VPN

SAFE VPN: IPSec虚拟专用网系统介绍 (白皮书)

作者

Jason halpern是这本白皮书的主要作者,也是美国加利福尼亚州圣何塞思科总部参考实施项目的首席设计师:Sean Convery和Roland Saville为本文提供了鼎力支持,他们三个人都是有关VPN和安全问题的网络专家。

摘要

本文的主要目的是向感兴趣的人士提供设计和实施企业IP安全(IPSec)虚拟专用网(VPN)最佳惯例信息资料。适用于大企业的SAFE白皮书,以及适用于中小型企业和远程用户网络的SAFE白皮书,都可在SAFE网站查询到,网址:http://www.cisco.com/go/safe。这些资料旨在为网络安全设计提供最佳惯例信息,包括部分VPN配置内容和设计指南。本文就IPSec VPN在当今网络中的地位进行了进一步的讨论,对一些特殊设计情况和实质性建议进行了研讨。虽然您在阅读本文时,无需首先阅读两份安全设计资料中的任何一份,但是我们建议您在阅读本文前,首先浏览一下最适合您的网络规模的材料。例如,拥有大型网络的企业可能要首先参考大型企业SAFE白皮书。系统实施的结果将把VPN会话限在总体安全设计的环境内,SAFE代表着一种基于系统的安全和VPN设计方式。这类方式主要针对的是总体设计目标,并将这些目标转换成相关配置和拓扑结构。SAFE是在思科及其合作伙伴产品的基础上构建的。

本文首先对体系结构进行了综述,然后就一些尚在研究中的设计问题进行了详细的介绍。文章就下列设计领域展开了详尽论述:

  • 远程用户VPN设计
  • 小型网络VPN设计
  • 中型网络VPN设计
  • 大型网络VPN设计(带外部网连接)
  • 分布式大型网络VPN设计

每项设计都拥有多个模块,以解决VPN技术各个方面的问题。有关模块的概念在SAFE安全白皮书中进行了介绍。各个设计或模块(适用时)所涉及的主题内容列举如下:

  • 总体设计最佳惯例
  • 高可用性
  • 可扩展性
  • 性能
  • 识别
  • 安全管理
  • 网址转换(NAT)
  • 安全性
  • 路由选择
  • 外部网情况考虑

设计讨论完毕后,在附录A中就SAFE的验证实验进行了介绍,这其中包括配置概览。附录B是介绍有关VPN的重要章节,建议对VPN基本概念不十分熟悉的读者,在阅读本文前,首先浏览这一章节。附录C收录了本文中所使用的大量技术词汇的定义。

阅读对象

虽然本文是一份技术材料,但也可视读者的情况,而阅读不同层次的内容。例如,网络主管可阅读各部分的前言介绍内容,以获得VPN设计策略和构思的全面综合信息。网络工程师和设计师可阅读全文,以获得设计信息和详细的威胁因素分析,配备相关设备实际配置快照。由于本文涵盖了多种VPN部署情况,首先阅读本文的简介部分,然后,再浏览您欲部署的VPN类型,将对您有极大的助益。

联系我们