IPSec VPN網(wang)關產(chan)品特點(dian)

安(an)全接(jie)入與(yu)安(an)全防護無縫結合

IPSec VPN網關作為網絡邊界設備，除了完成遠端網絡或移動用戶的遠程接入功能外，還對用戶網絡邊界提供安全防護。IPSec VPN網關集成了業內的防火墻功能模塊，能夠為用戶的VPN網絡提供高等級的邊界安全防護與訪問控制。

IPSec VPN網關支持完善(shan)的(de)基于(yu)完全內容(rong)(rong)檢測的(de)訪問控制技術(shu)，可實時將網絡層(ceng)數據(ju)還原為完整(zheng)的(de)應用層(ceng)對象（如文件、網頁、郵件等），并對這(zhe)些完整(zheng)內容(rong)(rong)進行檢查，實現內容(rong)(rong)防護。

IPSec VPN網關建(jian)立隧道

建立(li)隧(sui)(sui)道(dao)說起(qi)來簡單，做起(qi)來不(bu)容易(yi)。如果兩個(ge)(ge)設備(bei)都有合法(fa)的公(gong)網IP，那么建立(li)一個(ge)(ge)隧(sui)(sui)道(dao)是比(bi)較(jiao)容易(yi)的。

如果(guo)一方在nat之后，IPSec 網(wang)關報(bao)價，那就比較麻煩了。一般通(tong)(tong)過(guo)(guo)內部的(de)vpn節(jie)點發(fa)起一個(ge)udp連(lian)接，再封(feng)裝(zhuang)一次ipsec，IPSec 網(wang)關供應，送到對方，因為udp可(ke)以(yi)通(tong)(tong)過(guo)(guo)防火(huo)墻(qiang)進行記憶，因此通(tong)(tong)過(guo)(guo)udp再封(feng)裝(zhuang)的(de)ipsec 包，可(ke)以(yi)通(tong)(tong)過(guo)(guo)防火(huo)墻(qiang)來回傳遞。

建立隧道(dao)以后，就(jiu)確定隧道(dao)路由(you)，即到哪(na)里去(qu)，走哪(na)個隧道(dao)。很多VPN隧道(dao)配置的(de)時候，就(jiu)定義了保護(hu)網絡，IPSec 網關(guan)，這樣(yang)，隧道(dao)路由(you)就(jiu)根據(ju)保護(hu)的(de)網絡關(guan)系來(lai)決定。

但是(shi)這(zhe)喪失了(le)一(yi)定的(de)靈(ling)活性。所(suo)有的(de)ipsec VPN展開來(lai)講，實現的(de)無非(fei)就(jiu)是(shi)以上幾(ji)個(ge)要點，具體(ti)各家公司，各有各的(de)做法。但是(shi)可以肯(ken)定，目前在市場銷售的(de)VPN，肯(ken)定都已經解決了(le)以上的(de)問(wen)題(ti)。

IPsec的缺點

在某些情況下，不可以進行直接的(de)端(duan)到端(duan)通信(即(ji)傳輸模(mo)式)。舉一個簡單示例(li)，其中H1和H2是(shi)一個直接隧道上的(de)兩個主機，H1使用防火墻稱為FW1。

在(zai)大型分布式系(xi)統或域(yu)間環境中，多樣化的(de)區域(yu)安全策略實施可(ke)能會給端到端通信(xin)帶(dai)來嚴重的(de)問(wen)題。在(zai)上面的(de)示例(li)中，假設FW1需要檢(jian)查流量內(nei)(nei)容以(yi)進行檢(jian)測，并且在(zai)FW1設置策略以(yi)拒絕所有(you)加密(mi)流量以(yi)強(qiang)制(zhi)執行其內(nei)(nei)容檢(jian)查要求(qiu)。

然而(er)，H1和H2構建直接(jie)隧道而(er)不了(le)解防火墻及其策略規則(ze)的(de)(de)存在。因此(ci)，所有(you)流量將被FW1丟棄，該場景顯示每(mei)個策略滿(man)足其相應(ying)的(de)(de)要求，而(er)所有(you)策略一起可(ke)能(neng)導(dao)致沖突(tu)。