VPN集中器如何与防火墙和平共处

VPN为专用网络之间通过公共网络实现加密连接。通俗的说,VPN主要用来解决远程访问的需求。到目前为止,VPN是用的最普遍的远程访问解决方案。为此思科公司也专门设计了VPN集中器来帮助企业实现VPN的部署。

思科提供的VPN集中器基本上可以实现企业VPN方面的全部需求,VPN集中器的主要作用就是通过远程接入VPN来为远程用户提供接入服务。不过在部署思科VPN集中器的时候,需要考虑如何跟防护墙和平共处。由于VPN集中器可以防止在网络不同的位置中。如可以跟防火墙并行防止,也可以防止防火墙的外围,也可以放在内部等等。虽然其位置没有限制,但是在部署的时候,网络管理员需要注意其与防火墙位置的不同,要求与功能也略有差异。网络设计人员需要注意这些差异,才能给VPN集中器选择一个合适的位置让其安家。也只有如此,VPN集中器才能够发挥其应有的作用。

位置一:把VPN集中器放置在防火墙外面

其实,VPN集中器也有部分防火墙的保护功能,所以把其放置在防火墙的外面可以提供额外的安全保障。因为通过VPN集中器连接企业的内外网,可以在集中器的接入口使用相关的访问规则来提高企业网络的安全性。也就是说,VPN集中器可以实现部分防火墙功能。当远程用户通过互联网接入到VPN集中器时,这是一种非常行之有效的解决方案。因为若如此配置的话,本地站点并不需要外部因特网接入。

如果采用这种配置方式的话,网络管理员需要注意两点。

一是对于网络安全不是特别苛刻的企业,有时候甚至可以利用VPN集中器来代替防火墙。因为在其接入口本身就可以配置相关的访问规则,来提到防火墙的部分功能,保护企业网络的安全。故企业如果有了VPN集中器的话,还可以省去防火墙的投资。所以,这对部分企业来说,是一个不错的选择。

二是需要注意流量的问题。上面说到的这一点可以说是这么部署的好处。那么现在这个流量问题则是其不足之处了。如果按照上面这么部署的话,有一个很大的缺点,就是企业内外网络数据的交换都需要通过集中器来处理,因为此时集中器在企业内外商数据交换的主干通道上。故道企业内外数据交换比较频繁的话,则会给集中器性能带来比较大的压力。若企业真的准备这么部署的话,那网络管理员就需要根据企业的实际情况,选择合适的VPN集中器。如果有比较频繁的数据交换,如视频会议、电子商务等等网络应用比较频繁的话,那最好能够选择配置高一点的VPN集中器。

位置二:把VPN集中器放置在防火墙的内部

网络管理员也可以把防火墙放置在防火墙的内部,即防火墙与企业边界路由器之间。当把集中器部署在防火墙内部的话,那么防火墙将是直接接触企业外网设备。也就是说,防火墙是保障企业内网安全的第一道防线。不过话说回来,虽然防火墙已经起到了保护企业内部网络的目的,但是,VPN集中其仍然需要进行一些接入规则的配置,来提高VPN网络的安全性。如要在接入规则上,对接入用户的访问权限进行控制。普通用户不能够修改VPN集中器的配置等等。也就是说,关于VPN接入的相关安全控制,仍然需要VPN集中器来实现。这有利于VPN接入的管理,有利于提高VPN的安全性,为企业提供一个比较安全的远程网络访问环境。

另外,如果采用这种部署方式的话,由于VPN集中器仍然处在企业内外网数据交互的唯一通道上。所以,企业内外网需要进行数据交换时,所有的数据都要通过VPN集中器。当VPN远程访问与企业内外网数据交换同时大量发生时,就将给VPN集中器带来比较大的压力。这跟第一种部署方式的通病是一样的。

