VPN设备在部署时,经常会需要与防火墙配合使用,下面我们来介绍一下主要的几种部署方式,客户可结合自己的网络状况及应用需求,选择适合的部署方案。
一、串联模式
串联模式下,分为防火墙透明模式/路由模式、防火墙NAT模式。
1、防火墙透明模式、 防火墙路由模式:
即将VPN部署在防火墙前面,置于网络的公网出口,如图一所示:
图一 防火墙透明模式、路由模式
在防火墙透明模式下和路由模式下,VPN放置在网络的公网出口上,其特点就是客户的网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变,同时解析所有通过它的数据包,既增加了网络的安全性,用户管理也非常简便。
2、防火墙NAT模式
即将VPN设备接在防火墙与内网交换机之间。如图二所示:
图二 防火墙NAT模式
此模式下,对于内网中的计算机,也不需要做改动,用户管理很方便。因VPN设备是放在防火墙的后面的,没有公网地址,所以远程管理不是很方便。在此模式下做部署时,需要详细了解防火墙的设置,因为在防火墙的权限没有放开的情况下,会导致VPN设备不可用。如果两个均部署在防火墙后面的VPN设备需要互访,需通过第三方(有公网IP地址的VPN设备)中转,如果连接点较多,应使用一台高性能的第三方设备以减轻压力。
在此模式下,要求VPN设备支持NAT-T协议。
串连模式下部署的不足,是增加了单点故障,并可能造成性能上的瓶颈。
二、并联模式:
并联方式即指将VPN设备与防火墙、路由器并行接入原有网络,如图三所示:
图三 VPN设备和防火墙并行
并联方式需要多个公网IP地址或多根公网线路,在用户IP及线路资源充裕情况下,可以采用此部署方法,VPN设备与防火墙设备各走各路,互不干扰。
串连模式下部署的不足,是在客观上造成多个公网出口,病毒等的入侵渠道会有所增加。
三、单臂技术
所谓单臂技术是指:VPN设备只接一个WAN口到内网交换机中,LAN口不需要接线,即把VPN设备当作一台内网服务器或主机,专门处理VPN报文的加解密。
如图四所示:
图四 单臂技术
单臂技术方式能在对用户环境最小改动的前提下部署VPN,增加了VPN设备对网络环境的适应能力 。
因VPN设备WAN口不连公网,没有公网地址,所以远程管理同样不是很方便,并且也需要详细了解防火墙的设置,以防因防火墙的权限影响VPN设备使用。多个同样部署的VPN设备互访,也需通过第三方(有公网IP地址的VPN设备)中转,如果连接点较多,应使用一台高性能的第三方设备以减轻压力。
综上所述,VPN设备在与不同的防火墙模式结合使用时,有多种的部署方案,每种部署方案均有各自的优势和不足,用户在选择时,请结合自己的防火墙设备的特点、网络状况及主要应用需求、灵活选择。上海冰峰网络愿为您提供高效、安全的VPN解决方案。