一、安全网关和其他网络设备综合配置方案
二、宽带企业安全互联解决方案
三、廉价的VPN专网互联解决方案
四、移动IP间的安全互联解决方案 |
| 安全网关和其他网络设备综合配置方案 |
1. 安全网关和防火墙联合配置
在网络安全领域中安全网关和防火墙都是重要的设备,但是两者又分工不同,各自扮演着不同的角色。防火墙主要用于抵御外来入侵,安全网关用来提供安全通信服务,如何在网络上合理地配置这两个设备,达到一个网络安全可靠性的最大化和整体效率的最优化,是一个很重要的问题。
安全网关具备简单的包过滤防火墙功能,可以对内外网之间的网络通信作的访问控制;另外安全网关保护的是两个子网之间的通信;因此,安全网关必须和子网直连,又必须能和Internet直接通信(不经过NAT)。
根据以上要求,可对一个网络作如下配置: |
 |
防火墙和安全网关作前后串接,安全网关上除对符合需要加密的数据(VPN通信数据)加密之外,对其他数据不作控制,另外,对于LAN中主机需要访问INTERNET的IP包作动态NAT,(即在安全网关上仅执行VPN功能和NAT功能),对LAN中主机的访问控制以及对外部攻击的抵御等功能都由防火墙执行。防火墙中的DMZ(停火区)中一般用于放置对外提供服务的服务器,因为对外提供服务就需要可
INTERNET路由的真实IP,而从图上可知,因为防火墙置于安全网关后方,其本身也使用私有IP地址,为了解决这个问题,可在安全网关上为DMZ中的服务器设置静态NAT或针对某种服务的静态NAPT(地址端口映射)。
2. 安全网关和PROXY代理服务器联合配置
对于有些对局域网访问更加严格的单位,通常使用代理服务器提供LAN内部机器对Internet的访问。但是代理服务器都是针对某几种最常用协议提供服务,比如HTTP、FTP、WEB等等。当用户需要对使其他不常用协议或者自己开发协议的数据进行加密,进行VPN通信,就不能通过代理服务器,另外为了符合安全网关对IP层数据加密的原则,对于需要加密通过VPN传输的数据,直接通过安全网关加密封装后路由到INTERNET。
根据以上需求,可按如下的拓扑配置: |
 |
VPN关守上只允许从代理服务器发出的访问其他INTERNET网站的数据包通过关守,即只对代理服务器做NAT,这样就控制了只有代理服务器可以访问INTERNET,LAN里其他所有机器要访问INTERNET全部通过代理服务器,在代理服务器上可以对黑白名单、访问权限等做控制,并可以对LAN上机器的对外网络行为作详细的日志记录。
另外,如果LAN发出的数据是访问一个对等的VPN网络,关守则对其作加密并IP封装后直接交给路由器。这样就保证了既能访问INTERNET又确保了VPN安全通信。 |
| |
