本文主要介紹了VPN連接的威脅防御，思科遠程接入VPN解決方案，SSL VPN，基于IPSec的遠程接入等方面的技術(shù)，同時向大家介紹了如何連接VPN。

Cisco? ASA 5500 系列自適應安全設備是專為中小企業(yè)（SMB）和大型企業(yè)應用開發(fā)的平臺，將最高安全性與VPN服務有機地結(jié)合在一起。Cisco ASA 5500 系列自適應威脅防御解決方案基于防火墻、入侵防御系統(tǒng)（IPS）和網(wǎng)絡防病毒功能。作為專用VPN平臺，該解決方案可以獨立使用，也可以與其它解決方案配合使用。

對于VPN服務，由于Cisco ASA 5500 系列提供靈活的技術(shù)，因而能根據(jù)遠程接入和站點到站點連接要求，提供定制的解決方案。Cisco ASA 5500 系列提供易于管理的IP Security（IPsec）和安全套接字層（SSL）VPN遠程和網(wǎng)絡敏感型站點到站點VPN連接，使企業(yè)能夠通過公共網(wǎng)絡為移動用戶、遠程站點和業(yè)務合作伙伴創(chuàng)建安全連接。利用Cisco ASA 5500 系列，各機構(gòu)不需要降低公司安全策略的完整性，就能夠獲得互聯(lián)網(wǎng)的連接和成本優(yōu)勢。Cisco ASA 5500 系列將VPN服務與全面威脅消除服務有機地結(jié)合在一起，提供安全的VPN連接和通信。集成式自適應威脅防御功能提供統(tǒng)一保護，保證VPN部署不會成為網(wǎng)絡攻擊的導體，例如蠕蟲、病毒、壞件或黑客等。不僅如此，還可以為VPN流量應用詳細的應用和訪問控制策略，使個人和用戶組能夠訪問到他們有權(quán)訪問的應用、網(wǎng)絡服務和資源（見圖1）。

圖1針對任意部署方案的VPN服務：帶有威脅防御的增強型IPsec和SSL VPN服務

遠程接入

Cisco ASA 5500 系列提供支持多種連接方式的完整遠程接入VPN解決方案，包括WebVPN（SSL VPN）、Cisco VPN Client（IPSec VPN）以及從Windows 移動設備建立的Nokia Symbian 移動無線和無客戶端接入。利用思科的遠程接入技術(shù)，各企業(yè)只需部署一個集成式平臺，就能廣泛支持各種核心企業(yè)應用，簡化管理，并提高部署靈活性。

安全的遠程連接可以通過SSL 型Web瀏覽器或VPN客戶端建立，因此，不需要部署和管理獨立的設備就能夠獲得最高的靈活性和應用接入。利用Cisco ASA 5500 系列安全設備，各企業(yè)可以為每個用戶組選用最適當?shù)募夹g(shù)，而不需要同時部署多種解決方案。利用安全遠程接入，由于企業(yè)不再需要同時為SSL和IPSec VPN 分別建立獨立的平臺，因而提高了效率，降低了成本。

基于IPSec的遠程接入

利用IPSec 提供遠程接入能夠建立最增強型的可定制連接。利用IPSec，用戶幾乎可以訪問任何應用，就好像自己與總部局域網(wǎng)建立了實際連接一樣。思科IPSec 遠程接入具有高度可定制性，利用提供的API，管理員可以編寫執(zhí)行程序及其它定制程序。

Cisco ASA 5500 系列是思科系統(tǒng)?公司提供的功能最豐富的基于IPSec 的遠程接入解決方案。對于IPSec 部署，由于ASA 5500 系列充分利用了Cisco VPN 3000 系列集中器平臺的特性和功能，因而能提供幾乎相同的功能，但每用戶吞吐量更高。不僅如此，ASA 5500 系列還能無縫地與現(xiàn)有VPN 3000集中器集群集成在一起，使兩個平臺同時為相同的用戶群服務。

另外，Cisco ASA 5500 系列還提供其它思科安全解決方案也提供的新型Cisco Easy VPN遠程接入功能，例如Cisco PIX? 安全設備、Cisco IOS? 路由器和Cisco VPN 3000系列集中器。Cisco Easy VPN 提供可以擴展、經(jīng)濟高效、易于管理的獨特遠程接入VPN架構(gòu)，并能夠降低傳統(tǒng)VPN解決方案維護遠程設備配置所需要的運作成本。Cisco ASA 5500 系列設備能夠?qū)⒆钚碌腣PN安全策略動態(tài)推廣到遠程VPN設備和客戶端，以保證這些遠程端點在建立連接之前先實施最新策略，從而實現(xiàn)最高的靈活性、可擴展性和易于使用性。

