分享
 
 
 

虚拟专用网VPN系列讲座(六)

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

VPN和防火墙

最常见的防火墙采用的是包过滤技术,用它来限制可用的服务,限制发出或接收可接受数据包的地址。IP包过滤技术提供了一种方法,让我们可以精确地定义什么样的IP数据流可以被允许通过防火墙。当我们试图将企业内部网Intranet与公共网络如Internet相连时,IP包过滤技术作为一种行之有效的安全措施就显得非常重要。

一、VPN服务器和防火墙配置

VPN服务器和防火墙的结合使用可以分为以下两种情况:

?VPN服务器位于最前端,直接与Internet相连,防火墙放置于VPN服务器和企业内部网Intranet之间。

?防火墙作为第一道防线,位于最前端,直接与Internet相连,VPN服务器位于防火墙和企业内部网Intranet之间。

二、VPN服务器位于防火墙之前

图十七给出了VPN服务器位于防火墙之前的示意图,在这种情形下,需要在VPN服务器的Internet接口处添加包过滤器,从而限定只有VPN隧道数据流可以通过服务器的该接口。

图十七 VPN服务器位于防火墙之前

如图所示,从隧道传输来的数据流,首先经过VPN服务器的解密,然后转发至防火墙,防火墙再使用它的包过滤器,将数据流进一步转发到企业内部网Intranet。由于在这种方式下,限定VPN服务器能接收的唯一数据流发自授权VPN客户机,因此此处的防火墙过滤器,其作用主要是防止VPN用户访问特定的企业内部网资源,如某些企业内部敏感数据等。

将VPN服务器放置于防火墙之前,还有一个好处是,由于VPN服务器只接收来自VPN客户机的数据流,这种方法可以避免非VPN的Internet用户使用FTP登录企业内部服务器或者通过浏览器访问企业内部网的Web资源。

如上所提到的,为了做到只允许VPN数据流通过VPN服务器的Internet接口,我们需要在VPN服务器的Internet接口处添加包过滤器,下面以Windows 2000为例,分别就使用PPTP协议和L2TP协议两种情况,来看一下VPN服务器所需要配置的输入输出过滤器。

1)PPTP包过滤

在Windows 2000的输入过滤器配置中,将过滤器的action选项设置为Drop all packets except those that meet the criteria below(丢弃所有不符合以下标准的数据包):

?目标地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,TCP目标端口号 = 1723(0x06BB)。

该过滤条件确保隧道中的数据流,其源端发自PPTP客户机,目的端地址为PPTP服务器。

?目标地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,IP协议ID = 47(0x2F)。

该过滤条件确保从PPTP客户机发向PPTP服务器的是PPTP隧道化数据包。

?目标地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,TCP[established]源端端口号 = 1723(0x06BB)。

该过滤条件仅在路由器-对-路由器VPN连接中,当VPN服务器作为VPN客户机(即主叫路由器)时适用。

类似的,我们可以在Windows 2000中,配置输出过滤器,将过滤器的action选项设置为Drop all packets except those that meet the criteria below(丢弃所有不符合以下标准的数据包):

?源端地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,TCP源端端口号 = 1723(0x06BB)。

该过滤条件确保隧道中的数据流是从PPTP服务器发向VPN客户机的。

?源端地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,IP协议ID = 47(0x2F)。

该过滤条件确保从PPTP服务器发向PPTP客户机的是PPTP隧道化数据包。

?源端地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,TCP[established]目标端口号 = 1723(0x06BB)。

该过滤条件仅在路由器-对-路由器VPN连接中,当VPN服务器作为VPN客户机(即主叫路由器)时适用。

2)基于IPSec的L2TP包过滤

配置输入过滤器,同样地将将过滤器的action选项设置为Drop all packets except those that meet the criteria below:

?目标地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,UDP目标端口号 = 500 (0x01F4)。

该过滤条件确保发向VPN服务器的是使用Internet密钥交换(IKE)协议的数据流即IPSec数据包。

?目标地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,UDP目标端口号 = 1701 (0x6A5)。

该过滤条件确保L2TP隧道数据流源端发自VPN客户机,目标端为VPN服务器。

配置输出过滤器,同样地将过滤器的action选项设置为Drop all packets except those that meet the criteria below:

?源端地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,UDP源端端口号 = 500 (0x01F4)。

该过滤条件确保从VPN服务器发出的是使用Internet密钥交换(IKE)协议的数据流即IPSec数据包。

?源端地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255,UDP源端端口号 = 1701 (0x6A5)。

