我写的歌 2007-12-21 00:09
Juniper NetScreen VPN 技术
[font=宋体][size=10.5pt] [align=left][align=left][font=宋体][size=9pt]Juniper NetScreen [/size][/font][color=black][font=宋体]ScreenOS [/font][/color][color=black][font=宋体]支持多个虚拟专用网络[/font][/color][color=black][font=宋体] (VPN) [/font][/color][color=black][font=宋体]配置选项。[/font][/color][size=9pt][/size][/align][/align][align=left][align=left][size=9pt]1.
[/size][color=black][font=宋体]站点到站点[/font][/color][color=black][font=宋体] VPN [/font][/color][color=black][font=宋体]有[/font][/color][color=black][font=宋体]两种主要类型如下[/font][/color][color=black][font=宋体]: [/font][/color][/align][/align][align=left][align=left]
[size=9pt][/size] [/align][/align][align=left][align=left][font=Wingdings][size=9pt]l
[/size][/font][color=black][font=宋体]基于路由的[/font][/color][color=black][font=宋体] VPN[/font][/color]
[/align][/align][align=left][align=left]
[size=9pt][/size] [/align][/align][align=left][align=left][color=black][font=宋体]路由查找确定[/font][/color][color=black][font=宋体] NetScreen [/font][/color][color=black][font=宋体]设备封装哪些信息流。策略允许或拒绝信息流到达路由中指定的目标。如果策略允许信息流并且路由引用绑定到[/font][/color][color=black][font=宋体]VPN [/font][/color][color=black][font=宋体]通道的通道接口,则安全设备也封装该策略。此配置将策略的应用与[/font][/color][color=black][font=宋体]VPN [/font][/color][color=black][font=宋体]通道的应用分离。配置完成后,这些通道就成为可用的资源,用于保护一个安全区段与另一区段之间传递的信息流。[/font][/color][/align][/align][align=left][align=left]
[size=9pt][/size] [/align][/align][align=left][align=left][color=black][font=Wingdings][size=10.5pt]l
[/size][/font][/color][color=black][font=宋体]基于策略的[/font][/color][color=black][font=宋体] VPN[/font][/color]
[/align][/align][align=left][align=left][color=black][font=宋体][/font][/color] [/align][/align][align=left][align=left][color=black][font=宋体]策略查找确定[/font][/color][color=black][font=宋体]: [/font][/color][color=black][font=宋体]在策略引用特定[/font][/color][color=black][font=宋体] VPN [/font][/color][color=black][font=宋体]通道并将“[/font][/color][color=black][font=宋体]tunnel [/font][/color][color=black][font=宋体]”指定为操作时安全设备封装哪些信息流。[/font][/color][/align][/align][align=left][align=left]
[color=black][font=宋体][/font][/color] [/align][/align][align=left][align=left][color=black][font=宋体][size=10.5pt]2.
[/size][/font][/color][color=black][font=宋体]拨号[/font][/color][color=black][font=宋体] VPN [/font][/color][color=black][font=宋体][/font][/color][/align][/align][align=left][align=left][color=black][font=Wingdings][size=10.5pt]l
[/size][/font][/color][font=宋体]NetScreen Remote VPN[/font][color=black][font=宋体][/font][/color][/align][/align][size=10.5pt][font=宋体, MS Song]Juniper Networks [/font][/size][font=宋体][size=10.5pt]防火墙[/size][/font][font=宋体][size=10.5pt]可以支持拨号虚拟专用网[/size][/font][size=10.5pt][font=宋体, MS Song] (VPN) [/font][/size][font=宋体][size=10.5pt]连接。可以配置具有静态[/size][/font][size=10.5pt][font=宋体, MS Song] IP [/font][/size][font=宋体][size=10.5pt]地址的安全设备,从而确保具有[/size][/font][size=10.5pt][font=宋体, MS Song] NetScreen-Remote [/font][/size][font=宋体][size=10.5pt]客户端或具有动态[/size][/font][size=10.5pt][font=宋体, MS Song] IP [/font][/size][font=宋体][size=10.5pt]地址的其它[/size][/font][font=宋体][size=10.5pt]防火墙[/size][/font][font=宋体][size=10.5pt]的[/size][/font][size=10.5pt][font=宋体, MS Song] IPSec [/font][/size][font=宋体][size=10.5pt]通道安全。[/size][/font]