Cisco ASA 5500 系列安全設備支持VPN客戶端安全策略實施，在試圖建立VPN連接時執(zhí)行安全檢查，包括安全策略執(zhí)行情況、版本號以及公司管理的主機安全產(chǎn)品（例如Cisco Security Agent 或個人防火墻軟件），然后再允許遠程用戶接入公司網(wǎng)絡。另外，Cisco VPN Client 還可以根據(jù)客戶端的類型、安裝的操作系統(tǒng)以及Cisco VPN Client 軟件的版本限制網(wǎng)絡連接，以防非法VPN客戶端接入公司網(wǎng)絡。

Cisco VPN Client 和 Cisco VPN 3002 Hardware Client 可以自動執(zhí)行軟件更新，即能夠在建立VPN連接時觸發(fā)更新，或者根據(jù)需要更新當前連接的VPN客戶端。這種方法使企業(yè)能夠輕松地更新遠程用戶的客戶端軟件。

遠程接入用戶可以依據(jù)設備本身的內(nèi)部用戶數(shù)據(jù)庫進行認證，也可以利用RADIUS或TACACS+ 通過外部源完成認證。由于與主流認證服務，包括Microsoft Active Directory、Microsoft Windows Domains、Kerberos、輕量目錄訪問協(xié)議（LDAP）和RSA SecurID，集成在一起，因此，不需要通過獨立的RADIUS/TACACS+ 服務器就能完成用戶認證。

SSL VPN

Cisco ASA 5500 系列能夠同時為無客戶端和完全網(wǎng)絡接入部署提供核心SSL VPN功能。無客戶端接入適用于非公司管理的桌面，例如外部網(wǎng)系統(tǒng)和公共接入點。完全網(wǎng)絡接入適用于需要一致"局域網(wǎng)型"用戶體驗，并需要訪問所有應用或網(wǎng)絡資源的遠程接入用戶?；赟SL的完全網(wǎng)絡接入通過Cisco SSL VPN Client for WebVPN提供，這種網(wǎng)絡接入與IPSec VPN客戶端相似，但不需要預裝VPN Client 軟件。

SSL VPN 只使用Web瀏覽器及其本地SSL加密，不需要預裝VPN 客戶端軟件就幾乎能夠從可以接入互聯(lián)網(wǎng)的任何位置遠程訪問網(wǎng)絡資源。利用Cisco ASA 5500 系列上支持的WebVPN，能夠容易地訪問多種企業(yè)應用，包括Web資源、Web型應用、NT/Active Directory 文件共享（Web型）、電子郵件以及基于TCP的其它應用，例如來自與互聯(lián)網(wǎng)相連、可以到達HTTP互聯(lián)網(wǎng)站點的任何計算機的Telnet 或 Windows 終端服務。WebVPN 使用SSL及其后續(xù)產(chǎn)品Transport Layer Security（TLS）在遠程用戶與中央站點的特殊內(nèi)部資源之間建立安全連接。使用WebVPN建立安全連接之后，不需要安裝其它桌面軟件就可以從任何系統(tǒng)接入網(wǎng)絡。#p#

站點到站點

利用Cisco ASA 5500 系列安全設備提供的網(wǎng)絡敏感型IPSec 站點到站點 VPN 功能，企業(yè)可以利用低成本的互聯(lián)網(wǎng)連接，安全地將其網(wǎng)絡擴展到商業(yè)合作伙伴以及世界各地的遠程和衛(wèi)星辦公室。ASA 5500 系列是思科推出的功能最豐富的基于設備的站點到站點VPN解決方案。通過無與倫比的網(wǎng)絡特性集成，Cisco IOS 路由器能夠提供業(yè)內(nèi)最先進、最靈活的站點到站點VPN連接。

分支機構(gòu)和遠程機構(gòu)能夠?qū)⒐镜姆秶鷶U展到主要市場和位置?；贑isco ASA 5500 系列的VPN解決方案能夠在多個位置之間建立安全的高速通信，提供企業(yè)通信所需要的性能、可靠性和可用性。VPN連接可以使用數(shù)字證書和預共享加密等多種方法認證。

Cisco ASA 5500 系列安全設備提供的VPN基礎(chǔ)設施支持當今的各種應用，并能夠通過安全的IPSec 網(wǎng)絡傳輸語音、視頻和數(shù)據(jù)。增強型的站點到站點VPN服務與豐富的檢測功能和服務質(zhì)量（QoS）特性結(jié)合在一起，使企業(yè)能夠利用融合型網(wǎng)絡的諸多優(yōu)勢。由于企業(yè)能夠利用Cisco ASA 5500 系列設備，并能夠?qū)PN與QoS特性和豐富的檢測功能結(jié)合在一起，因而能安全地將語音和多媒體服務擴展到遠程機構(gòu)環(huán)境，充分利用融合型網(wǎng)絡具有的諸多優(yōu)勢，包括提高生產(chǎn)率、降低運作成本和增強競爭優(yōu)勢等。

