ipsec虚拟专用网系统介绍(编辑修改稿)

ipsec虚拟专用网系统介绍(编辑修改稿)内容摘要：

SP 和 AH都是位于 IP 顶部，不使用端口的高层协议。 7 由于多到一地址转换，在许多部署远程接入客户机的环境中，是一种通常现象，有一种称之为 NAT 透明度的特殊机制，可克服这些 NAT 问题。 NAT 透明度可将 IKE 和 ESP 分组重新封装入另一传输层协议，如 UDP 或 TCP，那层的地址转换设备知道如何将其正确转换。 这种机制还允许客户机绕过网络的 接入控制，这种网络支持 TCP 或UDP，但却会阻碍加密信息流动。 注意，这种特性无论如何不会影响传输的安全性。 NAT 透明度将获取被 IPSec保护的分组，然后在 TCP 或 UDP 中再次封装。 IPSec 之前的 NAT 当两个站点通过 IPSec 连接，如果因站点的网址重复，隧道就不会建立，因为 VPN 端接设备无法确定向哪个站点提交分组。 在 IPSec 之前使用 NAT，由于将一组重叠网络转换入一个独特的网址范围，不会与 IPSec 隧道建立冲突，因而可克服这些缺陷。 这是建议使用 NAT 的唯一场合。 但是，要知道一些协议在分组数据分段中植 入了IP 地址。 通常当出现地址转换时，要确定是否为协议通晓设备执行的地址转换，不仅在 IP 报头中，也包括分组的数据分段。 如果由于植入了 IP 地址，分组在进入隧道前无法正确转换地址，那么，当分组离开隧道时，远程应用就无法接收到植入在数据分段中的正确 IP 地址。 在这种情况下，应用可能无法正常发挥功能。 当今的许多远程接入 VPN 客户机支持使用头端端接 VPN 设备所分配的虚拟地址。 利用这一虚拟地址，远程站点的设备可与远程接入客户机连接。 这实际上是由穿越隧道的所有分组的一到一地址转换来完成的。 如果 VPN 客户机无法正确完成分组的地 址转换，或出现了一个不支持的新应用，那么，应用就可能无法发挥功效。 总之，在您的站点和远程接入 VPN 客户机虚拟地址池，它与您通过 IPSec 连接的其他设备地址不重复，此时可使用地址范围。 如果不可能的话，仅在这种情况下使用 NAT，以支持连接。 不要隐藏 VPN 设备的公共对等地址，因为这样并未提供真正的安全增值，而且可能会造成连接出现问题。 当您认为 NAT 有介入而且远程接入客户机无法成功地建立隧道或在已建立的隧道上发送分组时，可考虑实施 NAT 透明度模式。 要知道 NAT 透明度模式并不会解决与对 NAT 不友好的客户机应用相关 的连接问题。 单一目的和多目的设备 在网络设计过程中，您需要选择是在联网或安全设备中采用集成功能，还是采用 VPN 设备的特殊功能。 集成功能通常是很吸引人的，因为您可以在现行设备上实施，且该设备经济有效，其特性可与其他设备互操作，从而提供功能更理想的解决方案。 指定的 VPN 设备通常在对功能的要求很高、或性能要求使用特殊硬件时，才会使用。 当决定了采取何种选项，可根据设备的容量和功能对决策进行权衡，并与集成设备的功能优势相对照。 例如，有时您可以选拔集成型高容量 CiscoIOS 路由器和 IPSec 加密软件，而非较小型的 CiscoIOS Router 以及相关 VPN 设备。 在整个体系结构中，两类系统都有所使用。 由于 IPSec 是一种要求严格的功能，随着设计规模的提高，选择 VPN 设备取代集成型路由器或防火墙的可行性也日趋增大。 注意，对 VPN 设备这一概念的了解不是件容易的事情。 当今的许多 VPN 设备可提供理想的性能和 VPN 管理选项，与此同时，也提供有限的路由选择，防火墙或 COS 功能，而它们可能与集成设备有关。 如果所有这些高级功能都得以实现，从性能和部署选项的角度来看，这种设备也开始越来越像集成型设备。 同样，除了路由选择和安全特性的全面 实施以外，可支持全部VPN 功能的 VPN 路由器，可在 VPN 单独环境中进行配置，其特征更象一种应用。 入侵检测、网络接入控制、信任和 VPN 在考虑 VPN 技术的部署时，请记住，通过这样做，您正在扩展网络的安全范围，从而将一些通常并不重视高安全性的领域容纳了进来，它们包括：  员工家庭  机场  宾馆 8  网吧 作为一家机构，需要首先回答的问题是 VPN 技术自身和使用它的周围应用和硬件的信任程度如何。 得出结论的一个好办法是回答下列问题：作为一家机构，您是希望信任来自 VPN 的个人或远程站点，就像信任通过专用 WAN链路连接的 本地员工和站点一样吗 ?如果您的答案为“是”，那么，您就应该部署 VPN 技术，就如同您部署当今的专用 WAN 链路和调制解调器池一样。 