識別和IPSec接入控制
設(shè)備驗證采用了預(yù)共享密鑰或數(shù)字證書,以提供設(shè)備身份,預(yù)共享密鑰有三種:通配符、分組和獨立。獨立預(yù)共享密鑰與某一IP地址有關(guān),分組預(yù)共享密鑰與一組名稱有關(guān),僅適用于當(dāng)今的遠(yuǎn)程接入。通配符共享密鑰不可應(yīng)用于站點到站點設(shè)備驗證。數(shù)字證書與獨立預(yù)共享密鑰相比,可更理想地擴(kuò)展,因為它允許一臺設(shè)備驗證其他設(shè)備,但不具備通配符密鑰的安全特性。數(shù)字證書與IP地址無關(guān),而是與企業(yè)CA認(rèn)證的設(shè)備上獨特的標(biāo)志信息有關(guān)。
IPSec
IPSec提供了多種安全特性,對于管理員如何確定其工作方式提供了可配置選擇:數(shù)據(jù)加密、設(shè)備驗證,以及保密、數(shù)據(jù)完整性、地址隱藏和安全機(jī)構(gòu)(SA)密鑰老化等功能。IPSec標(biāo)準(zhǔn)要求使用數(shù)據(jù)完整性或數(shù)據(jù)加密兩種功能之一,具體使用哪個可任選。思科公司強烈建議加密和完整性二者都使用。而改變以上那些數(shù)值會提高安全水平,但與此同時, 也增加了處理器開支。
IP編址
正確的IP編址對于用作大型IP網(wǎng)絡(luò)的VPN的成功有著重要意義。為保持可擴(kuò)展性、性能和可管理性,強烈建議遠(yuǎn)程站點使用主網(wǎng)的子網(wǎng),以便進(jìn)行歸納。增加ACL輸入會降低性能,使故障查尋復(fù)雜化并影響可擴(kuò)展性,適當(dāng)?shù)淖泳W(wǎng)化還可支持簡化的路由器頭端配置,以實現(xiàn)分支到分支相互交流,要對所有設(shè)備的信息流進(jìn)行歸類,所需的隧道也較少。IP編址還可影響VPN的多個方面,包括重疊網(wǎng)絡(luò)的遠(yuǎn)程管理連接。
多協(xié)議隧道
IPSec作為一種標(biāo)準(zhǔn),只支持單點廣播流量。對于多協(xié)議或IP多點廣播隧道,必須使用另一種隧道協(xié)議。
網(wǎng)絡(luò)地址轉(zhuǎn)換
NAT可發(fā)生于IPSec之前或之后。了解NAT何時發(fā)生是十分重要的,因為在某些情況下,由于隧道構(gòu)建受阻或信息流穿過隧道,NAT都可能對IPSec構(gòu)成影響。除非提供接入是必須的,否則將NAT應(yīng)用于VPN流量將不失為上策。
單一目的和多目的設(shè)備
在網(wǎng)絡(luò)設(shè)計過程中,您需要選擇是在聯(lián)網(wǎng)或安全設(shè)備中采用集成功能,還是采用VPN設(shè)備的特殊功能。集成功能通常是很吸引人的,因為您可以在現(xiàn)行設(shè)備上實施,且該設(shè)備經(jīng)濟(jì)有效,其特性可與其他設(shè)備互操作,從而提供功能更理想的解決方案。指定的VPN設(shè)備通常在對功能的要求很高或性能要求使用特殊硬件時,才會使用。當(dāng)決定了采取何種選項,可根據(jù)設(shè)備的容量和功能對決策進(jìn)行權(quán)衡,并與集成設(shè)備的功能優(yōu)勢相對照。在整個體系結(jié)構(gòu)中,兩類系統(tǒng)都有所使用。由于IPSec是一種要求嚴(yán)格的功能,隨著設(shè)計規(guī)模的提高,選擇VPN設(shè)備取代集成型路由器或防火墻的可行性也日趨增大。注意,對VPN設(shè)備這一概念的了解不是件容易的事情。當(dāng)今的許多VPN設(shè)備可提供理想的性能和VPN管理選項,與此同時,也提供有限的路由選擇、防火墻或CoS功能,而它們可能與集成設(shè)備有關(guān)。如果所有這些高級功能都得以實現(xiàn),從性能和部署選項的角度來看,這種設(shè)備也開始越來越像集成型設(shè)備。同樣,除了路由選擇和安全特性的全面實施以外,可支持全部VPN功能的VPN路由器,可在VPN單獨環(huán)境中進(jìn)行配置,其特征更象一種應(yīng)用。
入侵檢測、網(wǎng)絡(luò)訪問控制、信任和VPN
IPSec VPN在部署時,周圍通常環(huán)繞著多層訪問控制和入侵檢測。網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)是一項用于減少與擴(kuò)展安全范圍有關(guān)風(fēng)險的技術(shù)。在VPN設(shè)計中,NIDS完成了兩項基本功能。首先,NIDS可用于分析源自或送至VPN設(shè)備的信息流。其次,NIDS可用于加密后,確認(rèn)僅僅是加密信息流被發(fā)送并由VPN設(shè)備接收。
