| 出版日期:2002-11-18 总期号:1169 本年期号:86 |
|
 |
部署IPSec VPN特别对待远程访问
朱新亚 VPN技术现在已经被应用于所有价位的不同产品之中。例如,在Linksys的EtherFast防火墙/VPN路由器产品中,包含了软件和硬件加密功能。而在一年前,拥有这种加密技术的产品起码要比现在贵10到50倍。当前,至少有数十家公司在出售VPN/防火墙产品,比起运行Linux操作系统、提供免费防火墙和IPSec的机器,这些产品要小得多,而且提供了安全验证和完备的质量控制。 随着VPN迈着轻快的脚步走向成熟,人们开始重新思考传统的基于IP的安全技术特性,开发出新的技术,使用户能够通过Internet安全访问企业资源。目前,VPN技术已经应用于不同设备,在产品的形式上减少了VPN与防火墙的差别,防火墙和VPN设备间的分界线已经融合,纯VPN设备已经很少在市场上出现。 Nokia的工程师Dan McDonald认为,评价组合的VPN/防火墙设备时一定要认识到,这些产品提供的防火墙和VPN服务器功能总是侧重其中一点。例如Secure Computing的Sidewinder,它内置了一个很好的VPN堆栈,但却在VPN的易管理性和功能性方面有所欠缺,例如应用于大规模站点至站点的VPN或远程访问VPN时,这种典型的“大F小V(大防火墙小VPN)”设备无法胜任。而Avaya的VSU系列则是“小F大V(小防火墙大VPN)”的一个例子,它的信息包过滤器很普通,但却具有出众的VPN特性。 防火墙和VPN技术的融合对于网络专业人员来说,带来了两方面的好消息:第一,它带来了开发VPN技术的更好机会而无须迁就网络设计;第二,消费者在市场上兼顾两方面所需的庞大开销压力可以减低。 但是,目前IPSec VPN产品也具有一些缺点,首先就是缺乏管理。集中的VPN管理不是一个供应商能够解决的问题。在实验室中的测试已经证明,构建可协同工作的VPN不是不可能,几乎可以使任何两台IPSec产品互相通信,但在目前从同一点管理所有这些VPN设备却不可能。 目前,很少有厂商考虑配置和维护一个在一年之中拓扑结构发生一次以上变化的、超过十几个节点的VPN网络。Cisco在今年花了很多时间发展Cisco安全策略管理器,最近发布了一个名为CiscoWorks VPN/安全管理解决方案的第二版的管理平台。同样,Check Point软件公司在四月份发布的NG防火墙第二版中也包含了管理内容。但在这两个产品中,供应商同样强调只对自己的设备提供管理。 第三方的管理供应商也没能及时跟进。像Orchestream这样一些专注于电信运营商的公司提供了VPN管理工具,但对于企业网络管理者来说还是缺乏一个将多个VPN产品联接到一个网络的有力工具。 第二个缺点就是标准不规范。IPSec在保证VPN联接的安全方面比Secure Sockets Layer更为广泛地被采用,对远程资源的访问标准却非常缺乏。在IETF内部的行政混战导致一个先天不足的规范,在身份验证、内部寻址、网络地址转换/网络寻址和端口翻译器遍历这些方面,对于即使是最为常规的远程访问应用也无能为力。而包括账目和策略管理在内的高级要求在IPSec标准中则被完全忽视。 Internet Key Exchange在第二版中进展也不顺利,这个协议过去一直在注重身份验证和地址分配这些问题,但IETF工作小组在讨论诸如“建立起一个安全联合需要两个还是三个往返旅程”这样一些微小细节的时候,远程访问的大多数问题仍悬而未决。 供应商已经被迫建立起非标准的机制,以支持大网络中的安全远程访问。随着VPN市场的成熟,这一情况更加严重,过去只局限于小规模的范围内,现在变成为大规模的远地标准。 做为一个用户必须明白,越好的远程访问产品越可能被束缚在一个供应商的解决方案里。部署远程访问VPN技术的一个关键策略是,将它与站点至站点的VPN调度分开,不要试图将远程访问业务与一个现有的防火墙或VPN服务器栓在一起。这样,任何时候都可以放心地去采用最适合自己企业的技术和服务器。 |
||||||||||||||||||||||