[size=10.5pt]Juniper网络公司使企业能够快速安全地支持远程用户连接到所需的企业资源,以确保生产效率。考虑到需要提供安全保护的远程用户数量,企业负担不起难以部署和配置的解决方案。Juniper网络公司创建了极易部署和维护的远程接入解决方案。企业可使用Juniper网络公司NetScreen-Remote VPN Client系统提供VPN功能,或将VPN和个人防火墙功能与Juniper网络公司NetScreen-Remote Security Client系统相结合,以确保信息的私密性,以及确保未授权用户不能接入网络。这些客户端支持符合IPSec协议的通信设备并可与其互操作,同时还支持最高级别的加密和验证算法,以及其他的证书和智能卡,以提高安全性。可选的安全状态评估功能,可在个人防火墙软件被关闭、被损坏或尚未安装的情况下,防止建立VPN。企业将不必担心未授权用户使用VPN客户端接入敏感信息。[/size]
[size=10.5pt][font=宋体] NetScreen Remote VPN 的特性:[/font][/size]
[size=10.5pt][font=宋体][list][list][list][*]IPSec VPN客户端,支持最高级别的加密和验证算法[*]与个人防火墙相集成,提供更高的安全性[*]与符合IPSec协议的通信设备互操作[/list][/list][/list][/font][/size][align=left][align=left][color=black][font=Wingdings][size=10.5pt]l
[/size][/font][/color][font=宋体]L2TP [/font][color=black][font=宋体][/font][/color][/align][/align][align=left][align=left][color=black][font=宋体]“[/font][/color][color=black][font=宋体]第[/font][/color][color=black][font=宋体] 2 [/font][/color][color=black][font=宋体]层通道协议”[/font][/color][color=black][font=宋体](L2TP) [/font][/color][color=black][font=宋体]让拨号用户可以通过虚拟“点对点协议”[/font][/color][color=black][font=宋体](PPP) [/font][/color][color=black][font=宋体]连接到“[/font][/color][color=black][font=宋体]L2TP [/font][/color][color=black][font=宋体]网络服务器”[/font][/color][color=black][font=宋体](LNS) [/font][/color][color=black][font=宋体],而该服务器可以是一台[/font][/color][font=Times New Roman]Juniper Networks[/font][color=black][font=宋体]防火墙。[/font][/color][color=black][font=宋体][/font][/color][/align][/align][align=left][align=left][font=Wingdings][size=9pt]l
[/size][/font][font=宋体]L2TP + IPSec[/font][size=9pt] [/size][/align][/align][font=宋体][size=10.5pt]尽管可以使用[/size][/font][font=宋体][size=10.5pt] CHAP [/size][/font][font=宋体][size=10.5pt]或[/size][/font][font=宋体][size=10.5pt] PAP [/size][/font][font=宋体][size=10.5pt]认证拨号用户,但是[/size][/font][font=宋体][size=10.5pt] L2TP [/size][/font][font=宋体][size=10.5pt]通道没有加密,因此它不是一个真正的[/size][/font][font=宋体][size=10.5pt] VPN [/size][/font][font=宋体][size=10.5pt]通道。[/size][/font][font=宋体][size=10.5pt]L2TP [/size][/font][font=宋体][size=10.5pt]的目的只是允许本地安全设备的管理员为远程拨号用户分配[/size][/font][font=宋体][size=10.5pt] IP [/size][/font][font=宋体][size=10.5pt]地址。然后这些地址可以被引用到策略中。[/size][/font]
[font=宋体][size=10.5pt]要加密一个[/size][/font][font=宋体][size=10.5pt] L2TP [/size][/font][font=宋体][size=10.5pt]通道,需要为该[/size][/font][font=宋体][size=10.5pt] L2TP [/size][/font][font=宋体][size=10.5pt]通道应用一个加密方案。因为[/size][/font][font=宋体][size=10.5pt] L2TP [/size][/font][font=宋体][size=10.5pt]假设[/size][/font][font=宋体][size=10.5pt]LAC [/size][/font][font=宋体][size=10.5pt]与[/size][/font][font=宋体][size=10.5pt] LNS [/size][/font][font=宋体][size=10.5pt]之间的网络为[/size][/font][font=宋体][size=10.5pt] IP[/size][/font][font=宋体][size=10.5pt],因此可以使用[/size][/font][font=宋体][size=10.5pt] IPSec [/size][/font][font=宋体][size=10.5pt]来提供加密。这种组合称为[/size][/font][font=宋体][size=10.5pt]IPSec [/size][/font][font=宋体][size=10.5pt]上的[/size][/font][font=宋体][size=10.5pt] L2TP [/size][/font][font=宋体][size=10.5pt]。[/size][/font][font=宋体][size=10.5pt]IPSec [/size][/font][font=宋体][size=10.5pt]上的[/size][/font][font=宋体][size=10.5pt] L2TP [/size][/font][font=宋体][size=10.5pt]要求用同样的端点设置一个[/size][/font][font=宋体][size=10.5pt] L2TP [/size][/font][font=宋体][size=10.5pt]通道和[/size][/font][font=宋体][size=10.5pt] IPSec [/size][/font][font=宋体][size=10.5pt]通道,然后在策略中将它们链接到一起。[/size][/font][font=宋体][size=10.5pt]IPSec [/size][/font][font=宋体][size=10.5pt]上的[/size][/font][font=宋体][size=10.5pt] L2TP [/size][/font][font=宋体][size=10.5pt]要求[/size][/font][font=宋体][size=10.5pt] IPSec [/size][/font][font=宋体][size=10.5pt]通道处于传送模式,以便该通道端点的地址保持明文状态。[/size][/font]
