本文主要介绍了VPN连接的威胁防御,思科远程接入VPN解决方案,SSL VPN,基于IPSec的远程接入等方面的技术,同时向大家介绍了如何连接VPN。
Cisco? ASA 5500 系列自适应安全设备是专为中小企业(SMB)和大型企业应用开发的平台,将最高安全性与VPN服务有机地结合在一起。Cisco ASA 5500 系列自适应威胁防御解决方案基于防火墙、入侵防御系统(IPS)和网络防病毒功能。作为专用VPN平台,该解决方案可以独立使用,也可以与其它解决方案配合使用。
对于VPN服务,由于Cisco ASA 5500 系列提供灵活的技术,因而能根据远程接入和站点到站点连接要求,提供定制的解决方案。Cisco ASA 5500 系列提供易于管理的IP Security(IPsec)和安全套接字层(SSL)VPN远程和网络敏感型站点到站点VPN连接,使企业能够通过公共网络为移动用户、远程站点和业务合作伙伴创建安全连接。利用Cisco ASA 5500 系列,各机构不需要降低公司安全策略的完整性,就能够获得互联网的连接和成本优势。Cisco ASA 5500 系列将VPN服务与全面威胁消除服务有机地结合在一起,提供安全的VPN连接和通信。集成式自适应威胁防御功能提供统一保护,保证VPN部署不会成为网络攻击的导体,例如蠕虫、病毒、坏件或黑客等。不仅如此,还可以为VPN流量应用详细的应用和访问控制策略,使个人和用户组能够访问到他们有权访问的应用、网络服务和资源(见图1)。
图1针对任意部署方案的VPN服务:带有威胁防御的增强型IPsec和SSL VPN服务
远程接入
Cisco ASA 5500 系列提供支持多种连接方式的完整远程接入VPN解决方案,包括WebVPN(SSL VPN)、Cisco VPN Client(IPSec VPN)以及从Windows 移动设备建立的Nokia Symbian 移动无线和无客户端接入。利用思科的远程接入技术,各企业只需部署一个集成式平台,就能广泛支持各种核心企业应用,简化管理,并提高部署灵活性。
安全的远程连接可以通过SSL 型Web浏览器或VPN客户端建立,因此,不需要部署和管理独立的设备就能够获得最高的灵活性和应用接入。利用Cisco ASA 5500 系列安全设备,各企业可以为每个用户组选用最适当的技术,而不需要同时部署多种解决方案。利用安全远程接入,由于企业不再需要同时为SSL和IPSec VPN 分别建立独立的平台,因而提高了效率,降低了成本。
基于IPSec的远程接入
利用IPSec 提供远程接入能够建立最增强型的可定制连接。利用IPSec,用户几乎可以访问任何应用,就好像自己与总部局域网建立了实际连接一样。思科IPSec 远程接入具有高度可定制性,利用提供的API,管理员可以编写执行程序及其它定制程序。
Cisco ASA 5500 系列是思科系统?公司提供的功能最丰富的基于IPSec 的远程接入解决方案。对于IPSec 部署,由于ASA 5500 系列充分利用了Cisco VPN 3000 系列集中器平台的特性和功能,因而能提供几乎相同的功能,但每用户吞吐量更高。不仅如此,ASA 5500 系列还能无缝地与现有VPN 3000集中器集群集成在一起,使两个平台同时为相同的用户群服务。
另外,Cisco ASA 5500 系列还提供其它思科安全解决方案也提供的新型Cisco Easy VPN远程接入功能,例如Cisco PIX? 安全设备、Cisco IOS? 路由器和Cisco VPN 3000系列集中器。Cisco Easy VPN 提供可以扩展、经济高效、易于管理的独特远程接入VPN架构,并能够降低传统VPN解决方案维护远程设备配置所需要的运作成本。Cisco ASA 5500 系列设备能够将最新的VPN安全策略动态推广到远程VPN设备和客户端,以保证这些远程端点在建立连接之前先实施最新策略,从而实现最高的灵活性、可扩展性和易于使用性。
Cisco ASA 5500 系列安全设备支持VPN客户端安全策略实施,在试图建立VPN连接时执行安全检查,包括安全策略执行情况、版本号以及公司管理的主机安全产品(例如Cisco Security Agent 或个人防火墙软件),然后再允许远程用户接入公司网络。另外,Cisco VPN Client 还可以根据客户端的类型、安装的操作系统以及Cisco VPN Client 软件的版本限制网络连接,以防非法VPN客户端接入公司网络。
Cisco VPN Client 和 Cisco VPN 3002 Hardware Client 可以自动执行软件更新,即能够在建立VPN连接时触发更新,或者根据需要更新当前连接的VPN客户端。这种方法使企业能够轻松地更新远程用户的客户端软件。
远程接入用户可以依据设备本身的内部用户数据库进行认证,也可以利用RADIUS或TACACS+ 通过外部源完成认证。由于与主流认证服务,包括Microsoft Active Directory、Microsoft Windows Domains、Kerberos、轻量目录访问协议(LDAP)和RSA SecurID,集成在一起,因此,不需要通过独立的RADIUS/TACACS+ 服务器就能完成用户认证。
SSL VPN
