|
典型的防火墻策略是主防火墻采用NAT模式,而內部防火墻采用透明模式工作,以減少內部網絡結構的復雜程度,提高網絡連接性能。除遠程訪問和VPN訪問外,來自互聯(lián)網的網絡訪問只能限制在外部DMZ區(qū)對外開放的資源上,不可進入內部DMZ區(qū),更不可能進入受保護的內部網絡之中。
VPN(虛擬企業(yè)專網)是目前最新的網絡技術之一,它的主要優(yōu)點通過公網,利用隧道技術進行虛擬連接,相比專線連接來說可以大幅降低企業(yè)通信成本(降低幅度在70%左右),加上隨上VPN技術的發(fā)展,VPN通信的安全問題已基本得到解決,所以目前它是一種企業(yè)首選通信方式,得到了廣大企業(yè)用戶的認可和選擇。目前存在幾個典型的VPN隧道協(xié)議,包括IPsec、PPTP、L2TP等。通過VPN技術可以實現(xiàn)對用戶內部網絡的擴展,同時為用戶帶來網絡使用成本上的巨大節(jié)省。
在防火墻網絡中對VPN服務器進行配置的方法有兩種:
(1)、傳統(tǒng)邊界防火墻方式
這一方式中,VPN服務器位于邊界防火墻之后,防火墻必須打開內外網絡之間相應的VPN通信服務端口,這可能帶來安全隱患,這也是傳統(tǒng)邊界防火墻不能很好地VPN通信的原因。因為VPN通信中數(shù)據包內容是加密過的,所以邊界防火墻無法檢測內外網絡之間的通信內容,也就無法從中獲取過濾信息,這樣防火墻很難有效地實現(xiàn)對網絡的訪問控制、審計和病毒檢測。因為VPN服務器與傳統(tǒng)邊界2、 VPN通信配置防火墻的上述矛盾,所以遠程攻擊者對很可能將VPN服務器作為攻擊內部網絡的跳板,給內部網絡帶來非常大的不安全因素。為了提高網絡的安全性,最好再加上如圖9中配置的第二道防火墻:內部防火墻,把VPN服務器放置在外部DMZ區(qū)中。
(2)、使用VPN專用防火墻
針對傳統(tǒng)邊界防火墻與VPN通信的上述矛盾,網絡設備開發(fā)商就特定為VPN通信開發(fā)VPN防火墻。集成VPN技術的防火墻,就可以正確識別VPN通信中的數(shù)據包,并且加密的數(shù)據包也只在外部VPN客戶端與防火墻之間,有交地避免了前種方案中數(shù)據包無法識別的弊端。但不是所有廠商的防火墻都支持內置的VPN服務增值功能。此方案的典型配置如圖10所示。
![請?zhí)砑用枋?src="/Files/BeyondPic/2008-6/12/1082558982302.jpg"]() |
【收藏】【打印】【進入論壇】 |
|
|
|
|
|
|
|