Juniper NetScreen ScreenOS 支持多个虚拟专用网络 (VPN) 配置选项。
1.
站点到站点 VPN 有两种主要类型如下:
l
基于路由的 VPN
路由查找确定 NetScreen 设备封装哪些信息流。策略允许或拒绝信息流到达路由中指定的目标。如果策略允许信息流并且路由引用绑定到VPN 通道的通道接口,则安全设备也封装该策略。此配置将策略的应用与VPN 通道的应用分离。配置完成后,这些通道就成为可用的资源,用于保护一个安全区段与另一区段之间传递的信息流。
l
基于策略的 VPN
策略查找确定: 在策略引用特定 VPN 通道并将“tunnel ”指定为操作时安全设备封装哪些信息流。
2.
拨号 VPN
l
NetScreen Remote VPN
Juniper Networks 防火墙可以支持拨号虚拟专用网 (VPN) 连接。可以配置具有静态 IP 地址的安全设备,从而确保具有 NetScreen-Remote 客户端或具有动态 IP 地址的其它防火墙的 IPSec 通道安全。
Juniper网络公司使企业能够快速安全地支持远程用户连接到所需的企业资源,以确保生产效率。考虑到需要提供安全保护的远程用户数量,企业负担不起难以部署和配置的解决方案。Juniper网络公司创建了极易部署和维护的远程接入解决方案。企业可使用Juniper网络公司NetScreen-Remote VPN Client系统提供VPN功能,或将VPN和个人防火墙功能与Juniper网络公司NetScreen-Remote Security Client系统相结合,以确保信息的私密性,以及确保未授权用户不能接入网络。这些客户端支持符合IPSec协议的通信设备并可与其互操作,同时还支持最高级别的加密和验证算法,以及其他的证书和智能卡,以提高安全性。可选的安全状态评估功能,可在个人防火墙软件被关闭、被损坏或尚未安装的情况下,防止建立VPN。企业将不必担心未授权用户使用VPN客户端接入敏感信息。
NetScreen Remote VPN 的特性:
- IPSec VPN客户端,支持最高级别的加密和验证算法
- 与个人防火墙相集成,提供更高的安全性
- 与符合IPSec协议的通信设备互操作
l
L2TP
“第 2 层通道协议”(L2TP) 让拨号用户可以通过虚拟“点对点协议”(PPP) 连接到“L2TP 网络服务器”(LNS) ,而该服务器可以是一台Juniper Networks防火墙。
l
L2TP + IPSec
尽管可以使用 CHAP 或 PAP 认证拨号用户,但是 L2TP 通道没有加密,因此它不是一个真正的 VPN 通道。L2TP 的目的只是允许本地安全设备的管理员为远程拨号用户分配 IP 地址。然后这些地址可以被引用到策略中。
要加密一个 L2TP 通道,需要为该 L2TP 通道应用一个加密方案。因为 L2TP 假设LAC 与 LNS 之间的网络为 IP,因此可以使用 IPSec 来提供加密。这种组合称为IPSec 上的 L2TP 。IPSec 上的 L2TP 要求用同样的端点设置一个 L2TP 通道和 IPSec 通道,然后在策略中将它们链接到一起。IPSec 上的 L2TP 要求 IPSec 通道处于传送模式,以便该通道端点的地址保持明文状态。
对于站点到站点 VPN 配置来说,基于路由的 VPN 是一种很好的选择,因为您可以将多个策略应用到流经单个 VPN 通道的信息流。对于拨号 VPN 来说,基于策略的VPN 是一种很好的选择,因为拨号客户端可能没有可以设置路由的内部 IP 地址。
当安全设备接口处于“透明”模式时 ( 即,这些接口无 IP 地址并且在 OSI 模型中的“第二层”运行),可将 VLAN1 IP 地址用作 VPN 终止点。VPN 通道代替外向接口,如果在接口处于“路由”或 NAT 模式时 ( 即,这些接口具有 IP 地址并且在“第三层”运行) 使用,则引用外向区段。在缺省情况下,通道将 V1-Untrust 区段用作外向区段。如果有多个接口绑定到相同的外向区段,则 VPN 通道可使用这些接口中的任一个。
目前,接口处于“透明”模式的安全设备仅支持基于策略的 VPN。
两台安全设备的接口不必都处于“透明”模式。通道一端的设备的接口可以处于“透明”模式,而另一设备的接口可以处于“路由”或 NAT 模式。
2001-2007 Comsenz Inc.