但是，这只是思科公司的情况，对其大部分 VPN 链接的客户的信任则应相对谨慎。 因此， IPSec VPN 在部署时，周围通常环绕着多层接入控制和入侵检测。 虽然配备 3DES 的 IPSec 十分安全，存储密钥的人为不安全性和设备的配置错误，为保证其他安全性能造成了极大的不确定性；更不要提膝上型电脑失窃和特洛伊木马了。 本文主要是为后者而写的。 如果您遭遇到前面的情况，您会发现这里的许多信息都是极有价值的 ，虽然您可能会觉得这些设计太注重于安全了。 网络入侵检测系统 网络入侵检测系统 (NTDS)是一项用于减少与扩展安全范围有关风险的技术。 有 VPN 设计中， NIDS 完成了两项基本功能。 首先， NIDS 可用于分析源自或送至 VPN 设备的信息流。 在这里， NIDS 将检测从远程站点或远程用户穿过 VPN 的攻击。 因为我们知道该信息流的初始地，发生欺骗行为的机率较低，任何攻击都会引发来自 NTDS 的强烈反应。 这种反应包括规避或 TCP 重设。 NIDS 在许多 VPN 环境中都发挥着关键作用，因为大多数 VPN 安全策略表明，第三层和第四层 VPN 网络接入几乎是无所不在的。 这种设置提高了对 NIDS 捕获和停止大多数源于远程站点的攻击的依赖性。 其次， NIDS 可用于加密后，确认仅仅是加密信息流被发送并由 VPN 设备接收。 通过将 NIDS调至任一非 VPN 分组报警，您可确认只有加密分组流过网络。 这种设备可防止 VPN 设备的任何错误配置，因而可阻止未加密信息流穿过设备。 该功能在大型网络 VPN 设计中进行了更详细的论述。 网络接入控制 除 NIDS 以外，通常使用防火墙的接入控制应该在 VPN 设备前后设置。 随着信息流向园区网，当在 VPN 设备内部实施接入控制时，可确保只有许可的 相应地址范围和协议得到支持，如前所述， VPN 接入的大多数策略倾向于允许远程用户使用本地 LAN 上几乎所有协议。 因此，要对您不希望远程用户社区接入的协议进行定义，与定义希望接入的协议相比，则相对简单。 在更大型的部署中，将各类 VPN 与离散的网络接入控制点分隔开来会有所帮助。 这可以通过为各类 VPN 提供专用防火墙接口来完成，如同在大型 VPN 设计中所做的一样。 该设置支持不同 VPN 应用享有不同的信任级别。 例如，一家机构可能会认为它信任站点到站点 VPN 要比信任远程接入 VPN 多一些。 这种更好的信任是源于，在站点到站点的情 况下，您知道您的远程对等设备 IP 地址并在使用数字证书，而在远程接入 VPN 的情况下，您通常不知道您的远程对等设备的地址，并且依赖于与次级验证相结合的分组预共享密钥，以允许您的用户接入网络。 当按这种方式部署时， VPN 信息流可根据它所抵达的接入控制设备的接口进行过滤。 VPN 设备的输出过滤（向公共网）也是十分重要的。 这种过滤可帮助确保 VPN 设备只见到 IPSec 信息流出入共公共接口。 通常，这种过滤可通过带标准 ACL 的路由器来完成，由于用标准 ACL 替代了防火墙，从而可将防火墙安置在 VPN 设备后面，如前所述。 该设置与 当今的许多部署形成了鲜明的对照， 当今的部署都将防火墙安置在VPN 设备的前面。 当安置在前面时，对用户信息流的种类不具备可视性，因为信息流依然是加密的。 防火墙在VPN 设备前所能提供的大多数优势此时已丧失殆尽 ， 因为 IPSec 信息流无法被大多数防火墙智能地过滤。 管理员需要在防火墙上开一个洞，以允许信息流过（即用于 IKE 的 UDP500 和用于 ESP 的 IP50)。 在这一点上，就像路由器上标准分组过滤器的行为一样。 建议使用 VPN 设备自身的过滤输入，以允许只有 IKE 和 ESP 得到支持。 如果 NAT透明度机制得以实施，您应该只允许 特别的 UDP 或 TCP 端口连接到 VPN 设备。 通常这种接入控制功能可作为 IPSec 功能，存在于相同的硬件平台。 如果您的 VPN 设备也拥有稳定的防火墙， 9 或当远程用户利用拥有 VPN 客户机软件和个人防火墙的膝上电脑连接时，则可做到这一点。 分离隧道 当远程 VPN 用户或站点被允许接入公共网（互联网），与此同时，他未先将公共网络信息流安置在隧道内，就接入了专用 VPN 网络，此时就出现了分离隧道。 如果分离隧道未设置，远程 VPN 用户或站点将需要把所有信息传输通过 VPN 头端，在那里将进行加密和审查，然后再发送至公开的公共网。 