虚拟专用网VPN系列讲座(六) 点击:1905 | 回复:5



吴志扬

    
  • 精华:49帖
  • 求助:0帖
  • 帖子:62帖 | 70回
  • 年度积分:0
  • 历史总积分:502
  • 注册:2001年3月13日
发表于:2002-01-31 12:06:00
楼主
虚拟专用网VPN系列讲座(六) 谢杨 02-1-17 上午 11:22:54 -------------------------------------------------------------------------------- VPN和防火墙 最常见的防火墙采用的是包过滤技术,用它来限制可用的服务,限制发出或接收可接受数据包的地址。IP包过滤技术提供了一种方法,让我们可以精确地定义什么样的IP数据流可以被允许通过防火墙。当我们试图将企业内部网Intranet与公共网络如Internet相连时,IP包过滤技术作为一种行之有效的安全措施就显得非常重要。 一、VPN服务器和防火墙配置 VPN服务器和防火墙的结合使用可以分为以下两种情况: ·VPN服务器位于最前端,直接与Internet相连,防火墙放置于VPN服务器和企业内部网Intranet之间。 ·防火墙作为第一道防线,位于最前端,直接与Internet相连,VPN服务器位于防火墙和企业内部网Intranet之间。 二、VPN服务器位于防火墙之前 图十七给出了VPN服务器位于防火墙之前的示意图,在这种情形下,需要在VPN服务器的Internet接口处添加包过滤器,从而限定只有VPN隧道数据流可以通过服务器的该接口。
图十七 VPN服务器位于防火墙之前 如图所示,从隧道传输来的数据流,首先经过VPN服务器的解密,然后转发至防火墙,防火墙再使用它的包过滤器,将数据流进一步转发到企业内部网Intranet。由于在这种方式下,限定VPN服务器能接收的唯一数据流发自授权VPN客户机,因此此处的防火墙过滤器,其作用主要是防止VPN用户访问特定的企业内部网资源,如某些企业内部敏感数据等。 将VPN服务器放置于防火墙之前,还有一个好处是,由于VPN服务器只接收来自VPN客户机的数据流,这种方法可以避免非VPN的Internet用户使用FTP登录企业内部服务器或者通过浏览器访问企业内部网的Web资源。 如上所提到的,为了做到只允许VPN数据流通过VPN服务器的Internet接口,我们需要在VPN服务器的Internet接口处添加包过滤器,下面以Windows 2000为例,分别就使用PPTP协议和L2TP协议两种情况,来看一下VPN服务器所需要配置的输入输出过滤器。 1)PPTP包过滤 在Windows 2000的输入过滤器配置中,将过滤器的action选项设置为Drop all packets except those that meet the criteria below(丢弃所有不符合以下标准的数据包): ·目标地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,TCP目标端口号 = 1723(0x06BB)。 该过滤条件确保隧道中的数据流,其源端发自PPTP客户机,目的端地址为PPTP服务器。 ·目标地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,IP协议ID = 47(0x2F)。 该过滤条件确保从PPTP客户机发向PPTP服务器的是PPTP隧道化数据包。 ·目标地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,TCP[established]源端端口号 = 1723(0x06BB)。 该过滤条件仅在路由器-对-路由器VPN连接中,当VPN服务器作为VPN客户机(即主叫路由器)时适用。 类似的,我们可以在Windows 2000中,配置输出过滤器,将过滤器的action选项设置为Drop all packets except those that meet the criteria below(丢弃所有不符合以下标准的数据包): ·源端地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,TCP源端端口号 = 1723(0x06BB)。 该过滤条件确保隧道中的数据流是从PPTP服务器发向VPN客户机的。 ·源端地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,IP协议ID = 47(0x2F)。 该过滤条件确保从PPTP服务器发向PPTP客户机的是PPTP隧道化数据包。 ·源端地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,TCP[established]目标端口号 = 1723(0x06BB)。 该过滤条件仅在路由器-对-路由器VPN连接中,当VPN服务器作为VPN客户机(即主叫路由器)时适用。 2)基于IPSec的L2TP包过滤 配置输入过滤器,同样地将将过滤器的action选项设置为Drop all packets except those that meet the criteria below: ·目标地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,UDP目标端口号 = 500 (0x01F4)。 该过滤条件确保发向VPN服务器的是使用Internet密钥交换(IKE)协议的数据流即IPSec数据包。 ·目标地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,UDP目标端口号 = 1701 (0x6A5)。 该过滤条件确保L2TP隧道数据流源端发自VPN客户机,目标端为VPN服务器。 配置输出过滤器,同样地将过滤器的action选项设置为Drop all packets except those that meet the criteria below: ·源端地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,UDP源端端口号 = 500 (0x01F4)。 该过滤条件确保从VPN服务器发出的是使用Internet密钥交换(IKE)协议的数据流即IPSec数据包。 ·源端地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,UDP源端端口号 = 1701 (0x6A5)。 该过滤条件确保L2TP隧道数据流从VPN服务器发向VPN客户机。 在对IPSec ESP数据流的过滤中,没有针对IP协议ID = 50的过滤要求。但在IPSec协议去除ESP报头后,需要使用路由及远程访问服务过滤器对数据包做进一步过滤操作。 三、VPN服务器位于防火墙之后 更常见的一种组网架构,如图十八所示,是防火墙作为第一道防线,直接与Internet相连,而VPN服务器作为另一种企业内部网资源位于DMZ(非军事区)。作为IP网络的一个组成部分,典型的DMZ通常包含可供Internet用户访问的资源,如Web服务器和FTP服务器等。在图十八的结构中,VPN服务器的一个接口在DMZ上,另一个接口在企业内部网Intranet。
图十八、VPN服务器位于防火墙之后 在这种方式中,防火墙的Internet接口必须配置输入和输出过滤器,从而可以将VPN隧道数据流转发至VPN服务器。此外,还必须在防火墙的Internet接口配置一些其他各式不同的过滤器,以便将不同类型的数据流转发至相应的Web服务器,FTP服务器或者是位于DMZ中的其他类型的服务器上。 需要格外指出的是,在如上图所示的架构中,存在着一个不安全的隐患。因为从安全角度出发,要求对VPN连接有个认证过程,从而可以拒绝通不过认证的非授权用户访问VPN服务器。然而,由于防火墙不具有VPN连接所需的加密密钥,因此它只能对隧道数据的明文报头进行过滤,这也意味着只要是隧道数据,无论它是否发自授权用户,均通过防火墙被转发至VPN服务器,这一点,对于VPN安全来说,是不利的。 下面还是以Windows 2000为例,来看一下如何使用防火墙包过滤配置软件,在防火墙的Internet接口中,配置转发VPN隧道数据流所需的输入输出过滤器。 1)PPTP包过滤: 配置输入过滤器,将过滤器的action选项设置为Drop all packets except those that meet the criteria below: ·目标地址 = VPN服务器的DMZ接口IP地址,TCP目标端口号 = 1723 (0x06BB)。 该过滤条件确保隧道中的数据流,其源端发自PPTP客户机,目标地址为PPTP服务器。 ·目标地址 = VPN服务器的DMZ接口IP地址,IP协议ID = 47 (0x2F)。 该过滤条件确保从PPTP客户机发向PPTP服务器的是PPTP隧道化数据包。 ·目标地址 = VPN服务器的DMZ接口IP地址,TCP [established]源端端口号 = 1



