPN-NM应当能很轻松的处理这个数量的流量。我的直接反应就是问题并不是出现在VPN保护功能上,而是碎片的问题。很明显,站点的客户端正在使用的MTU大小为1 500字节,而许多通过VPN传输的数据是相当大的,当您给这些数据添加VPN的开销时,大约60%的数据包被碎片分割了,这意味着3620路由器不仅要执行碎片和重组装,它还不得不去保护额外的碎片数据包的流量。当检查路由器的CPU的周期时,完全确定这一问题就是和碎片有关。我让管理员手动调整了客户端的MTU大小到一个小一点的值,因此清除了任何碎片的问题。这件事让管理员非常高兴,因为他们曾担心怎么向老板解释他们购买了一台性能差的路由器,还得花钱买一台性能更优的路由器。
三、应用程序的类型
我在前面已提到过“被保护的流量与非保护的流量”,基于您正在传输的流量数量,您可能不想保护某些类型的流量。像我前面提到的,您需要检查您的安全策略来决定您将要保护什么类型的流量。
某些应用程序类型通常并不需要保护,例如HTTPS和SSH。它们不需要保护,是因为保护功能已经内置在协议里面了。因此,保护这种流量只是再次增加了对VPN设备的额外处理负担。因为这一点,您可能想防止这种流量和其他被保护的流量穿过您的VPN。
另外一件需要考虑的事情就是您所选择的VPN实施是否能够真正地保护您需要保护的流量。例如,SSL VPN保护Web流量(HTTP)非常好,但是并没有设计用来保护其他类型的流量,例如SMTP、TFTP、FTP、Telnet等。SSL会在1.5节中讨论。当决定什么样的流量需要保护之后,您需要选择一种VPN实施来正确的保护流量。
四、流量保护
当您已经决定什么样的流量需要被保护之后,您需要决定它怎样被保护。该信息应当在您公司的安全策略中已定义了。例如,如果您公司的策略阐述了您应当对通过公网的敏感信息实施加密和数据包完整性检查,您需要决定您的VPN应当使用的加密算法和散列函数。在某些情况下,您实施的方案越安全,就越会给您的VPN设备增加更多的处理开销。与因VPN特性提高的安全性相比,必须更关注该特性增加的处理开销和处理延迟——总会有一个折衷。例如,对于延迟敏感的流量例如语音和视频,您可能需要花费一些时间来挑选和测试不同的VPN保护方法,以确保对您的多媒体流量不会造成连接性问题。对于保护类型的更多信息,参看第2章。
五、地址转换和防火墙
某些VPN实施在试图将信息通过地址转换或者防火墙设备传输时会出现问题。下面将讨论这两种情况,从地址转换开始。
1.地址转换问题
使用地址转换,地址转换设备可以将一个IP地址转换成另外一个
试读结束[说明:试读内容隐藏了图片]