在吸引新客户的同时削减WAN费用,这是说服公司领导建立VPN的关键。但是,要让他们知道建立VPN涉及到Internet,它的可靠性和安全性没有专用线路那么好。VPN不仅会获得精明的老板的认可(因为它比租用线路便宜),还可使网络管理员可以基于Internet安全可靠地连接多个站。此外,可以使用Internet连接访问新的商业伙伴和客户。各个公司有不同的远程访问需求,但基本的设计和实施要求是一样的,只要遵循下列10条指南,就可以建立VPN解决任何一家公司的连网需求。
【责任编辑:小木工】
第一步:评估远程访问需求
第一步要确定需要什么样的WAN连接。用户通过LAN/WAN连接还是拨号连接访问公司网络?公司是否有远程用户?
WAN连接分为两类:内部网连接和外部网连接。内部网连接同一公司内部的确认站和用户,例如总部和分部,远程办公人士和移动用户。
对于内部连接来说,VPN应当给用户提供对公司网络的相同访问权,就象他们通过物理连接连在一起一样。内部网VPN实施的安全策略通常是标准的公司策略,至少要认证远程用户一次。
对于连接分部的VPN来说,要考虑的一个重要问题是分部的物理安全。“物理安全”涉及分部实施的密钥和安全措施,对于计算设备的网络访问权,以及可以访问这些设施的人数。如果上述问题不存在安全隐患,就可以安全建立“开放式”VPN,即在总部和分部之间建立一条LAN到LAN的连接,而无须使用基于VPN的用户认证机制。
但如果存在安全隐患,网络设计者就要考虑安全保护措施,例如如果设备安全性差,可能要求使用较强的认证,或者限制对总部网络里个别子网的访问。
另一方面,外部网安全通常要求比较严,用户只在必要的时候才能获得对保密数据的访问权,一般用户禁止访问很敏感的网络资源。由于外部网可能涉及公司之外的人士,所以在用户变动管理方面要面对很多特殊的挑战。这基本上是一个政策问题而非技术问题,但必须在确定用户需求时加以解决。
第二步:提早解决管理问题
公司网络很容易成为黑客的攻击目标,所以管理工作必须有效阻止来自外部的围攻。公司的安全策略应该规定允许(或不允许)哪种形式的远程访问。安全策略还要确定使用什么样的VPN设备和工具。如果没有供远程认证使用的书面策略,VPN工具不失为建立安全策略的理想工具。
安全策略应当解决以下问题:远程访问资格审查,记账服务,外部网连接责任,以及VPN利用率监视。它要解决给远程员工和移动用户提供Internet访问的问题,可能还要解决其他问题,例如对延迟敏感的数据所使用的加密密钥的长度。如果VPN加密算法要求出口授权,还要寻求法律帮助。
对于外部网来说,安全策略应当指定一种远程用户变动通知方法。要及时从认证数据库里删除不再访问网络的远程用户,这要求外部用户所在的公司和VPN管理员之间有良好的协调关系。人力资源部门可能已经有了管理顾问访问权的方法。这种方法同样适用于VPN用户。
第三步:选择最佳产品
由于市场上有很多VPN产品,要从中选择一种最适合你的需求的产品并不容易。这些产品可以分为三类:基于硬件的系统,独立软件系统和基于防火墙的系统。大多数产品都支持LAN到LAN连接和远程拨号连接。
基于硬件的VPN产品一般加密路由器。因为他们把密钥存储在设备内的芯片里,所以他们的安全性比软件产品好。加密路由器实际上很快,如果连接速度在T1(1.544Mbps)以上,应当首选硬件产品。如果说硬件产品有缺点的话,那就是每个端点站必须使用定制硬件。更为糟糕的是,每次更改网络拓扑或者取消用户密钥时,某些早期产品要求人工更改每个端点站。
好在越来越多的硬件产品包括供每个桌面安装的客户机软件。客户机软件自动处理更改信息,使得硬件产品和软件产品在功能方面的差异越来越小。
软件产品可能更为灵活。硬件产品一般不是根据协议给所有通信量建立相应的隧道,而软件产品根据地址或协议建立隧道。如果远程站的混合通信量的一部分通过VPN传输(总部数据库分录),而另一部分不通过VPN传输(Web冲浪),根据通信量类型建立隧道有好处。在性能要求适中的情况下(例如用户采用拨号连接),软件产品可能是最好的选择。
基于软件的系统存在的问题是通常难以管理。这要求管理员熟悉主机操作系统、应用程序以及适当的安全机制。某些软件包要求对路由选择表和网络寻址模式做某些更改。