[font=宋体][size=10.5pt]
[/size][/font]
[align=left][align=left][color=black][font=宋体]对于站点到站点[/font][/color][color=black][font=宋体] VPN [/font][/color][color=black][font=宋体]配置来说,基于路由的[/font][/color][color=black][font=宋体] VPN [/font][/color][color=black][font=宋体]是一种很好的选择,因为您可以将多个策略应用到流经单个[/font][/color][color=black][font=宋体] VPN [/font][/color][color=black][font=宋体]通道的信息流。对于拨号[/font][/color][color=black][font=宋体] VPN [/font][/color][color=black][font=宋体]来说,基于策略的[/font][/color][color=black][font=宋体]VPN [/font][/color][color=black][font=宋体]是一种很好的选择,因为拨号客户端可能没有可以设置路由的内部[/font][/color][color=black][font=宋体] IP [/font][/color][color=black][font=宋体]地址。[/font][/color]
[size=9pt][/size][/align][/align]
[align=left][align=left][font=宋体][size=12pt]当安全设备接口处于“透明”模式时 [/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]( [/font][/size][/font][font=宋体][size=12pt]即,这些接口无 [/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]IP [/font][/size][/font][font=宋体][size=12pt]地址并且在 [/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]OSI [/font][/size][/font][font=宋体][size=12pt]模型中的“第二层”运行[/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman])[/font][/size][/font][font=宋体][size=12pt],可将 [/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]VLAN1 IP [/font][/size][/font][font=宋体][size=12pt]地址用作 [/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]VPN [/font][/size][/font][font=宋体][size=12pt]终止点。[/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]VPN [/font][/size][/font][font=宋体][size=12pt]通道代替外向接口,如果在接口处于“路由”或 [/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]NAT [/font][/size][/font][font=宋体][size=12pt]模式时 [/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]( [/font][/size][/font][font=宋体][size=12pt]即,这些接口具有 [/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]IP [/font][/size][/font][font=宋体][size=12pt]地址并且在“第三层”运行[/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]) [/font][/size][/font][font=宋体][size=12pt]使用,则引用外向区段。在缺省情况下,通道将 [/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]V1-Untrust [/font][/size][/font][font=宋体][size=12pt]区段用作外向区段。如果有多个接口绑定到相同的外向区段,则 [/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]VPN [/font][/size][/font][font=宋体][size=12pt]通道可使用这些接口中的任一个。[/size][/font][/align][/align][align=left][align=left][font=宋体][size=12pt]目前,接口处于“透明”模式的安全设备仅支持基于策略的 [/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]VPN[/font][/size][/font][font=宋体][size=12pt]。[/size][/font][/align][/align][align=left][align=left][font=宋体][size=12pt]两台安全设备的接口不必都处于“透明”模式。通道一端的设备的接口可以处于“透明”模式,而另一设备的接口可以处于“路由”或 [/size][/font][font=Usherwood-Book][size=12pt][font=Times New Roman]NAT [/font][/size][/font][font=宋体][size=12pt]模式。[/size][/font][/align][/align][/size][/font]
