VPN為專用網(wǎng)絡(luò)之間通過公共網(wǎng)絡(luò)實現(xiàn)加密連接。通俗地說，VPN主要用來解決遠程訪問的需求。到目前為止，VPN是用的最普遍的遠程訪問解決方案。為此廠商也專門設(shè)計了VPN集中器來幫助企業(yè)實現(xiàn)VPN的部署。

VPN集中器基本上可以實現(xiàn)企業(yè)VPN方面的全部需求，VPN集中器的主要作用就是通過遠程接入VPN來為遠程用戶提供接入服務(wù)。不過在部署VPN集中器的時候，需要考慮如何跟防火墻和平共處。VPN集中器可以放置在網(wǎng)絡(luò)不同的位置，如可以跟防火墻并行放置，也可以放置在防火墻的外圍，也可以放在內(nèi)部等等。雖然其位置沒有限制。但是在部署的時候，網(wǎng)絡(luò)管理員需要注意其與防火墻位置的不同，要求與功能也略有差異。網(wǎng)絡(luò)設(shè)計人員需要注意這些差異，才能給VPN集中器選擇一個合適的位置讓其安家。也只有如此，VPN集中器才能夠發(fā)揮其應(yīng)有的作用。

位置一：把VPN集中器放置在防火墻外面

其實，VPN集中器也有部分防火墻的保護功能，所以把其放置在防火墻的外面可以提供額外的安全保障。因為通過VPN集中器連接企業(yè)的內(nèi)外網(wǎng)?？梢栽诩衅鞯慕尤肟谑褂孟嚓P(guān)的訪問規(guī)則來提高企業(yè)網(wǎng)絡(luò)的安全性。也就是說，VPN集中器可以實現(xiàn)部分防火墻功能。當(dāng)遠程用戶通過互聯(lián)網(wǎng)接入到VPN集中器時，這是一種非常行之有效的解決方案。因為若如此配置的話，本地站點并不需要外部因特網(wǎng)接入。

如果采用這種配置方式的話，網(wǎng)絡(luò)管理員需要注意兩點：

一是對于網(wǎng)絡(luò)安全不是特別苛刻的企業(yè)，有時候甚至可以利用VPN集中器來代替防火墻。因為在其接入口本身就可以配置相關(guān)的訪問規(guī)則，來提供防火墻的部分功能，保護企業(yè)網(wǎng)絡(luò)的安全。故企業(yè)如果有了VPN集中器的話，還可以省去防火墻的投資。所以，這對部分企業(yè)來說，是一個不錯的選擇。

二是需要注意流量的問題。上面說到的這一點可以說是這么部署的好處，那么現(xiàn)在這個流量問題則是其不足之處了。如果按照上面這么部署的話，有一個很大的缺點，就是企業(yè)內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)的交換都需要通過集中器來處理，因為此時集中器在企業(yè)內(nèi)外數(shù)據(jù)交換的主干通道上。故企業(yè)內(nèi)外數(shù)據(jù)交換比較頻繁的話。則會給集中器性能帶來比較大的壓力。若企業(yè)真的準(zhǔn)備這么部署的話，那網(wǎng)絡(luò)管理員就需要根據(jù)企業(yè)的實際情況，選擇合適的VPN集中器。如果有比較頻繁的數(shù)據(jù)交換，如視頻會議、電子商務(wù)等等網(wǎng)絡(luò)應(yīng)用比較頻繁的話。那最好能夠選擇配置高一點的VPN集中器。

位置二：把VPN集中器放置在防火墻的內(nèi)部

網(wǎng)絡(luò)管理員也可以把防火墻放置在防火墻的內(nèi)部，即防火墻與企業(yè)邊界路由器之間。當(dāng)把集中器部署在防火墻內(nèi)部時，那么防火墻將是直接接觸企業(yè)外網(wǎng)的設(shè)備。也就是說，防火墻是保障企業(yè)內(nèi)網(wǎng)安全的第一道防線。不過話說回來。雖然防火墻已經(jīng)起到了保護企業(yè)內(nèi)部網(wǎng)絡(luò)的目的，但是，VPN集中器仍然需要進行一些接入規(guī)則的配置，來提高VPN網(wǎng)絡(luò)的安全性。如在接入規(guī)則上，對接入用戶的訪問權(quán)限進行控制，普通用戶不能夠修改VPN集中器的配置等等。也就是說，關(guān)于VPN接入的相關(guān)安全控制，仍然需要VPN集中器來實現(xiàn)。這有利于VPN接入的管理，有利于提高VPN的安全性，為企業(yè)提供一個比較安全的遠程網(wǎng)絡(luò)訪問環(huán)境。

另外，如果采用這種部署方式的話，由于VPN集中器仍然處在企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)交互的唯一通道上。所以，企業(yè)內(nèi)外網(wǎng)需要進行數(shù)據(jù)交換時，所有的數(shù)據(jù)都要通過VPN集中器。當(dāng)VPN遠程訪問與企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)交換同時大量發(fā)生時，就將給VPN集中器帶來比較大的壓力。這跟第一種部署方式的通病是一樣的。