亚楠

  • 精华:0帖
  • 求助:0帖
  • 帖子:0帖 | 1回
  • 年度积分:0
  • 历史总积分:4
  • 注册:2002年1月31日
发表于:2002-01-31 12:06:00
1楼
VPN讲座有没有1 2 3 4 5 可不可以给我发邮件 wangem@163.com

yjjlqy

  • 精华:0帖
  • 求助:0帖
  • 帖子:4帖 | 9回
  • 年度积分:0
  • 历史总积分:72
  • 注册:2002年3月12日
发表于:2005-03-21 16:16:00
2楼
我对你的方案很感兴趣,我现在有一个问题:我有一个工程一个点是水厂的取水头部离水厂大概3公里,水厂离公司比较远。如何把水厂与取水头部联起来,然后把水厂的数据通过VPN方式连到公司,我需要方案和设备清单和报价。谢谢,yjjlqy@163.com

yjjlqy

  • 精华:0帖
  • 求助:0帖
  • 帖子:4帖 | 9回
  • 年度积分:0
  • 历史总积分:72
  • 注册:2002年3月12日
发表于:2005-03-21 16:19:00
3楼
我希望把你的讲座发给我yjjlqy@163.com谢谢

崔红梅

  • 精华:0帖
  • 求助:0帖
  • 帖子:0帖 | 3回
  • 年度积分:0
  • 历史总积分:3
  • 注册:2004年3月14日
发表于:2006-07-12 11:21:00
4楼
能不能将您的讲座发给我:chm123m@126.com, 非常感谢!

xmtop

  • 精华:0帖
  • 求助:0帖
  • 帖子:0帖 | 1回
  • 年度积分:0
  • 历史总积分:1
  • 注册:2006年8月05日
发表于:2006-08-05 11:01:00
5楼
您好!能不能将您的讲座发给我:chenbfqq@163.com, 非常感谢!

热门招聘
相关主题

官方公众号

智造工程师