基于防火墙的VPN充分利用防火墙的安全机制,包括对内部网络的访问限制。它还执行地址转换,符合强认证要求,发出实时警报,并提供广泛记录功能。大多数商用防火墙把主机操作系统的冒险服务或多余服务砍掉,从而加固操作系统内核。操作系统保护是一种主要的附加功能,没有几家VPN供应商提供有关操作系统安全性的指导。
在什么情况下最好选择基于防火墙的VPN?当远程用户或网络有可能不友善时最好使用这种产品。网络管理员建立一个所谓的停火区(Demilitarized Zone,DMZ)网段,一般在防火墙使用一个第三方接口,配以之间的访问控制规则。黑客可能会进入停火区,但他们不能破坏内部网段。对于纯内部网来说,使用基于防火墙的VPN很经济,而且易于加固和管理。
对于上述三种VPN产品来说,网络管理员还要研究下列四个问题:他们处理哪些协议,是否支持IPSec,是否支持认证服务器,以及加密密钥是否有出口限制。
例如大多数公司网络使用多协议,大多数VPN产品只支持IP。如果要传输IPX或SNA等其他协议,就要寻求在本机加密这些协议的产品,或者通过基于IP的VPN系统把他们转换成IP通信量。很显然,后者会使性能下降。
IPSec是IETF(Internet Engineering Task Force)开发的协议,旨在给TCP/IP协议套件增加基于标准的认证和加密服务。所有VPN产品供应商都在鼓吹IPsec有各种优点,但实际上该协议尚未最终定稿。到目前为止,只有几家供应商进行了互操作试验,而且是针对基本连接的。随着IPSec协议的日趋成熟和广泛应用,VPN端点不必试验同一家供应商提供的产品。然而,在目前的情况下,要想成功建立VPN,就得使用同一供应商的所有产品。
虽然大多数VPN都有自己的认证数据库,网络管理可能还是要调整现有的认证服务器,例如很多RAS(Remote Access Server,远程访问服务器)根据两种协议-Radius(Remote Authentication Dial-In User Server)或Tacacs(Terminal Access Control Access System)之一,使用外部系统认证用户。独立的认证服务器有很好的伸缩性,无论增加多少访问设备,只需要一个服务器。
第四步:测试VPN
第四步是安装两三个VPN产品,并对他们进行广泛测试。选择一组远程用户进行系统测试。初试阶段要包括各个方面的员工。为了正确测试VPN并评估VPN管理员的故障排除能力,这是非常重要的。
成功的VPN测试必须涉及六个方面。首先,它要表明VPN可以根据公司的远程访问策略进行配置;第二,测试VPN是否支持正在使用的所有认证和授权机制;第三,测试VPN是否可以生成并有效分发密钥;第四,测试远程用户和远程站是否可以象与总部有物理连接一样访问公司网络;第五,测试VPN是否可以提供明确的故障排除指导;最后,测试VPN是否很容易供技术人员和非技术人员使用。
第五步:确定系统规模
在确定生产网络所需的硬件类型时,要评估总用户数,并行对话数,以及数据对延迟的敏感程度(它确定要使用多长的密钥)。对于基于硬件的VPN来说,一个500MHZ的Pentium III处理器可以处理T1网络连接。服务器尽可能多用一些RAM,因为内存约多,可以处理的并行对话越多。T1以上的网络连接可能要求基于硬件的VPN。
如果供应商提供性能测试基准,要详细了解如何进行测试。为了准确比较各家供应商提供的性能数据,网络管理员要考虑各种问题,例如帧长,加密算法和密钥长度,压缩模式,以及报文认证算法。
在设计网络时,网络管理员还要考虑后备支持和冗余问题。大公司可能要考虑在多个服务器自己实施负荷平衡。
第六步:确定VPN服务器的位置
了解远程用户的隶属关系有助于确定VPN设备的归属问题。对于那些希望通过远程访问模拟办公环境的员工来说,VPN服务器可能隶属专用网络,但这样会引起黑客的注意。
如果大多数远程用户是其他公司的员工,最好把VPN设备放置在DMZ网段,因为这样可以大大提高安全性。这种方法也比把整个VPN设备放置在安全范围之外要安全得多,因为防火墙给DMZ提高安全屏障,有助于保护该网段的机器。
如果使用认证服务器,应该把它部署在DMZ子网。认证服务器应有良好的管理和保护,以免受到内外夹攻。