再者，這種部署還需要注意一點。由于防火墻放置在VPN集中器的前面。也就是說。如果用戶需要進行遠程訪問的話，那么這個遠程連接的請求必須要先通過防火墻。所以為了遠程用戶能夠順利連接到VPN集中器中，必須要在防火墻上進行一些額外的配置，允許VPN連接請求順利通過防火墻。如遠程訪問者有固定的IP地址，則在防火墻配置中要允許這個IP地址的通信流量通過。這種情況往往出現(xiàn)在公司不同局域網(wǎng)之間的互聯(lián)。如遠程辦事處等等，他們往往有固定的IP地址。但是，有些情況也可能沒有固定的IP地址，如一些個人用戶。他們出差時不知道在哪里。為此。防火墻就要允許所有源地址的IKE等數(shù)據(jù)流通過防火墻。否則的話，遠程用戶就有可能無法連接到VPN集中器上。因為其連接請求直接被防火墻所阻擋。故如果網(wǎng)絡(luò)管理員要采用這種布置的話，就必須對防火墻進行額外的配置。同時，為了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全，如果企業(yè)主要利用VPN來進行不同局域網(wǎng)之間的連接，那么最好在防火墻配置的時候，進行IP地址的限制。不要因為VPN虛擬專用網(wǎng)的應(yīng)用而降低了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。

位置三：VPN集中器與防火墻并行

上面兩種方案中。我們看到都有一些難以克服的缺點。如以上兩種方法VPN集中器都處在企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)傳輸?shù)奈ㄒ痪€路上，這會額外增加VPN集中器的數(shù)據(jù)處理負擔(dān)。另外，第二種方案需要更改防火墻配置，如需要允許所有源地址的IKE數(shù)據(jù)流量，是以犧牲防火墻的安全保護功能為代價的。所以，以上兩種處理方式筆者認為不是最優(yōu)的處理方式。當(dāng)然，企業(yè)如果不部署防火墻的話，可以采用第一種方式來提高內(nèi)網(wǎng)的安全性，只是需要犧牲VPN集中器的硬件資源。如果企業(yè)有了防火墻，又需要部署VPN應(yīng)用的話，那么筆者建議各位網(wǎng)絡(luò)管理員采用下面的第三種部署方式，即讓VPN集中器與防火墻并行。

為什么這種方式比前兩種方式更加合理呢?根據(jù)筆者的認識，其優(yōu)勢主要集中在如下幾個方面：

一是此時企業(yè)內(nèi)外網(wǎng)數(shù)據(jù)交流的通道已經(jīng)有兩條。普通的內(nèi)外網(wǎng)數(shù)據(jù)交換從防火墻走：而通過VPN請求的數(shù)據(jù)則從VPN集中器走。兩條道路各走各的，互不相干。如此的話，VPN集中器的數(shù)據(jù)處理壓力就會小得多。另外，在VPN集中器上進行的訪問規(guī)則的配置。只對VPN請求有效，不會影響到其它的數(shù)據(jù)流量。

二是可以提高企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。上面筆者談到過，若把VPN集中器放置在防火墻內(nèi)部的話，需要對防火墻進行額外的調(diào)整。可能需要允許所有源地址的IKE流量通過防火墻。這對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全會造成不利影響。而如果把VPN集中器與防火墻并行的話，遠程客戶就直接使用VPN集中器的公網(wǎng)地址進行連接，即不經(jīng)過防火墻設(shè)備直接與VPN集中器進行相連。這也就是說，防火墻不用再開放所有IP地址的IKE數(shù)據(jù)流量。遠程用戶也能夠如愿以償?shù)剡B接到VPN集中器上進行遠程訪問。這就在很大程度上保障了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。

另外。值得慶幸的是。遠程訪問用戶建立VPN連接之后，防火墻仍然把VPN集中器當(dāng)做一個外部的實體。所以，防火墻的安全策略仍然對遠程用戶有效。所以網(wǎng)絡(luò)管理員可以在防火墻上使用單一的安全策略來限制用戶可以看到哪些資源、不能夠看到哪些資源。不要小看這個功能。在實際工作中非常有效。因為這意味著企業(yè)網(wǎng)絡(luò)管理員可以在一個平臺上管理企業(yè)內(nèi)部用戶與外部遠程訪問用戶的訪問權(quán)限。這對提高企業(yè)內(nèi)部信息的安全性具有非常重大的意義。

不過這個方案也有一個不足的地方。由于VPN集中器與防火墻都同時面對互聯(lián)網(wǎng)絡(luò)，也就是說，當(dāng)遠程用戶需要連接到VPN集中器的時候，就需要同時有兩個合法的公網(wǎng)地址，VPN集中器一個，防火墻一個。而現(xiàn)在不少的企業(yè)，往往只有一個合法的公網(wǎng)IP地址。這也就會給企業(yè)帶來額外的成本負擔(dān)。

以上三種情況就是VPN集中器與防火墻的三種對應(yīng)關(guān)系。筆者建議采用第三種，因為筆者認為第三種無論從安全或者管理上來說，都是非常方便的。雖然企業(yè)需要額外采用一個合法的公網(wǎng)IP地址，但是相對于其優(yōu)勢來說，這個投資還是值得的。(cstyle)