再者,这种部还是需要注意一点。由于防火墙放置在VPN集中器的前面。这也就是说,如果用户需要进行远程访问的话,那么这个远程连接的请求必须要先通过防火墙。所以为了远程用户能够顺利连接到VPN集中器中,必须要在防火墙上进行一些额外的配置,允许VPN连接请求顺利通过防火墙。如远程访问者有固定的IP地址,则在防火墙配置中要允许这个IP地址的通信流量通过。这种情况往往出现在公司不同局域网之间的互联。如远程办事处等等,他们往往有固定的IP地址。但是,有些情况也可能没有固定的IP地址。如一些个人用户,他们出差时不知道在哪里。为此,防火墙就要允许所有源地址的IKE等数据流通过防火墙。否则的话,远程用户就有可能无法连接到VPN集中器上,因为其连接请求直接被防火墙所阻挡。故如果网络管理员要采用这种布置的话,就必须对防火墙进行额外的配置。同时,为了企业内部网络的安全,如果企业主要利用VPN来进行不同局域网之间的连接,那么最好在防火墙配置的时候,进行IP地址的限制。不要因为VPN虚拟专用网的应用而降低了企业内部网络的安全性。

位置三:VPN集中器与防火墙并行

上面两种方案中,我们看到都有一些难以克服的缺点。如以上两种方法VPN集中器都处在企业内外网数据传输的唯一线路上,这会额外增加VPN集中器的数据处理负担。另外,第二种方案需要更改防火墙配置,如需要允许所有源地址的IKE数据流量,是以牺牲防火墙的安全保护功能为代价的。所以,以上两种处理方式笔者认为不是最优的处理方式。当然,企业如果不部署防火墙的话,可以采用第一种方式来提高内网的安全性,只是需要牺牲VPN集中器的硬件资源。如果企业有了防火墙,又需要部署VPN应用的话,那么笔者建议各位网络管理员才,采用笔者这里介绍的第三种部署方式,即让VPN集中器与防火墙并行。

为什么这种方式比前两种方式更加合理呢?根据笔者的认识,其优势主要集中在如下几个方面。

一是此时企业内外网数据交流的通道已经有两条。普通的内外网数据交换从防火墙走;而通过VPN请求的数据则从VPN集中器走。两条道路各走各的,互不相干。如此的话,VPN集中器的数据处理压力就会小的多。另外,在VPN集中器上进行的访问规则的配置,只对VPN请求有效。不会影响到其它的数据流两。

二是可以提高企业内部网络的安全性。上面笔者谈到过,若把VPN集中器放置在防火墙内部的话,需要对防火墙进行额外的调整。可能需要允许所有源地址的IKE流量通过防火墙。这对企业内部网络的安全会造成不利影响。而如果把VPN集中器与防火墙并行的话,远程客户就直接使用VPN集中器的公网地址进行廉洁,即在不经过防火墙设备直接与VPN集中器进行相连。这也就是说,防火墙不用再开放所有IP地址的IKE数据流量,远程用户也能够如愿以偿的连接到VPN集中器上进行远程访问。这就在很大程度上保障了企业内部网络的安全。

另外,值得庆幸的是,远程访问用户建立VPN连接之后,防火墙仍然把VPN集中器当作一个外部的实体。所以,防火墙的安全策略仍然对远程用户有效。所以网络管理员可以在防火墙上使用单一的安全策略来限制用户可以看到哪些资源不能够看到哪些资源。不要小看这个功能,在实际工作中他非常有效。因为这意味着企业网络管理员可以在一个平台上管理企业内部用户与外部远程访问用户的访问权限。这对提高企业内部信息的安全性具有非常重大的利益。

不过这个方案也有一个不足的地方。由于VPN集中器与防火墙都同时面对互联网络,也就是说,当远程用户需要连接到VPN集中器的时候,就需要同时有两个合法的公网地址。VPN集中器一个,防火墙一个。而现在不少的企业,往往只有一个合法的公网IP地址。这也就会给企业带来额外的成本负担。

以上三种就是VPN集中器与防火墙的三种对应关系。笔者现在采用的是第三种,因为笔者认为第三种无论从安全或者管理上来说,都是非常方便的。虽然企业需要额外采用一个合法的公网IP地址,但是相对于其优势来说,这个投资还是值得的。