Cisco ASA 5500 系列能够同时为无客户端和完全网络接入部署提供核心SSL VPN功能。无客户端接入适用于非公司管理的桌面,例如外部网系统和公共接入点。完全网络接入适用于需要一致"局域网型"用户体验,并需要访问所有应用或网络资源的远程接入用户。基于SSL的完全网络接入通过Cisco SSL VPN Client for WebVPN提供,这种网络接入与IPSec VPN客户端相似,但不需要预装VPN Client 软件。
SSL VPN 只使用Web浏览器及其本地SSL加密,不需要预装VPN 客户端软件就几乎能够从可以接入互联网的任何位置远程访问网络资源。利用Cisco ASA 5500 系列上支持的WebVPN,能够容易地访问多种企业应用,包括Web资源、Web型应用、NT/Active Directory 文件共享(Web型)、电子邮件以及基于TCP的其它应用,例如来自与互联网相连、可以到达HTTP互联网站点的任何计算机的Telnet 或 Windows 终端服务。WebVPN 使用SSL及其后续产品Transport Layer Security(TLS)在远程用户与中央站点的特殊内部资源之间建立安全连接。使用WebVPN建立安全连接之后,不需要安装其它桌面软件就可以从任何系统接入网络。#p#
站点到站点
利用Cisco ASA 5500 系列安全设备提供的网络敏感型IPSec 站点到站点 VPN 功能,企业可以利用低成本的互联网连接,安全地将其网络扩展到商业合作伙伴以及世界各地的远程和卫星办公室。ASA 5500 系列是思科推出的功能最丰富的基于设备的站点到站点VPN解决方案。通过无与伦比的网络特性集成,Cisco IOS 路由器能够提供业内最先进、最灵活的站点到站点VPN连接。
分支机构和远程机构能够将公司的范围扩展到主要市场和位置。基于Cisco ASA 5500 系列的VPN解决方案能够在多个位置之间建立安全的高速通信,提供企业通信所需要的性能、可靠性和可用性。VPN连接可以使用数字证书和预共享加密等多种方法认证。
Cisco ASA 5500 系列安全设备提供的VPN基础设施支持当今的各种应用,并能够通过安全的IPSec 网络传输语音、视频和数据。增强型的站点到站点VPN服务与丰富的检测功能和服务质量(QoS)特性结合在一起,使企业能够利用融合型网络的诸多优势。由于企业能够利用Cisco ASA 5500 系列设备,并能够将VPN与QoS特性和丰富的检测功能结合在一起,因而能安全地将语音和多媒体服务扩展到远程机构环境,充分利用融合型网络具有的诸多优势,包括提高生产率、降低运作成本和增强竞争优势等。
延迟、抖动和包损失都会降低语音和视频质量。Cisco ASA 5500 系列低延迟队列(LLQ)和流量侦听特性支持QoS要求很高的应用,例如语音或视频,以保证端到端网络QoS策略。延迟敏感型流量的传输可以优先于文件传输以及能够容忍延迟的其它流量。队列性能可以通过一系列配置参数优化。
通过VPN 部署语音和视频时,应该用状态化方式检测流经网络的所有多服务流量。Cisco ASA 5500 系列安全设备能够为多种IP语音(VoIP)和其它多媒体标准提供市场领先的保护。支持的VoIP和多媒体标准包括H.323 版本4、会话发起协议(SIP)、思科瘦客户端控制协议(SCCP)、实时流协议(RTSP)和媒体网关控制协议(MGCP),这些协议能够帮助企业安全地部署多种当前及新一代VoIP和多媒体应用。
为简化配置和提高永续性,Cisco ASA 5500 系列还具有网络拓扑敏感性。由于ASA 5500系列支持VPN隧道上首先打开的最短路径(OSPF)路由,因而能沿用网络可到达性知识,保证流量的有效传输。不仅如此,子网自动识别特性还能简化配置,因为它能够识别每个VPN网关背后的所有主机。
思科远程接入VPN解决方案
对X.509 数字证书的广泛支持包括:为具有多层证书权威结构的环境提供N层证书链,允许利用简单证书登记协议(SCEP)自动完成证书登记,以及脱机证书权威机构部署人工登记等。RSA证书支持的密钥尺寸可长达4096位,基于数字签名算法(DSA)的X.509证书的密钥尺寸可长达1024位。另外,用户也可以联机登记到Cisco IOS Software证书机构。轻量X.509证书机构有助于简化公共密钥基础设施(PKI)型站点到站点VPN的推广。
VPN连接的威胁防御
威胁防御:蠕虫、病毒、间谍软件、广告软件、特洛伊木马、DoS攻击
蠕虫、病毒、应用嵌入式攻击和应用滥用是当今网络面临的重大安全问题。由于当今的VPN设计具有漏洞,因此,远程接入和远程机构VPN连接是这些威胁的通用切入点。目前,很多VPN部署都没有在总部位置的通道终点采取适当的检测和威胁防御措施,因而使坏件很容易从远程机构或用户感染到网络并伺机传播。
利用Cisco ASA 5500 系列,不需要增加成本,不需要增加设计、部署或运作的复杂性,就能够使检测和威胁防御作为VPN解决方案的一部分。利用ASA 5500 系列的融合型威胁防御功能,客户可以在坏件进入网络内部并传播之前就及时发现并阻止。对于应用嵌入式攻击,例如通过文件共享对等网络传播的间谍软件或广告软件,ASA 5500 系列能够深入检测应用流量,以便在坏件瞄准目标并造成危害之前就及时发现危险负载并丢弃其内容。
Cisco ASA 5500 系列安全设备的应用层检测功能能够防止VPN部署遭受拒绝服务(DoS)攻击,例如SYN 泛滥、互联网控制消息协议(ICMP)泛滥、"teardrops"、端口扫描、"pings of death"以及很多其它常见攻击。
【编辑推荐】
