vpn6分析和总结分析和总结.docx

VPN 和防火墙 最常见的防火墙采用的是包过滤技术，用它来限制可用的服务，限制发出或接收可接受数据包的地址。IP 包过滤技术提供了一种方法，让我们可以精确地定义什么样的 IP 数据流可以被允许通过防火墙。当我们试图将企业内部网 Intranet 与公共网络如Internet 相连时，IP 包过滤技术作为一种行之有效的安全措施就显得非常重要。 一、VPN 服务器和防火墙配置 VPN 服务器和防火墙的结合使用可以分为以下两种情况： VPN 服务器位于最前端，直接与 Internet 相连，防火墙放置于VPN 服务器和企业内部网 Intranet 之间。 防火墙作为第一道防线，位于最前端，直接与 Internet 相连，VPN 服务器位于防火墙和企业内部网 Intranet 之间。 二、VPN 服务器位于防火墙之前 图十七给出了 VPN 服务器位于防火墙之前的示意图，在这种情形下，需要在 VPN 服务器的 Internet 接口处添加包过滤器，从而限定只有 VPN 隧道数据流可以通过服务器的该接口。 图十七 VPN 服务器位于防火墙之前 如图所示，从隧道传输来的数据流，首先经过 VPN 服务器的解密，然后转发至防火墙， 防火墙再使用它的包过滤器，将数据流进一步转发到企业内部网 Intranet。由于在这种方式下，限定 VPN 服务器能接收的唯一数据流发自授权 VPN 客户机，因此此处的防火墙过滤器， 其作用主要是防止 VPN 用户访问特定的企业内部网资源，如某些企业内部敏感数据等。 将 VPN 服务器放置于防火墙之前，还有一个好处是，由于 VPN 服务器只接收来自 VPN 客户机的数据流，这种方法可以避免非 VPN 的 Internet 用户使用 FTP 登录企业内部服务器或者通过浏览器访问企业内部网的 Web 资源。 如上所提到的，为了做到只允许 VPN 数据流通过 VPN 服务器的 Internet 接口，我们需要在 VPN 服务器的 Internet 接口处添加包过滤器，下面以Windows 2000 为例，分别就使用PPTP 协议和 L2TP 协议两种情况，来看一下 VPN 服务器所需要配置的输入输出过滤器。 PPTP 包过滤 在 Windows 2000 的输入过滤器配置中，将过滤器的action 选项设置为 Drop all packets except those that meet the criteria below（丢弃所有不符合以下标准的数据包）： 目标地址 = VPN 服务器的Internet 接口IP 地址，子网掩码 = 55，TCP 目标端口号 = 1723（0x06BB）。 该过滤条件确保隧道中的数据流，其源端发自 PPTP 客户机，目的端地址为PPTP 服务 器。 目标地址 = VPN 服务器的Internet 接口IP 地址，子网掩码 = 55，IP 协议 ID = 47 （0x2F）。 该过滤条件确保从 PPTP 客户机发向PPTP 服务器的是PPTP 隧道化数据包。 目标地址 = VPN 服务器的 Internet 接口 IP 地址，子网掩码 = 55 ， TCP[established]源端端口号 = 1723（0x06BB）。 该过滤条件仅在路由器-对-路由器 VPN 连接中，当 VPN 服务器作为 VPN 客户机（即主叫路由器）时适用。 类似的，我们可以在 Windows 2000 中，配置输出过滤器，将过滤器的action 选项设置为 Drop all packets except those that meet the criteria below （丢弃所有不符合以下标准的数据包）： 源端地址 = VPN 服务器的Internet 接口IP 地址，子网掩码 = 55，TCP 源端端口号 = 1723（0x06BB）。 该过滤条件确保隧道中的数据流是从 PPTP 服务器发向 VPN 客户机的。 源端地址 = VPN 服务器的Internet 接口IP 地址，子网掩码 = 55，IP 协议 ID = 47 （0x2F）。 该过滤条件确保从 PPTP 服务器发向PPTP 客户机的是PPTP 隧道化数据包。 源端地址 = VPN 服务器的 Internet 接口 IP 地址，子网掩码 = 55 ， TCP[established]目标端口号 = 1723（0x06BB）。 该过滤条件仅在路由器-对-路由器 VPN 连接中，当 VPN 服务器作为 VPN 客户机（即主叫路由器）时适用。 基于 IPSec 的 L2TP 包过滤 配置输入过滤器，同样地将将过滤器的 action 选项设置为 Drop all packets except those that meet the criteria b