论文部分内容阅读
(徐州空军学院,江苏徐州221000)
虚拟专网通过公众网络(如Internet)建立企业站点之间的远程互联,以低廉的费用为各种用户提供信息传递应用服务,为许多企业所应用。但是如何保障企业内部网络中私有信息的安全呢?目前唯一的选择是使用防火墙技术来阻断外来的未授权访问。
防火墙允许信息自由地从企业网(专用网)流向Internet (公用网),而限制信息从Internet 流向企业网。我们可以利用防火墙的许多安全特性在虚拟专网上建立更加安全的网络环境,增强抵御黑客攻击、禁止非法访问的能力。
在任何VPN部署中,防火墙都是一个关键部件。尽管IPsec拥有许多内置鉴权功能,但是防火墙仍然是企业网络的第一道屏障。
1、虚拟专网中的防火墙
在虚拟专网中,防火墙和VPN服务器都可以起到阻断非法用户访问的作用。但是在一些实际应用中,并不要求将网络全部阻断,而是希望有更多的选择余地和更大的控制权。例如可以允许公司内部特定的用户访问Internet网络,但Internet网络内的主机不能通过防火墙访问公司的内部网络,只允许访问位于内部网络中的DMZ(非军事化区)内部服务器主机(WWW服务器或FTP服务器等),公司的外地办事处机构可以利用VPN和总部建立安全的私有隧道,以访问总部的资源。VPN服务器由于采用了专门的隧道加密技术,只允许VPN用户通过,而防火墙则可根据需要进行配置,选择性的允许指定的用户访问网络资源。在虚拟专网中,通过防火墙和VPN服务器的放置位置,可以灵活的选择安全控制范围.在虚拟专网中,防火墙的放置位置可能有两种情况:
1)、防火墙作为第一道防线,位于内部网络的最前端,直接与Internet相连,VPN服务器位于防火墙和企业内部网Intranet之间。
2)、防火墙放置于VPN服务器和企业内部网Intranet 之间,VPN服务器位于企业内部网络的最前端,直接与Internet相连。
2、两种放置位置方案
2.1防火墙放在最前端
这种方式下,防火墙作为第一道防线,直接与Internet 相连,而VPN服务器作为另一种企业内部网资源位于DMZ。这是一种比较常见的组网架构,内部网络中的DMZ可以作为IP网络资源的一个组成部分,其中通常包含可供Internet 用户访问的资源,如Web服务器和FTP服务器等。
在这种方式中,防火墙的Internet接口必须配置输入和输出过滤器,从而可以将VPN隧道数据流转发至VPN服务器。此外,还必须在防火墙的Internet接口配置一些其他格式不同的过滤器,以便将不同类型的数据流转发至相应的Web 服务器、FTP服务器,或者是位于DMZ中的其他类型的服务器上。然而,由于防火墙不具有VPN连接所需的密钥,因此它只能对隧道数据的明文报头进行过滤,这也意味着只要是隧道数据,无论它是否发自授权用户,均通过防火墙被转发至VPN服务器,这一点,对于VPN安全来说,是不利的。
2.2、防火墙放置于VPN服务器和企业内部网Intranet之前
在这种方式下,限定VPN服务器能接收的唯一数据流发自授权VPN客户机因此此处的防火墙过滤器,其作用主要是防止VPN用户访问特定的企业内部网资源,如某些企业内部敏感数据等。将VPN服务器放置于防火墙之前,还有一个好处是,由于VPN服务器只接收来自VPN客户机的数据流,这种方法可以避免非VPN的Internet用户使用FTP登录企业内部服务器或者通过浏览器访问企业内部网的Web 资源。
2.3、两种方案的比较
这两种方案的差别,主要在于是否能允许经过授权(可以通过防火墙)的非VPN用户访问企业内部网络中的共享资源和企业内部网络的安全性。
表1、两种方案的比较
4、结论
通过以上比较,我们可以得出:
1)、防火墙所处的位置(特别是防火墙与VNP服务器在网络上的相互位置关系)可以影响防火墙所保护的内部网络的安全和资源的共享。
2)、当防火墙位于VNP服务器之前,网络的安全得到充分的保护,但同时也限制了外来者对内部网络资源的访问,特别是网络中有Web服务器、FTP服务器这样的共享资源的时候。对于大多数无需对外共享内部信息的企业,这种方式比较合适。
3)、当防火墙位于VNP服务器之后,为外部用户访问企业内部的资源提供了方便,但是VNP的网络安全也受到一定的威胁。因此对于需要共享部分信息资源的企业,可以使用这种VPN构建模式,但要对企业内部的敏感数据实施特殊的保护。在实际组网中,要根据VNP使用企业的具体情况和要求进行选择和配置。
