防火墙
最常见的防火墙采用包过滤技术,它限制可用的服务,并限制发出或接收可接受数据包的地址。IP包过滤技术提供了一种方法,让我们可以精确地定义什么样的IP数据流可以被允许通过防火墙。当我们试图将企业内部网Intranet与公共网络如Internet相连时,IP包过滤技术作为一种行之有效的安全措施就显得非常重要。VPN服务器和防火墙配置
VPN服务器和防火墙的结合使用可以分为以下两种情况: VPN服务器位于最前端,直接与Internet相连,防火墙放置于VPN服务器和企业内部网Intranet之间。 防火墙作为第一道防线,位于最前端,直接与Internet相连,VPN服务器位于防火墙和企业内部网Intranet之间。VPN服务器位于防火墙之前
VPN服务器位于防火墙之前时,需要在VPN服务器的Internet接口处添加包过滤器,从而限定只有VPN隧道数据流可以通过服务器的该接口。 从隧道传输来的数据流,首先经过VPN服务器的解密,然后转发至防火墙,防火墙再使用它的包过滤器,将数据流进一步转发到企业内部网Intranet。由于在这种方式下,限定VPN服务器能接收的唯一数据流发自授权VPN客户机,因此此处的防火墙过滤器,其作用主要是防止VPN用户访问特定的企业内部网资源,如某些企业内部敏感数据等。 将VPN服务器放置于防火墙之前,还有一个好处是,由于VPN服务器只接收来自VPN客户机的数据流,这种方法可以避免非VPN的Internet用户使用FTP登录企业内部服务器或者通过浏览器访问企业内部网的Web资源。包过滤配置(Windows 2000)
为了做到只允许VPN数据流通过VPN服务器的Internet接口,我们需要在VPN服务器的Internet接口处添加包过滤器。以下以使用PPTP协议为例,介绍VPN服务器所需的包过滤配置: 输入过滤器 动作:丢弃所有不符合以下标准的数据包 条件: 目标地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255 TCP目标端口号 = 1723 (0x06BB) 条件: 目标地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255 IP协议ID = 47 (0x2F) 条件: 目标地址 = VPN服务器的Internet接口IP地址,子网掩码= 255.255.255.255 TCP[established]源端端口号 = 1723 (0x06BB) 输出过滤器 动作:丢弃所有不符合以下标准的数据包 条件: 源端地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255 TCP目标地址端口 = 1723 (0x06BB) 条件: 源端地址 = VPN服务器的Internet接口IP地址,子网掩码 = 255.255.255.255 IP协议ID = 47 (0x2255 IP协议ID = 47 (0x2F) 条件: 源端地址 = 防火墙的Internet接口IP地址,子网掩码 = 255.255.255.255 TCP源端端口号 = 1723 (0x06BB)注意事项
注意:以上包过滤配置仅适用于使用PPTP协议的VPN连接。对于使用L2TP协议的VPN连接,需要根据具体情况进行相应的包过滤配置。
结论
VPN和防火墙是保护企业网络安全的重要工具。通过结合使用VPN和防火墙,企业可以建立一个安全可靠的网络环境,同时允许授权用户从远程位置访问内部资源。本文原创来源:电气TV网,欢迎收藏本网址,收藏不迷路哦!
添加新评论