VPN集中器ZENMO 与防火墙一起

通过公网实现私网之间的加密连接。一般来说，VPN主要用于解决远程访问的需求。到目前为止，VPN是最流行的远程访问解决方案。为此，思科还专门设计了VPN集中器，帮助企业实现VPN部署。

思科提供的VPN集中器基本可以满足企业VPN的所有需求。VPN集中器的主要功能是通过远程访问VPN为远程用户提供接入服务。但在部署思科VPN集中器时，需要考虑如何与防护墙和平共处。因为VPN集中器可以防止它在网络的不同位置。比如可以和防火墙并行防范，防火墙外围也可以防范，也可以放在里面等等。虽然其位置不受限制，但在部署时，网络管理员要注意其位置与防火墙的区别，要求和功能略有不同。网络设计人员在选择合适的VPN集中器落户地点之前，需要注意这些差异。只有这样，VPN集中器才能发挥应有的作用。

位置:将VPN集中器放在防火墙外

其实VPN集中器也有一些防火墙保护功能，所以把它放在防火墙之外可以提供额外的安全性。由于VPN集中器连接了企业的内外网，因此可以在集中器的接入端口使用相关的接入规则来提高企业网络的安全性。也就是说VPN集中器可以实现一些防火墙功能。当远程用户通过互联网访问VPN集中器时，这是一个非常有效的解决方案。因为如果这样配置，本地站点就不需要外部Internet访问。

如果采用这种配置，网络管理员需要注意两点。

第一，对网络安全要求不是特别严格的企业，有时候甚至可以用VPN集中器代替防火墙。因为它的接入端口本身可以配置相关的接入规则来提防火墙的一些功能，保护企业网络的安全。所以企业如果有VPN集中器，也可以节省防火墙的投资。所以，对于一些企业来说，这是一个不错的选择。

第二，需要注意交通的问题。以上一点可以说是这种部署的优势。现在这个交通问题就是它的不足。按照上面的部署，有一个很大的缺点，就是企业内外的网络数据交换需要集中器来处理，因为这个时候集中器是在企业对外数据交换的主通道上。因此，如果企业内外数据交换频繁，会给集中器的性能带来很大压力。如果企业真的打算这样部署，那么网络管理员就需要根据企业的实际情况选择合适的VPN集中器。如果有频繁的数据交换，如视频会议、电子商务等网络应用，最好选择较高的VPN集中器。

位置:将VPN集中器放在防火墙内。

网络管理员也可以将防火墙放在防火墙内部，即防火墙和企业边界路由器之间。当集中器部署在防火墙内部时，防火墙会直接联系企业的外部网络设备。换句话说，防火墙是保证企业内网安全的第一道防线。另一方面，防火墙虽然起到了保护企业内部网络的作用，但仍然需要在VPN中配置一些访问规则，提高VPN网络的安全性。例如，在访问规则上，应该控制访问用户的访问权限。普通用户不能修改VPN集中器的配置等。也就是说，仍然需要VPN集中器来实现与VPN访问相关的安全控制。这有利于VPN接入的管理，有利于提高VPN的安全性，有利于为企业提供更安全的远程网络接入环境。

另外，如果采用这种部署模式，VPN集中器仍然是内网和外网数据交互的唯一通道。因此，当企业内外网需要交换数据时，所有数据都必须经过VPN集中器。当VPN远程访问和内网与内网之间的数据交换大量同时发生时，会给VPN集中器带来很大的压力。这与第一种部署方法的常见问题相同。

再者，这种部门还是需要重视的。因为防火墙是放在VPN集中器前面的。也就是说，如果用户需要远程访问，远程连接的请求必须首先通过防火墙。因此，为了让远程用户顺利连接到VPN集中器，必须在防火墙上进行一些额外的配置，以允许VPN连接请求顺利通过防火墙。如果远程访问者有固定的IP地址，防火墙配置中应该允许该IP地址的流量。这种情况经常发生在公司不同局域网之间的互联中。如远程办公室等，他们往往有固定的IP地址。但是，在某些情况下，可能没有固定的IP地址。比如一些个人用户，出差的时候不知道自己在哪里。因此，防火墙应该允许IKE和其他所有源地址的数据流通过防火墙。否则，远程用户可能无法连接到VPN集中器，因为他们的连接请求被防火墙直接阻止。因此，如果网络管理员想要采用这种安排，则必须额外配置防火墙。同时，为了企业内部网络的安全，如果企业主要使用VPN连接不同的局域网，在配置防火墙时最好对IP地址进行限制。不要因为VPN虚拟专用网的应用而降低企业内网的安全性。

位置:VPN集中器与防火墙平行

在以上两个方案中，我们可以看到有一些不可克服的缺点。例如，上述两种方法的VPN集中器位于企业内外网数据传输的唯一线路上，会额外增加VPN集中器的数据处理负担。另外，第二种方案需要改变防火墙配置，比如允许所有源地址的IKE数据流量，牺牲防火墙的安全保护功能。所以以上两种处理方式在我看来都不是最好的。当然，如果企业没有部署防火墙，可以采用第一种方法来提高内网的安全性，但只需要牺牲VPN集中器的硬件资源。如果企业有防火墙，需要部署VPN应用，那么我建议网络管理员采用笔者在这里介绍的第三种部署方式，即让VPN集中器与防火墙并行。

为什么这种方法比前两种方法更合理？据笔者了解，其优势主要集中在以下几个方面。

第一，这个时候企业内外网数据交换已经有两个渠道了。内部和外部网络之间的普通数据交换要经过防火墙；而通过VPN请求的数据来自VPN集中器。两条路各走各的路，互不相干。这样VPN集中器的数据处理压力会小很多。另外，VPN集中器上访问规则的配置只对VPN请求有效。不会影响其他数据流。

第二，可以提高企业内部网络的安全性。如上所述，如果VPN集中器放在防火墙内部，防火墙需要额外调整。可能需要允许带有所有源地址的IKE流量通过防火墙。这将对企业内部网络的安全性产生不利影响。如果VPN集中器与防火墙并行，远程客户端会直接使用VPN集中器的公网地址老实说，就是直接与VPN集中器连接，不经过防火墙。也就是说，防火墙不需要开放所有IP地址的IKE数据流量，远程用户可以随心所欲的连接VPN集中器进行远程访问。这在很大程度上保证了企业内部网络的安全。

另外，幸运的是，远程访问用户建立VPN连接后，防火墙仍然将VPN集中器视为外部实体。因此，防火墙的安全策略对远程用户仍然有效。因此，网络管理员可以在防火墙上使用单一的安全策略来限制用户可以看到哪些资源，不能看到哪些资源。不要小看这个功能，它在实际工作中非常有效。这意味着企业网络管理员可以在一个平台上管理内部用户和外部远程访问用户的访问权限。这对提高企业内部信息的安全性大有裨益。

然而，这个方案也有不足之处。因为VPN集中器和防火墙同时面向互联网，也就是说，远程用户需要连接VPN集中器时，需要同时拥有两个合法的公网地址。一个VPN集中器和一个防火墙。现在很多企业往往只有一个合法的公有IP地址。这也会给企业带来额外的成本负担。

以上三个是VPN集中器和防火墙的三种对应关系。现在我用第三种，因为我觉得第三种无论从安全还是管理上来说都很方便。虽然企业需要额外采用一个合法的公有IP地址，但与其优势相比，投资还是值得的。