扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
实现网络安全很难,实现网络安全的成本很高,由于迅速发展的商业应用和商业实践在企业网基础设施上展开,各个企业都试图了解和控制与之相关的风险
站点对站点的VPN
在一个企业网络环境中,主要有远程访问虚拟专用网、企业内部虚拟专用网和扩展的企业内部虚拟专用网。一个好的安全策略应该详细描述企业的基础结构、信息认证机制和访问权限,在很多情况下,它们将随着企业资源
有些办事处要求在多个LAN之间共享信息,例如在两个办事处的网关设备之间通过安全VPN隧道路由使得站点通过LAN共享信息,站点到站点VPN通过VPN隧道在两个网络之间建立一对一的端点关联,其中一个单独的VPN隧道保护多台主机和文件服务器之间的通信。最简单的形式是:两台服务器或者路由器建立加密的的IP通道,确保安全的从因特网上来回传递报文分组。VPN隧道端点设备在因特网创建逻辑的点对点连接。可以在每个网关设备上配置路由器,这样报文分组就可以在VPN链路上进行路由选择。
客户端到站点VPN
当客户端要求从网络的LAN外部访问站点内部数据时,该客户端需要发起一个客户端到站点的VPN连接。这就保证了到站点的LAN的路径的安全。客户端到站点VPN是许多隧道的集合,这些隧道出口是在LAN一侧的通用共享的端点,一个或者多个客户端可以访问VPN服务器发起安全VPN连接,从一个不安全的远程位置并发的对内部数据进行安全访问,客户端从服务器那里获得一个IP地址,这样客户端看起来就好像是服务器所在LAN的成员。
例如:许多客户端到站点VPN常常拥有一种机制,可以使得笔记本电脑用户能够安全的与企业办事处建立连接,其中一些VPN不要求用户认证机制,并且仅仅依赖设备认证。所以必须要特别谨慎,确保这些笔记本电脑的无力安全,避免发生任何危及安全的情况发生。
企业VPN安全应用
要想保证VPN数据流的安全,需要综合使用诸如身份识别、隧道和加密等技术。基于IP的VPN在两个网络设备之间提供了IP隧道,这些隧道要么是站点到站点的,要么是客户端到站点的。在两个设备之间发送的数据是经过加密的,这样就可以在已有的IP网络上建立起安全的网络路径。隧道技术就是一种在因特网上的两个设备之间建立虚拟路径或者点对点连接方式。大多数的VPN的实现都是使用隧道在两个设备之间建立一个私有网络路径。
有些VPN业通过使用安全壳隧道、安全套接层/传输层安全或其他安全应用协议展开创建。这些协议为特定应用提供了安全的端到端通信,有时还可以和此处所讨论的隧道协议共同使用。IPSec有两种使用模式:传输模式,保证了一个现有IP报文分组从源到目的地安全;隧道模式,把一个现有IP报文分组放入一个新IP报文中,新IP报文分组以IPSec格式发送到一个隧道端点。传输模式和隧道模式都可以封装在ESP或AH首部中。
IPSec传输迷失用户两个通信系统之间的IP信息流提供端到端的安全保证,比如保证一个TCP连接或一个UDP数据报的安全。IPSec隧道模式主要用于为网络中间节点、路由器或网关提供安全保证,保证了连接一个公共网络或不可信任的IP网络上的私有IP网到另一个私有IP网的隧道内的其他IP信息流的安全性。两种模式都需要通过因特网密钥交换在两台计算机之间进行一个复杂的安全协商。
当配置IPSec策略时,端点计算机使用IKE阶段1协商参数来建立一个安全的VPN通道,为通信双方之间的所有信息流建立一个主安全关联。这里要使用到设备认证和生成一个共享主密钥。接着系统使用IKE阶段2,为此时所尽力保护的应用程序信息流协商另一个安全关联,这包括生成共享会话密钥。只有这两台计算机知道所有的两套密钥。使用安全关联交换的数据收到了很好的保护,一面遭受到网络上可能存在的攻击者的修改或监听。密钥根据IPSec策略自动更新,根据管理员定义的策略提供适当的保护。
IPSec传输模式(AH或ESP)只适用于那些主机(也就是IPSec端点)是需要保护的信息流的发送方和接受方的主机实现。IPSec隧道模式对主机和安全网关都适用,尽管安全网关必须使用隧道模式。所有站点到站点VPN和客户端到站点VPN都使用某种安全网关,因而IPSec隧道模式用于大多数VPN调度。
网络地址转换(NAT)/端口地址转换(PAT)
因特网地址指派机构(IANA)保留如下3个地址段供私有网络使用:
10.0.0.0~10.255.255.255
172.16.0.0~172.31.255.255
192.168.0.0~192.168.255.255
如果一个企业决定采用私有地址寻址,就应当使用这些地址段。
使用NAT/PAT给很多协议带来了一系列挑战。在同一会话期间改变UDP或TCP源和目的端口号的应用程序可能破坏PAT映射。而且使用一个控制通道来交换
NAT与IPSec同时使用会引起很多问题。但是存在一个正在标准化的NAT穿越扩展,可以为很多NAT环境提供可互操作的解决方案。大规模的VPN主要要求采用IPSec协议或与L2TP/IPSec相结合来提供安全服务。一些组织选择了只使用PPTP或L2TP。但是因为IPSec提供了全面的安全服务,所以大多数安全VPN解决方案都应当采用IPSec。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。