例如，拨打本地互联网接入服务供应商（ ISP），并通过 IPSec 客户机上公司连接的远程接入用户，拥有二项选择。 一是让用户在 VPN 连接上仅传递公司内部数据。 浏览网络可直接通过他的 ISP 进行。 第二个选项是让用户将所有信息流（包括互联网信息流）首先传递至头端，然后再路由至公司网络或向外至互联网。 对两种技术进行抉择通常要视您对远程站点或用户的信任度而定。 为提高这些用户的信任度，可考虑使用额外的安全技术，如个人防火墙或病毒搜索。 希望使用分离隧道的远程站点应拥有稳定的防火墙，以便对允许出入远程站点的明码文本信息流进行控制。 同样，远程用户（在连接 VPN 的同时和未连接 VPN 时）应运行防火墙以过滤信息流，并完成病毒搜索。 甚至在分离隧道不支持的情况下，个人防火墙经常也是十分必要的，因为用户并非总是在 VPN 上连接的。 移动用户可能会通过宾馆中的高速互联网接入来连接并浏览网络，此时并未连接公司网络。 如果没有个人防火墙，该系统无论何时未连接至 VPN，都会暴露在攻击下。 同样，许多硬件 VPN 设备也使用 NAT，并将其作为防火墙加以利用。 以作者的观点看来， NAT 不是一种安全特性，不应该这样部署。 即使地址是隐含的，但未进行分组过滤或序列号检查， 受 NAT 保护的系统也会暴露于外在的攻击下。 一种单纯依靠 NAT 的安全环境并非是一个真正的安全环境。 当使用这些设备时，为设置在设备后面的PC 提供个人防火墙是十分重要的。 即使在分离隧道不支持的情况下，如果主机在漫游中（如膝上电脑），此时个人防火墙则是必备的。 在考虑到实施分离隧道的安全性风险时，也会很容易得出下述结论，对此完全不必过滤。 事实上，不实施分离隧道会给 VPN 头端造成巨大负载，因为所有互联网相关信息流都需要流经头端设备的 WAN带宽。 使用 WAN 资源并非理想的选择，经常会导致在远程站点做出实施相应安全技术的决定 ，以支持分离隧道的生成。 在 SAFE VPN 中，远程站点除了特殊情况外，都假设实施了分离隧道。 如果不支持分离隧道，而设计不会改变，那么由于头端的流量负载加大，性能和扩展就会产生少许变化。 部分网状、全部网状、分布式和星型网络 在任一网络拓扑结构上铺设 VPN 时，许多因素都会影响网络的可扩展性和性能。 这些因素中包括与明码信息流处理和加密，硬件加速和软件 IPSec，配置复杂性、高可用性、相关安全性（防火墙 IDS 等）。 路由选择对等设备的数量和被跟踪的网络。 全部网状网络会迅速地陷入可扩展性的困境之中，因为网络中的每台 设备都必须通过一个独特的 IPSec 隧道与网络中的其他设备交流。 这就是 n(n1)/2 隧道模式，对于 50 节点网络而言，就是1225 条隧道，配置的复杂性是巨大的，在某些情况下扩大网络的规模已经变得不现实。 许多隧道也都存在性能问题。 部分网状网络与全部网状网络相比，有较大的可扩展空间，因为内部分支的连接只是根据需要才建立。 与全部网状网络中的设备相同的是，在这种拓扑结构中的限制因素是，在 CPU 合理应用的前提下，设备可支持的隧道数量。 这二种网络都可运用一种动态隧道端点搜索机制，以简化配置和提高可扩展性。 但是，如同在“说明”一节中所描述的一样，这些网络不在本文的讨论范畴之内。 中心辐射型网络可以更理想地扩展，因为头端集线器站点可扩展，以满足日越发展的分支容量需求。 需连接其他远程站点的低容量分支通过集线器站点实现连接。 但是，所有流量都渡过集线器站点，而且这种设备要求大量的带宽，因为它包括了所有分支到分支信息流，以及中心辐射信息流。 并非所有头端 VPN 设备都支持分支到分支内部通信。 远程站点可能要配置分离隧道，视头端所选择的设备类型而定。 例如，防火墙模式是在所有站点实施分离隧道，因而无需集线器防火墙处理分支到分支信息流。 如果信息 流路由选择是区域性的或存在其他要求，而此时大多数信息流并不要求通过集线器站点接入网络，那么，就可以考虑利用分布层来降低头端的带宽要求，因而提高了网络的可扩展性。 10 互操作性与混合和同种设备部署 虽然 IPSec 是一种已证实的标准，但 Request for Comments(RFC)依然为它的解释留下了充足的空间。 另外，互联网草案，如 IKE 模式配置和供应商专用特性，提高了互操作问题出现的可能性。 例如 IPSec 判断隧道上 /下状态和远程对等设备的可接入性并无一定的标准。 因为这些缘故，您应该对供应商产品的互操作信息及 其在互操作性评比中的表现情况进行综合评价。 通常，发生微许配置和代码（有时）改变，对于在可靠的状态下推动互操作性是必要的。 意识到这些变化会影响到。