VPN完整性、機密性和可用性
　　VPN用來在公共網絡基礎設施上建立安全的，端到端的專用網絡連接。VPN技術并不是天然就具備安全性。不論任何VPN網絡，只有采用了適當的安全控制策略才稱得上是安全的VPN網絡。采用何種方式創(chuàng)建安全的VPN網絡，很大程度上決定于采用的安全策略。VPN的安全策略與一般的安全策略即使不完全一致，也十分相似，因而人們首先考慮的問題類似于企業(yè)的一般的安全策略所面臨的問題。需要對企業(yè)安全策略重新進行審視，以決定是否需要針對企業(yè)中的VPN用戶作特殊的考慮和修改。需要確保所采用的安全機制的有效性(從管理者的角度)與其所提供的安全性之間取得一定的平衡。在制定VPN的安全策略時，應重點針對VPN完整性、機密性和可用性方面考慮。
　　在這里的完整性是指對通信數據進行校驗，以確保傳輸過程中沒有被改變并且經過認證，IPSee本身提供了這種功能。在使用NAT的環(huán)境下，如果IP地址被包含在完整性檢查的內容中，就會出現問題：我們通常采用這樣的機制，IP地址不作為完整性檢查內容的一部分。例如，在IPSee中，認證頭部信息(AH)很少被用來進行完整性檢查。相反，ESP通常和MD5或SHAI一起使用，提供對于數據包的完整性檢查，并且對于使用了隧道模式的網絡，通常是檢查原始的首部而不是外部的IP首部。
　　如果一個IP地址偽裝成VPN類型的通信，一般這種通信都會導致有線的拒絕服務(DoS)攻擊并占用有限的資源。大多數情況下，都假定IP地址是可信的，而且采用其他機制來防止?jié)撛诘腄oS攻擊。
　　安全的VPN網絡總是要求對某些數據進行進行加密。你必須認真地選擇需要被加密的通信數據，因為服務器的處理能力是有限的。通常的做法是加密所有通往某一特定地址的通信數據，或者僅加密某個特定應用的數據。通常 使用IPSee對通信進行加密。L2TP可以使用PPP加密，但是這是一種較為脆弱的加密方式，因此，L2TP往往與IPSee一起使用來提供機密性服務。注意在一般情況下，用戶需要修改PC/主機一方的最大通信單元(MTU)，以避免接收設備無法處理的過大數據包。如果這種操作必要，則調整數據包的最大尺寸，保證它不超過未經加密的以太網數據包的標準大小(1400字節(jié))，VPN應用一般都提供了定制MTU大小的選項。
　　VPN網絡有著與其他網絡相同的需要，這就是要求最少的停機時間�？捎眯允侵冈试S適當的冗余，并且在受到攻擊時有能力繼續(xù)傳送數據包。設置多大的冗余要依據風險評估的結果而定。請注意，保護信息的費用遠超過使用信息的價值時，就不需要過分地保護網絡設備或者信息。小型的公司可能沒有足夠的資金來購買冗余設備，而大型公司應該在所有關鍵的VPN結構中提供冗余設備。對于所有冗余設備，應該將配置為在某個連接或設備出現故障時自動提供服務。
　　無線網絡整體設計及配置思路
　　要實現安全的無線網絡，用戶需要采用與VPN網絡相同的設計方法。多數情況下，無線網絡實際上是遠處訪問VPN的一部分。下面不再重復與VPN相關的討論，只介紹與無線訪問相關的特性和配置思路。
　　無線LAN的身份功能，包括認證和訪問控制功能。使用EAP進行認證的802.1x標準獲取了廣泛的認同，應當考慮與AAA機制聯合提供身份保護。通過使用WEP或TKIP，無線網絡提供數據包原始完整性。由于WEP的功能有限，實施無線網絡時最好有關于無線AP和客戶端的最新軟件來應用TKIP。WEP提供了機密性，但是該算法很容易被破解。而TKIP使用了更強的加密規(guī)則，可以提供更好的通信機密性。另外，一些實際應用可能會考慮采用IPSee ESP來提供一個安全的VPN隧道。
