专家答疑：VPN集中器如何与防火墙和平共处3

专家答疑：VPN集中器如何与防火墙和平共处3

　位置三：VPN集中器与防火墙并行

　　上面两种方案中，我们看到都有一些难以克服的缺点。如以上两种方法VPN集中器都处在企业内外网数据传输的唯一线路上，这会额外增加VPN集中器的数据处理负担。另外，第二种方案需要更改防火墙配置，如需要允许所有源地址的IKE数据流量，是以牺牲防火墙的安全保护功能为代价的。所以，以上两种处理方式笔者认为不是最优的处理方式。当然，企业如果不部署防火墙的话，可以采用第一种方式来提高内网的安全性，只是需要牺牲VPN集中器的硬件资源。如果企业有了防火墙，又需要部署VPN应用的话，那么笔者建议各位网络管理员才，采用笔者这里介绍的第三种部署方式，即让VPN集中器与防火墙并行。

　　为什么这种方式比前两种方式更加合理呢?根据笔者的认识，其优势主要集中在如下几个方面。

　　一是此时企业内外网数据交流的通道已经有两条。普通的内外网数据交换从防火墙走;而通过VPN请求的数据则从VPN集中器走。两条道路各走各的，互不相干。如此的话，VPN集中器的数据处理压力就会小的多。另外，在VPN集中器上进行的访问规则的配置，只对VPN请求有效。不会影响到其它的数据流两。

　　二是可以提高企业内部网络的安全性。上面笔者谈到过，若把VPN集中器放置在防火墙内部的话，需要对防火墙进行额外的调整。可能需要允许所有源地址的IKE流量通过防火墙。这对企业内部网络的安全会造成不利影响。而如果把VPN集中器与防火墙并行的话，远程客户就直接使用VPN集中器的公网地址进行廉洁，即在不经过防火墙设备直接与VPN集中器进行相连。这也就是说，防火墙不用再开放所有IP地址的IKE数据流量，远程用户也能够如愿以偿的连接到VPN集中器上进行远程访问。这就在很大程度上保障了企业内部网络的安全。

　　另外，值得庆幸的是，远程访问用户建立VPN连接之后，防火墙仍然把VPN集中器当作一个外部的实体。所以，防火墙的安全策略仍然对远程用户有效。所以网络管理员可以在防火墙上使用单一的安全策略来限制用户可以看到哪些资源不能够看到哪些资源。不要小看这个功能，在实际工作中他非常有效。因为这意味着企业网络管理员可以在一个平台上管理企业内部用户与外部远程访问用户的访问权限。这对提高企业内部信息的安全性具有非常重大的利益。

　　不过这个方案也有一个不足的地方。由于VPN集中器与防火墙都同时面对互联网络，也就是说，当远程用户需要连接到VPN集中器的时候，就需要同时有两个合法的公网地址。VPN集中器一个，防火墙一个。而现在不少的企业，往往只有一个合法的公网IP地址。这也就会给企业带来额外的成本负担。

　　以上三种就是VPN集中器与防火墙的三种对应关系。笔者现在采用的是第三种，因为笔者认为第三种无论从安全或者管理上来说，都是非常方便的。虽然企业需要额外采用一个合法的公网IP地址，但是相对于其优势来说，这个投资还是值得的。