VPN為專用網路之間透過公共網路實現加密連接。通俗的說,VPN主要用來解決遠端訪問的需求。到目前為止,VPN是用的最普遍的遠端訪問解決方案。為此思科公司也專門設計了VPN集中器來幫助企業實現VPN的部署。

  思科提供的VPN集中器基本上可以實現企業VPN方面的全部需求,VPN集中器的主要作用就是透過遠端接入VPN來為遠端用戶提供接入服務。不 過在部署思科VPN集中器的時候,需要考慮如何跟防護牆和平共處。由於VPN集中器可以防止在網路不同的位置中。如可以跟防火牆並行防止,也可以防止防火 牆的外圍,也可以放在內部等等。雖然其位置沒有限制,但是在部署的時候,網路管理員需要注意其與防火牆位置的不同,要求與功能也略有差異。網路設計人員需 要注意這些差異,才能給VPN集中器選擇一個合適的位置讓其安家。也只有如此,VPN集中器才能夠發揮其應有的作用。

  位置一:把VPN集中器放置在防火牆外面

  其實,VPN集中器也有部分防火牆的保護功能,所以把其放置在防火牆的外面可以提供額外的安全保障。因為透過VPN集中器連接企業的內外網,可 以在集中器的接入口使用相關的訪問規則來提高企業網路的安全性。也就是說,VPN集中器可以實現部分防火牆功能。當遠端用戶透過互聯網接入到VPN集中器 時,這是一種非常行之有效的解決方案。因為若如此配置的話,本地站點並不需要外部互聯網接入。

  如果採用這種配置方式的話,網路管理員需要注意兩點。

  一是對於網路安全不是特別苛刻的企業,有時候甚至可以利用VPN集中器來代替防火牆。因為在其接入口本身就可以配置相關的訪問規則,來提到防火 牆的部分功能,保護企業網路的安全。故企業如果有了VPN集中器的話,還可以省去防火牆的投資。所以,這對部分企業來說,是一個不錯的選擇。

  二是需要注意流量的問題。上面說到的這一點可以說是這麼部署的好處。那麼現在這個流量問題則是其不足之處了。如果按照上面這麼部署的話,有一個 很大的缺點,就是企業內外網路數據的交換都需要透過集中器來處理,因為此時集中器在企業內外商數據交換的主幹通道上。故道企業內外數據交換比較頻繁的話, 則會給集中器性能帶來比較大的壓力。若企業真的準備這麼部署的話,那網路管理員就需要根據企業的實際情況,選擇合適的VPN集中器。如果有比較頻繁的數據 交換,如視頻會議、電子商務等等網路應用比較頻繁的話,那最好能夠選擇配置高一點的VPN集中器。

  位置二:把VPN集中器放置在防火牆的內部

  網路管理員也可以把防火牆放置在防火牆的內部,即防火牆與企業邊界路由器之間。當把集中器部署在防火牆內部的話,那麼防火牆將是直接接觸企業外 網設備。也就是說,防火牆是保障企業內網安全的第一道防線。不過話說回來,雖然防火牆已經起到了保護企業內部網路的目的,但是,VPN集中其仍然需要進行 一些接入規則的配置,來提高VPN網路的安全性。如要在接入規則上,對接入用戶的訪問權限進行控制。普通用戶不能夠修改VPN集中器的配置等等。也就是 說,關於VPN接入的相關安全控制,仍然需要VPN集中器來實現。這有利於VPN接入的管理,有利於提高VPN的安全性,為企業提供一個比較安全的遠端網 路訪問環境。

  另外,如果採用這種部署方式的話,由於VPN集中器仍然處在企業內外網數據互動的唯一通道上。所以,企業內外網需要進行數據交換時,所有的數據 都要透過VPN集中器。當VPN遠端訪問與企業內外網數據交換同時大量發生時,就將給VPN集中器帶來比較大的壓力。這跟第一種部署方式的通病是一樣的。