虚拟专网通过公众网络(如Internet)建立企业站点之间的远程互联,以低廉的费用为各种用户提供信息传递应用服务,为许多企业所应用。但是如何保障企业内部网络中私有信息的安全呢?目前唯一的选择是使用防火墙技术来阻断外来的未授权访问。
防火墙允许信息自由地从企业网(专用网)流向Internet (公用网),而限制信息从Internet 流向企业网。我们可以利用防火墙的许多安全特性在虚拟专网上建立更加安全的网络环境,增强抵御黑客攻击、禁止非法访问的能力。
在任何VPN部署中,防火墙都是一个关键部件。尽管IPsec拥有许多内置鉴权功能,但是防火墙仍然是企业网络的第一道屏障。
1、虚拟专网中的防火墙
在虚拟专网中,防火墙和VPN服务器都可以起到阻断非法用户访问的作用。但是在一些实际应用中,并不要求将网络全部阻断,而是希望有更多的选择余地和更大的控制权。例如可以允许公司内部特定的用户访问Internet网络,但Internet网络内的主机不能通过防火墙访问公司的内部网络,只允许访问位于内部网络中的DMZ(非军事化区)内部服务器主机(WWW服务器或FTP服务器等),公司的外地办事处机构可以利用VPN和总部建立安全的私有隧道,以访问总部的资源。VPN服务器由于采用了专门的隧道加密技术,只允许VPN用户通过,而防火墙则可根据需要进行配置,选择性的允许指定的用户访问网络资源。在虚拟专网中,通过防火墙和VPN服务器的放置位置,可以灵活的选择安全控制范围.在虚拟专网中,防火墙的放置位置可能有两种情况:
1)、防火墙作为第一道防线,位于内部网络的最前端,直接与Internet相连,VPN服务器位于防火墙和企业内部网Intranet之间。
2)、防火墙放置于VPN服务器和企业内部网Intranet 之间,VPN服务器位于企业内部网络的最前端,直接与Internet相连。
2、两种放置位置方案
2.1防火墙放在最前端
这种方式下,防火墙作为第一道防线,直接与Internet 相连,而VPN服务器作为另一种企业内部网资源位于DMZ。这是一种比较常见的组网架构,内部网络中的DMZ可以作为IP网络资源的一个组成部分,其中通常包含可供Internet 用户访问的资源,如Web服务器和FTP服务器等。
在这种方式中,防火墙的Internet接口必须配置输入和输出过滤器,从而可以将VPN隧道数据流转发至VPN服务器。此外,还必须在防火墙的Internet接口配置一些其他格式不同的过滤器,以便将不同类型的数据流转发至相应的Web 服务器、FTP服务器,或者是位于DMZ中的其他类型的服务器上。然而,由于防火墙不具有VPN连接所需的密钥,因此它只能对隧道数据的明文报头进行过滤,这也意味着只要是隧道数据,无论它是否发自授权用户,均通过防火墙被转发至VPN服务器,这一点,对于VPN安全来说,是不利的。
2.2、防火墙放置于VPN服务器和企业内部网Intranet之前
在这种方式下,限定VPN服务器能接收的唯一数据流发自授权VPN客户机因此此处的防火墙过滤器,其作用主要是防止VPN用户访问特定的企业内部网资源,如某些企业内部敏感数据等。将VPN服务器放置于防火墙之前,还有一个好处是,由于VPN服务器只接收来自VPN客户机的数据流,这种方法可以避免非VPN的Internet用户使用FTP登录企业内部服务器或者通过浏览器访问企业内部网的Web 资源。
2.3、两种方案的比较
这两种方案的差别,主要在于是否能允许经过授权(可以通过防火墙)的非VPN用户访问企业内部网络中的共享资源和企业内部网络的安全性。
表1、两种方案的比较
4、结论
通过以上比较,我们可以得出:
1)、防火墙所处的位置(特别是防火墙与VNP服务器在网络上的相互位置关系)可以影响防火墙所保护的内部网络的安全和资源的共享。
2)、当防火墙位于VNP服务器之前,网络的安全得到充分的保护,但同时也限制了外来者对内部网络资源的访问,特别是网络中有Web服务器、FTP服务器这样的共享资源的时候。对于大多数无需对外共享内部信息的企业,这种方式比较合适。
3)、当防火墙位于VNP服务器之后,为外部用户访问企业内部的资源提供了方便,但是VNP的网络安全也受到一定的威胁。因此对于需要共享部分信息资源的企业,可以使用这种VPN构建模式,但要对企业内部的敏感数据实施特殊的保护。在实际组网中,要根据VNP使用企业的具体情况和要求进行选择和配置。