| |
典型的防火墙策略是主防火墙采用NAT模式,而内部防火墙采用透明模式工作,以减少内部网络结构的复杂程度,提高网络连接性能。除远程访问和VPN访问外,来自互联网的网络访问只能限制在外部DMZ区对外开放的资源上,不可进入内部DMZ区,更不可能进入受保护的内部网络之中。
VPN(虚拟企业专网)是目前最新的网络技术之一,它的主要优点通过公网,利用隧道技术进行虚拟连接,相比专线连接来说可以大幅降低企业通信成本(降低幅度在70%左右),加上随上VPN技术的发展,VPN通信的安全问题已基本得到解决,所以目前它是一种企业首选通信方式,得到了广大企业用户的认可和选择。目前存在几个典型的VPN隧道协议,包括IPsec、PPTP、L2TP等。通过VPN技术可以实现对用户内部网络的扩展,同时为用户带来网络使用成本上的巨大节省。
在防火墙网络中对VPN服务器进行配置的方法有两种:
(1)、传统边界防火墙方式
这一方式中,VPN服务器位于边界防火墙之后,防火墙必须打开内外网络之间相应的VPN通信服务端口,这可能带来安全隐患,这也是传统边界防火墙不能很好地VPN通信的原因。因为VPN通信中数据包内容是加密过的,所以边界防火墙无法检测内外网络之间的通信内容,也就无法从中获取过滤信息,这样防火墙很难有效地实现对网络的访问控制、审计和病毒检测。因为VPN服务器与传统边界2、 VPN通信配置防火墙的上述矛盾,所以远程攻击者对很可能将VPN服务器作为攻击内部网络的跳板,给内部网络带来非常大的不安全因素。为了提高网络的安全性,最好再加上如图9中配置的第二道防火墙:内部防火墙,把VPN服务器放置在外部DMZ区中。
(2)、使用VPN专用防火墙
针对传统边界防火墙与VPN通信的上述矛盾,网络设备开发商就特定为VPN通信开发VPN防火墙。集成VPN技术的防火墙,就可以正确识别VPN通信中的数据包,并且加密的数据包也只在外部VPN客户端与防火墙之间,有交地避免了前种方案中数据包无法识别的弊端。但不是所有厂商的防火墙都支持内置的VPN服务增值功能。此方案的典型配置如图10所示。
 |
| 【收藏】【打印】【进入论坛】 |
|
|
|
|
| |
|
|
|