  再者,這種部還是需要注意一點。由於防火牆放置在VPN集中器的前面。這也就是說,如果用戶需要進行遠端訪問的話,那麼這個遠端連接的請求必須 要先透過防火牆。所以為了遠端用戶能夠順利連接到VPN集中器中,必須要在防火牆上進行一些額外的配置,允許VPN連接請求順利透過防火牆。如遠端訪問者 有固定的IP地址,則在防火牆配置中要允許這個IP地址的通信流量透過。這種情況往往出現在公司不同區域網路之間的互聯。如遠端辦事處等等,他們往往有固 定的IP地址。但是,有些情況也可能沒有固定的IP地址。如一些個人用戶,他們出差時不知道在哪裏。為此,防火牆就要允許所有源地址的IKE等數據流透過 防火牆。否則的話,遠端用戶就有可能無法連接到VPN集中器上,因為其連接請求直接被防火牆所阻擋。故如果網路管理員要採用這種佈置的話,就必須對防火牆 進行額外的配置。同時,為了企業內部網路的安全,如果企業主要利用VPN來進行不同區域網路之間的連接,那麼最好在防火牆配置的時候,進行IP地址的限 制。不要因為VPN虛擬專用網的應用而降低了企業內部網路的安全性。

  位置三:VPN集中器與防火牆並行

  上面兩種方案中,我們看到都有一些難以克服的缺點。如以上兩種方法VPN集中器都處在企業內外網數據傳輸的唯一線路上,這會額外增加VPN集中 器的數據處理負擔。另外,第二種方案需要修改防火牆配置,如需要允許所有源地址的IKE數據流量,是以犧牲防火牆的安全保護功能為代價的。所以,以上兩種 處理方式筆者認為不是最優的處理方式。當然,企業如果不部署防火牆的話,可以採用第一種方式來提高內網的安全性,只是需要犧牲VPN集中器的硬體資源。如 果企業有了防火牆,又需要部署VPN應用的話,那麼筆者建議各位網路管理員才,採用筆者這裡介紹的第三種部署方式,即讓VPN集中器與防火牆並行。

  為什麼這種方式比前兩種方式更加合理呢?根據筆者的認識,其優勢主要集中在如下幾個方面。

  一是此時企業內外網數據交流的通道已經有兩條。普通的內外網數據交換從防火牆走;而透過VPN請求的數據則從VPN集中器走。兩條道路各走各 的,互不相幹。如此的話,VPN集中器的數據處理壓力就會小的多。另外,在VPN集中器上進行的訪問規則的配置,隻對VPN請求有效。不會影響到其它的數 據流兩。

  二是可以提高企業內部網路的安全性。上面筆者談到過,若把VPN集中器放置在防火牆內部的話,需要對防火牆進行額外的調整。可能需要允許所有源 地址的IKE流量透過防火牆。這對企業內部網路的安全會造成不利影響。而如果把VPN集中器與防火牆並行的話,遠端用戶就直接使用VPN集中器的公網地址 進行廉潔,即在不經過防火牆設備直接與VPN集中器進行相連。這也就是說,防火牆不用再開放所有IP地址的IKE數據流量,遠端用戶也能夠如願以償的連接 到VPN集中器上進行遠端訪問。這就在很大程度上保障了企業內部網路的安全。

  另外,值得慶幸的是,遠端訪問用戶建立VPN連接之後,防火牆仍然把VPN集中器當作一個外部的實體。所以,防火牆的安全策略仍然對遠端用戶有 效。所以網路管理員可以在防火牆上使用單一的安全策略來限制用戶可以看到哪些資源不能夠看到哪些資源。不要小看這個功能,在實際工作中他非常有效。因為這 意味著企業網路管理員可以在一個平台上管理企業內部用戶與外部遠端訪問用戶的訪問權限。這對提高企業內部資訊的安全性具有非常重大的利益。

  不過這個方案也有一個不足的地方。由於VPN集中器與防火牆都同時面對互聯網路,也就是說,當遠端用戶需要連接到VPN集中器的時候,就需要同 時有兩個合法的公網地址。VPN集中器一個,防火牆一個。而現在不少的企業,往往只有一個合法的公網IP地址。這也就會給企業帶來額外的成本負擔。

  以上三種就是VPN集中器與防火牆的三種對應關係。筆者現在採用的是第三種,因為筆者認為第三種無論從安全或者管理上來說,都是非常方便的。雖然企業需要額外採用一個合法的公網IP地址,但是相對於其優勢來說,這個投資還是值得的。