该过滤条件确保L2TP隧道数据流从VPN服务器发向VPN客户机。

在对IPSec ESP数据流的过滤中,没有针对IP协议ID = 50的过滤要求。但在IPSec协议去除ESP报头后,需要使用路由及远程访问服务过滤器对数据包做进一步过滤操作。

三、VPN服务器位于防火墙之后

更常见的一种组网架构,如图十八所示,是防火墙作为第一道防线,直接与Internet相连,而VPN服务器作为另一种企业内部网资源位于DMZ(非军事区)。作为IP网络的一个组成部分,典型的DMZ通常包含可供Internet用户访问的资源,如Web服务器和FTP服务器等。在图十八的结构中,VPN服务器的一个接口在DMZ上,另一个接口在企业内部网Intranet。

图十八、VPN服务器位于防火墙之后

在这种方式中,防火墙的Internet接口必须配置输入和输出过滤器,从而可以将VPN隧道数据流转发至VPN服务器。此外,还必须在防火墙的Internet接口配置一些其他各式不同的过滤器,以便将不同类型的数据流转发至相应的Web服务器,FTP服务器或者是位于DMZ中的其他类型的服务器上。

需要格外指出的是,在如上图所示的架构中,存在着一个不安全的隐患。因为从安全角度出发,要求对VPN连接有个认证过程,从而可以拒绝通不过认证的非授权用户访问VPN服务器。然而,由于防火墙不具有VPN连接所需的加密密钥,因此它只能对隧道数据的明文报头进行过滤,这也意味着只要是隧道数据,无论它是否发自授权用户,均通过防火墙被转发至VPN服务器,这一点,对于VPN安全来说,是不利的。

下面还是以Windows 2000为例,来看一下如何使用防火墙包过滤配置软件,在防火墙的Internet接口中,配置转发VPN隧道数据流所需的输入输出过滤器。

1)PPTP包过滤:

配置输入过滤器,将过滤器的action选项设置为Drop all packets except those that meet the criteria below:

?目标地址 = VPN服务器的DMZ接口IP地址,TCP目标端口号 = 1723 (0x06BB)。

该过滤条件确保隧道中的数据流,其源端发自PPTP客户机,目标地址为PPTP服务器。

?目标地址 = VPN服务器的DMZ接口IP地址,IP协议ID = 47 (0x2F)。

该过滤条件确保从PPTP客户机发向PPTP服务器的是PPTP隧道化数据包。

?目标地址 = VPN服务器的DMZ接口IP地址,TCP [established]源端端口号 = 1723 (0x06BB)。

该过滤条件仅在路由器-对-路由器VPN连接中,当VPN服务器用作VPN客户机(即主叫路由器)时适用。

配置输出过滤器,将过滤器的action选项设置为Drop all packets except those that meet the criteria below:

?源端地址 = VPN服务器的DMZ接口IP地址,TCP源端端口号 = 1723 (0x06BB)。

该过滤条件确保隧道中的数据流是从PPTP服务器发向VPN客户机。

?源端地址 = VPN服务器的DMZ接口IP地址,IP协议ID = 47 (0x2F)。

该过滤条件确保从PPTP服务器发向PPTP客户机的是PPTP隧道化数据包。

?源端地址 = VPN服务器的DMZ接口IP地址,TCP [established]目标端口号 = 1723 (0x06BB)。

该过滤条件仅在路由器-对-路由器VPN连接中,当VPN服务器用作VPN客户机(即主叫路由器)时适用。

2)基于IPSec的L2TP包过滤

配置输入过滤器,将过滤器的action选项设置为Drop all packets except those that meet the criteria below:

?目标地址 = VPN服务器的DMZ接口IP地址,UDP目标端口号 = 500 (0x01F4)。

该过滤条件确保发向VPN服务器的是使用Internet密钥交换(IKE)协议的数据流即IPSec数据包。

?目标地址 = VPN服务器的DMZ接口IP地址,IP协议ID = 50 (0x32)。

该过滤条件确保从VPN客户机发向VPN服务器的是IPSec ESP数据流。

配置输出过滤器,同样地将过滤器的action选项设置为Drop all packets except those that meet the criteria below:

?源端地址 = VPN服务器的DMZ接口IP地址,UDP源端端口号 = 500 (0x01F4)。

该过滤条件确保从VPN服务器发出的是使用Internet密钥交换(IKE)协议的数据流即IPSec数据包。

?源端地址 = VPN服务器的DMZ接的IP地址,IP协议ID = 50 (0x32)。

该过滤条件确保从VPN服务器发向VPN客户机的是IPSec ESP数据流。

在对L2TP数据流的过滤中,没有针对UDP端口号 = 1701的过滤

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有