在设计安全可靠的内部网和外部网时,VPN设备和认证服务器的放置地点是个非常重要的问题,要确保很容易与分部建立连接:两个站之间的两个服务器建立一条加密隧道。移动员工和远程办公人士要先认证身份,然后建立一条连接VPN服务器的链路,该链路给位于公司防火墙之外的DMZ网段的认证服务器传送认证请求。外部顾问不必认证身份,只需连接另一个VPN服务器就可以了;此服务器应该位于第二个DMZ,以便保护公司的认证服务器。在这里,最棘手的问题是针对商用伙伴的配置:连接请求要先传送到位于第二个DMZ的VPN服务器,然后再传送到位于第一个DMZ的认证服务器。在请求获得批准之后,被传送到所请求的资源。
第七步:配置其他网络设备
安装VPN要重新配置公司网络的其他设备,特别是IP地址管理和防火墙。VPN通常使用NAT(Network Address Translator)。正如IETF RFC 1918所描述的,NAT把专用地址映射成Internet识别的一个或一组地址。
网络管理员至少要配置VPN设备,以便了解哪些地址保留供内部使用。此外,很多基于防火墙的VPN同时支持DHCP,这是一种自动给客户机分配IP地址的方法。网络管理员要使DHCP和VPN功能协调一致,否则客户机可能会使路由到Internet就中止了,而部署延伸到专用网络,反之亦然。
某些VPN设备使用虚拟网络适配器,要求指定专用网络的有效IP地址。根据尚未使用的地址范围分配IP地址,并修改路由器和其他设备的地址。
如果VPN服务器在防火墙之内,还要配置防火墙。大多数VPN把所有通信量封装成使用一个TCP端口号的通信流,因而防火墙要使用类属带来或通行规则,以及“允许”规则,否则不能把通信量传输到VPN设备。
对于外部网来说,防火墙必须使用一种规则,允许加密通信量从Internet传送到DMZ,另外使用一种规则允许应用通信量从DMZ传送到内部网络。如果认证服务器位于内部网络,要配置防火墙,以便在DMZ和专用网络之间传送认证请求。
专用网络的DNS服务器不须做任何更改,它负责把专用网络设备的主机名转换成IP地址。如果IP地址在Internet里暴露在外,黑客就会知道专用网络的整个布局。
第八步:安装和配置VPN
对于基于软件的VPN和基于防火墙的VPN来说,重要的是要使用安全可靠的系统。为此,要从服务器里除去所有不必要的服务、应用程序和用户账户,确保安装最新的补丁程序和安全保护措施。只有这样,VPN软件才有安全保障。
在配置VPN时,网络管理员要设置密钥长度参数、主认证服务器和辅助认证服务器(与共享密钥有关)、连接和空闲超时、证书生成、密钥生成和分发机制。数字证书验证VPN端点机器的身份,大多数VPN产品都支持这种服务。有的供应商采用这样的模型:一旦在总部设备输入所有信息,远程设备一联机就下载这些信息。远程用户要设置口令,准备连接脚本,并建立认证程序。
网络管理员还要使认证和授权保持同步。这两种服务看似相同,但有微妙而重大的区别。认证是要证明远程用户就是他所声称的用户。授权机制确定远程用户有权访问哪些网络资源。如果认证服务器同时按照工作组来控制授权,要验证它可以和VPN设备交流工作组信息。
第九步:监视和管理VPN
第九步是建立一套管理机制,监视Internet连接的状态。为了测试VPN对网络利用率和吞吐量的影响,这是必不可少的。培训服务人员也很重要,要了解认证服务器和防火墙如何交互式操作。
同时,要给公司里的所有网络管理员提供有关VPN运作方式的指导。了解VPN管理的人员不仅限于安装和配置人员。
要同时培训端点用户,让他们了解Internet的连接,以及VPN软件如何运作。让端点用户了解一些简单故障排除方法也很重要,从而减轻管理员的工作负荷。
第十步:建立备用连接
随着用户越来越熟悉VPN,就可以部署任务关键的应用,例如公司可以开办电子商务。在这种情况下,备用连接是必不可少的。
网络管理员必须在网络设计阶段就冗余连接和设备做出规划。此外,通信负荷大的站可能要使用支持负荷平衡的VPN。有几家VPN供应商提供负荷平衡功能,实际上支持冗余连接。
即使是在可用性不是很高的情况下,为了不让端点用户怨气冲天,建立一条备用连接仍然不失为一种良策。为此,要准备几个Modem和几条电话线,以便在发生故障时应急。然而,这样做的成本可能很高,而且速度很低。对于LAN到LAN连接来说,ISDN或其他点播式专用线路可能是最好的备用连接。要定期测试备用连接的连通状况。