延遲、抖動和包損失都會降低語音和視頻質(zhì)量。Cisco ASA 5500 系列低延遲隊列（LLQ）和流量偵聽特性支持QoS要求很高的應用，例如語音或視頻，以保證端到端網(wǎng)絡QoS策略。延遲敏感型流量的傳輸可以優(yōu)先于文件傳輸以及能夠容忍延遲的其它流量。隊列性能可以通過一系列配置參數(shù)優(yōu)化。

通過VPN 部署語音和視頻時，應該用狀態(tài)化方式檢測流經(jīng)網(wǎng)絡的所有多服務流量。Cisco ASA 5500 系列安全設備能夠為多種IP語音（VoIP）和其它多媒體標準提供市場領(lǐng)先的保護。支持的VoIP和多媒體標準包括H.323 版本4、會話發(fā)起協(xié)議（SIP）、思科瘦客戶端控制協(xié)議（SCCP）、實時流協(xié)議（RTSP）和媒體網(wǎng)關(guān)控制協(xié)議（MGCP），這些協(xié)議能夠幫助企業(yè)安全地部署多種當前及新一代VoIP和多媒體應用。

為簡化配置和提高永續(xù)性，Cisco ASA 5500 系列還具有網(wǎng)絡拓撲敏感性。由于ASA 5500系列支持VPN隧道上首先打開的最短路徑（OSPF）路由，因而能沿用網(wǎng)絡可到達性知識，保證流量的有效傳輸。不僅如此，子網(wǎng)自動識別特性還能簡化配置，因為它能夠識別每個VPN網(wǎng)關(guān)背后的所有主機。

思科遠程接入VPN解決方案

對X.509 數(shù)字證書的廣泛支持包括：為具有多層證書權(quán)威結(jié)構(gòu)的環(huán)境提供N層證書鏈，允許利用簡單證書登記協(xié)議（SCEP）自動完成證書登記，以及脫機證書權(quán)威機構(gòu)部署人工登記等。RSA證書支持的密鑰尺寸可長達4096位，基于數(shù)字簽名算法（DSA）的X.509證書的密鑰尺寸可長達1024位。另外，用戶也可以聯(lián)機登記到Cisco IOS Software證書機構(gòu)。輕量X.509證書機構(gòu)有助于簡化公共密鑰基礎(chǔ)設施（PKI）型站點到站點VPN的推廣。

VPN連接的威脅防御

威脅防御：蠕蟲、病毒、間諜軟件、廣告軟件、特洛伊木馬、DoS攻擊

蠕蟲、病毒、應用嵌入式攻擊和應用濫用是當今網(wǎng)絡面臨的重大安全問題。由于當今的VPN設計具有漏洞，因此，遠程接入和遠程機構(gòu)VPN連接是這些威脅的通用切入點。目前，很多VPN部署都沒有在總部位置的通道終點采取適當?shù)臋z測和威脅防御措施，因而使壞件很容易從遠程機構(gòu)或用戶感染到網(wǎng)絡并伺機傳播。

利用Cisco ASA 5500 系列，不需要增加成本，不需要增加設計、部署或運作的復雜性，就能夠使檢測和威脅防御作為VPN解決方案的一部分。利用ASA 5500 系列的融合型威脅防御功能，客戶可以在壞件進入網(wǎng)絡內(nèi)部并傳播之前就及時發(fā)現(xiàn)并阻止。對于應用嵌入式攻擊，例如通過文件共享對等網(wǎng)絡傳播的間諜軟件或廣告軟件，ASA 5500 系列能夠深入檢測應用流量，以便在壞件瞄準目標并造成危害之前就及時發(fā)現(xiàn)危險負載并丟棄其內(nèi)容。

Cisco ASA 5500 系列安全設備的應用層檢測功能能夠防止VPN部署遭受拒絕服務（DoS）攻擊，例如SYN 泛濫、互聯(lián)網(wǎng)控制消息協(xié)議（ICMP）泛濫、"teardrops"、端口掃描、"pings of death"以及很多其它常見攻擊。

【編輯推薦】

1. 常用思科路由器密碼恢復經(jīng)典案例
2. 思科路由器口令恢復辦法全解
3. 思科路由器安全性管理
4. cisco路由器配置ACL詳解
5. cisco路由器啟動進程