除NIDS以外,通常使用防火墻的訪問控制應(yīng)該在VPN設(shè)備前后設(shè)置。當(dāng)今的部署都將防火墻安置在VPN設(shè)備的前面。當(dāng)安置在前面時,對用戶信息流的種類不具備可視性,因為信息流依然是加密的。防火墻在VPN設(shè)備前所能提供的大多數(shù)優(yōu)勢此時已喪失殆盡。
分離隧道
當(dāng)遠(yuǎn)程VPN用戶或站點被允許接入公共網(wǎng)(互聯(lián)網(wǎng)),與此同時,他未先將公共網(wǎng)絡(luò)信息流安置在隧道內(nèi),就接入了專用VPN網(wǎng)絡(luò),此時就出現(xiàn)了分離隧道。
事實上,不實施分離隧道會給VPN頭端造成巨大負(fù)載,因為所有互聯(lián)網(wǎng)相關(guān)信息流都需要流經(jīng)頭端設(shè)備的WAN帶寬。
在SAFE VPN中,遠(yuǎn)程站點除了特殊情況外,都假設(shè)實施了分離隧道。如果不支持分離隧道,而設(shè)計不會改變,那么由于頭端的流量負(fù)載加大,性能和擴(kuò)展性就會產(chǎn)生少許變化。
部分網(wǎng)狀、全部網(wǎng)狀、分布式和星型網(wǎng)絡(luò)
在任一網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上鋪設(shè)VPN時,許多因素都會影響網(wǎng)絡(luò)的可擴(kuò)展性和性能。全部網(wǎng)狀網(wǎng)絡(luò)會迅速地陷入可擴(kuò)展性的困境之中,因為網(wǎng)絡(luò)中的每臺設(shè)備都必須通過一個獨特的IPSec隧道與網(wǎng)絡(luò)中的其他設(shè)備交流。這就是n(n-1)/2隧道模式,在某些情況下擴(kuò)大網(wǎng)絡(luò)的規(guī)模已經(jīng)變得不現(xiàn)實。許多隧道也都存在性能問題。部分網(wǎng)狀網(wǎng)絡(luò)與全部網(wǎng)狀網(wǎng)絡(luò)相比,有較大的可擴(kuò)展空間。與全部網(wǎng)狀網(wǎng)絡(luò)中的設(shè)備相同的是,在這種拓?fù)浣Y(jié)構(gòu)中的限制因素是,在CPU合理應(yīng)用的前提下,設(shè)備可支持的隧道數(shù)量。這兩種網(wǎng)絡(luò)都可運用一種動態(tài)隧道端點搜索機(jī)制,以簡化配置和提高可擴(kuò)展性。中心輻射型網(wǎng)絡(luò)可以更理想地擴(kuò)展,但是,所有流量都渡過集線器站點,而且這種設(shè)備要求大量的帶寬。
互操作性與混合和同種設(shè)備部署
雖然IPSec是一種已證實的標(biāo)準(zhǔn),但RFC依然為它的解釋留下了充足的空間。另外,互聯(lián)網(wǎng)草案,如IKE模式配置和供應(yīng)商專用特性,提高了互操作問題出現(xiàn)的可能性。因為這些緣故,您應(yīng)該對供應(yīng)商產(chǎn)品的互操作信息及其在互操作性評比中的表現(xiàn)情況進(jìn)行綜合評價。此外,為確保單一供應(yīng)商產(chǎn)品間的互操作性,最好在所有平臺上使用同一代碼庫。
網(wǎng)絡(luò)運營
在中央IT模式運營中,需要通過中央站點VPN對遠(yuǎn)程站點進(jìn)行管理。VPN設(shè)備可支持多種配置選項,以確定隧道端點,視所采用的方式而定,這些選項可能會對網(wǎng)絡(luò)的管理性能產(chǎn)生影響。要高效地管理遠(yuǎn)程設(shè)備,您必須在您的管理應(yīng)用所在的站點使用靜態(tài)加密映像。您不可以在頭端和動態(tài)加密映像。動態(tài)加密映像只接受進(jìn)入的IKE請求,但無法初始化它們,因此,要始終保證在遠(yuǎn)程設(shè)備和頭端站點間存在一條隧道。靜態(tài)加密映像配置包括遠(yuǎn)程對等設(shè)備的靜態(tài)IP地址,因此,遠(yuǎn)程站點必須使用靜態(tài)IP地址來支持遠(yuǎn)程管理。
壓縮
第二層壓縮未提供VPN信息流鏈路帶寬削減功能。第三層壓縮,發(fā)生于加密之前,的確可使數(shù)據(jù)量降低。考慮到第三層壓縮在當(dāng)今的大多數(shù)硬件加速器中都不支持,因而當(dāng)使用時,對CPU要求非常嚴(yán)格。 #p#分頁標(biāo)題#e#
遠(yuǎn)程接入用戶要求
當(dāng)用戶不在辦公室和不在控制區(qū)時,思科公司建議您對他們到內(nèi)部網(wǎng)和互聯(lián)網(wǎng)的連接進(jìn)行控制。如果您選擇分離隧道要確保安裝、更新和運行個人防火墻,以及在遠(yuǎn)程接入客戶機(jī)上擁有一個有效的安全策略。思科公司建議您在未實施防火墻的情況下,不要在客戶機(jī)上實施分離隧道。
高可用性
目前,有兩種機(jī)制可用于確定遠(yuǎn)程對等設(shè)備的可用性和隧道建立狀態(tài):路由選擇和IKE保持激活信息。路由器可支持兩種機(jī)制,而防火墻、集中器和遠(yuǎn)程接入客戶機(jī)則支持IKE保持激活信息。
