VPN作為虛擬專用同道大大提高了企業(yè)在網(wǎng)絡(luò)連接上的成本與安全性，思科所生產(chǎn)的VPN集中器通過遠(yuǎn)程接入來為用戶提供服務(wù)。但是在配置VPN集中器的時(shí)候，網(wǎng)絡(luò)安全管理員需要考慮VPN集中器如何才能跟防火墻和平共處。

由于VPN集中器可以防止在網(wǎng)絡(luò)不同的位置中。如可以跟防火墻并行防止，也可以防止防火墻的外圍，也可以放在內(nèi)部等等。雖然其位置沒有限制，但是在部署的時(shí)候，網(wǎng)絡(luò)管理員需要注意其與防火墻位置的不同，要求與功能也略有差異。網(wǎng)絡(luò)設(shè)計(jì)人員需要注意這些差異，才能給VPN集中器選擇一個(gè)合適的位置讓其安家。也只有如此，VPN集中器才能夠發(fā)揮其應(yīng)有的作用。

位置一：把VPN集中器放置在防火墻外面

其實(shí)，VPN集中器也有部分防火墻的保護(hù)功能，所以把其放置在防火墻的外面可以提供額外的安全保障。因?yàn)橥ㄟ^VPN集中器連接企業(yè)的內(nèi)外網(wǎng)，可以在集中器的接入口使用相關(guān)的訪問規(guī)則來提高企業(yè)網(wǎng)絡(luò)的安全性。也就是說，VPN集中器可以實(shí)現(xiàn)部分防火墻功能。當(dāng)遠(yuǎn)程用戶通過互聯(lián)網(wǎng)接入到VPN集中器時(shí)，這是一種非常行之有效的解決方案。因?yàn)槿羧绱伺渲玫脑?，本地站點(diǎn)并不需要外部因特網(wǎng)接入。

如果采用這種配置方式的話，網(wǎng)絡(luò)管理員需要注意兩點(diǎn)。

一是對(duì)于網(wǎng)絡(luò)安全不是特別苛刻的企業(yè)，有時(shí)候甚至可以利用VPN集中器來代替防火墻。因?yàn)樵谄浣尤肟诒旧砭涂梢耘渲孟嚓P(guān)的訪問規(guī)則，來提到防火墻的部分功能，保護(hù)企業(yè)網(wǎng)絡(luò)的安全。故企業(yè)如果有了VPN集中器的話，還可以省去防火墻的投資。所以，這對(duì)部分企業(yè)來說，是一個(gè)不錯(cuò)的選擇。

二是需要注意流量的問題。上面說到的這一點(diǎn)可以說是這么部署的好處。那么現(xiàn)在這個(gè)流量問題則是其不足之處了。如果按照上面這么部署的話，有一個(gè)很大的缺點(diǎn)，就是企業(yè)內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)的交換都需要通過集中器來處理，因?yàn)榇藭r(shí)集中器在企業(yè)內(nèi)外商數(shù)據(jù)交換的主干通道上。故道企業(yè)內(nèi)外數(shù)據(jù)交換比較頻繁的話，則會(huì)給集中器性能帶來比較大的壓力。若企業(yè)真的準(zhǔn)備這么部署的話，那網(wǎng)絡(luò)管理員就需要根據(jù)企業(yè)的實(shí)際情況，選擇合適的VPN集中器。如果有比較頻繁的數(shù)據(jù)交換，如視頻會(huì)議、電子商務(wù)等等網(wǎng)絡(luò)應(yīng)用比較頻繁的話，那最好能夠選擇配置高一點(diǎn)的VPN集中器。

位置二：把VPN集中器放置在防火墻的內(nèi)部

網(wǎng)絡(luò)管理員也可以把防火墻放置在防火墻的內(nèi)部，即防火墻與企業(yè)邊界路由器之間。當(dāng)把集中器部署在防火墻內(nèi)部的話，那么防火墻將是直接接觸企業(yè)外網(wǎng)設(shè)備。也就是說，防火墻是保障企業(yè)內(nèi)網(wǎng)安全的第一道防線。不過話說回來，雖然防火墻已經(jīng)起到了保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)的目的，但是，VPN集中其仍然需要進(jìn)行一些接入規(guī)則的配置，來提高VPN網(wǎng)絡(luò)的安全性。如要在接入規(guī)則上，對(duì)接入用戶的訪問權(quán)限進(jìn)行控制。普通用戶不能夠修改VPN集中器的配置等等。也就是說，關(guān)于VPN接入的相關(guān)安全控制，仍然需要VPN集中器來實(shí)現(xiàn)。這有利于VPN接入的管理，有利于提高VPN的安全性，為企業(yè)提供一個(gè)比較安全的遠(yuǎn)程網(wǎng)絡(luò)訪問環(huán)境。

另外，如果采用這種部署方式的話，由于VPN集中器仍然處在企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)交互的唯一通道上。所以，企業(yè)內(nèi)外網(wǎng)需要進(jìn)行數(shù)據(jù)交換時(shí)，所有的數(shù)據(jù)都要通過VPN集中器。當(dāng)VPN遠(yuǎn)程訪問與企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)交換同時(shí)大量發(fā)生時(shí)，就將給VPN集中器帶來比較大的壓力。這跟第一種部署方式的通病是一樣的。

再者，這種部還是需要注意一點(diǎn)。由于防火墻放置在VPN集中器的前面。這也就是說，如果用戶需要進(jìn)行遠(yuǎn)程訪問的話，那么這個(gè)遠(yuǎn)程連接的請(qǐng)求必須要先通過防火墻。所以為了遠(yuǎn)程用戶能夠順利連接到VPN集中器中，必須要在防火墻上進(jìn)行一些額外的配置，允許VPN連接請(qǐng)求順利通過防火墻。如遠(yuǎn)程訪問者有固定的IP地址，則在防火墻配置中要允許這個(gè)IP地址的通信流量通過。這種情況往往出現(xiàn)在公司不同局域網(wǎng)之間的互聯(lián)。如遠(yuǎn)程辦事處等等，他們往往有固定的IP地址。但是，有些情況也可能沒有固定的IP地址。如一些個(gè)人用戶，他們出差時(shí)不知道在哪里。為此，防火墻就要允許所有源地址的IKE等數(shù)據(jù)流通過防火墻。否則的話，遠(yuǎn)程用戶就有可能無法連接到VPN集中器上，因?yàn)槠溥B接請(qǐng)求直接被防火墻所阻擋。故如果網(wǎng)絡(luò)管理員要采用這種布置的話，就必須對(duì)防火墻進(jìn)行額外的配置。同時(shí)，為了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，如果企業(yè)主要利用VPN來進(jìn)行不同局域網(wǎng)之間的連接，那么最好在防火墻配置的時(shí)候，進(jìn)行IP地址的限制。不要因?yàn)閂PN虛擬專用網(wǎng)的應(yīng)用而降低了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。

【編輯推薦】

1. 介紹PIX防火墻的高級(jí)配置
2. xss攻擊 Web安全新挑戰(zhàn)
3. 配置PIX防火墻的六項(xiàng)基本命令
4. Web應(yīng)用防火墻的主要特性
5. 防止入侵從Web應(yīng)用安全漏洞做起