　　無線網絡有著與其他網絡相同的需要，就是要求最少的停機時間。不管是由于DoS攻擊還是設備故障，無線基礎設施中的關鍵部分仍然要能夠提供無線客戶端訪問。保證這項功能所花費資源的多少主要取決于保證無線網絡在房屋內正常運行的重要性。有些時候，比如在機場休息室或咖啡廳，不能給用戶提供訪問只會給用戶帶來一點不方便。而一些公司越來越依賴于無線訪問進行商業(yè)運行，以此需要提供更富有彈性的服務來避免網絡癱瘓的情況發(fā)生。除了冗余的特性，如負載平衡和熱備用，無線網絡還有更多的可用性問題需要考慮，主要是關于信號強度的損失以及相關訪問點(AP)的連通性丟失等問題。通過迅速與另一個訪問點重新建立安全的連接，可以減少丟失的會話，可以很大程度地提高可用性。
　　審計工作是確定無線網絡配置是否適當的必要步驟。如果對通信數據進行加密，則不要只依賴計數器來現實通信數據正在被加密。就像在VPN網絡中一樣，應該在網絡中使用通信分析器來檢查通信的機密性，并保證任何有意無意嗅探網絡的用戶不能看到通信的內容。為了實現對網絡的審計，網絡管理員需要一整套方法來配置、收集、存儲和檢索網絡中所有AP及網橋的信息。網絡管理者必須有能力配置AP和網橋，監(jiān)控無線局域網(WLAN)設施的性能和可用性，并生成容量計劃和客戶追蹤報告。能夠同時對多個AP上的軟件進行升級或降低也是很重要的。
　　一個典型的安全無線網絡，實際上是對遠程訪問VPN的擴展，在無線網絡中，用戶成功通過認證后，可以從RADIUS服務器獲取特定的網絡訪問模塊，并從中分配到用戶的IP。在無線用戶連接交換機并訪問企業(yè)網絡前，802.1x和EAP軟件提供了對無線設備和用戶的認證。另外，如果需要加密數據，應在無線客戶端和VPN集中器之間使用IPSee。小型網絡也許僅采用WEP對AP和無線客戶端之間的信息進行加密，而IPSee提供了更優(yōu)越的解決方案。Cisco Works的WLSE/RMS解決方案可以用來管理WLAN。同樣，在網絡邊界安裝入侵檢測設備，可以幫助檢測網絡通信，檢測對企業(yè)網絡的潛在攻擊。
　　IP語音網絡(VoIP)安全設計重點方向
　　VoIP與其他VPN網絡有相似的設計方法，也需要考慮與VPN網絡相似的因素。VoIP網絡的安全設計的重要方向應該放在對身份的認證、訪問控制和VoIP的可用性方面。
　　目前多數IP電話只提供了對設備認證，而用戶認證方面正在發(fā)展中。Cisco H.323網關支持使用散列密碼的加密令牌來進行認證。加密令牌可以在VoIP網關和網守(gatekeeper)間的任何RAS消息中使用，可以用于認證消息的發(fā)送者。如果可能的話，我們應當為用戶ID和密碼校驗使用不同的數據庫。注冊請求(RRQ)、取消注冊請求(URQ)、脫離請求(DRQ)以及終止方的請求(ARQ)中的加密令牌中含有產生該令牌的網關的相關信息，包括網關ID(即在網關上配置的H.323 ID)以及網關密碼。初始方ARQ消息的加密令牌包含了發(fā)起呼叫用戶的信息，包括用戶ID和PIN。該功能通過使用網關RAS消息中的認證密鑰提供了對發(fā)送者的驗證。網守使用該密鑰來認證消息的來源并保證通信的安全性。
　　由于動態(tài)實時傳輸協議及RTP控制協議(RTOP/RTCOP)的端口被語音電話的終端占用，所以防火墻可能會引起某種問題，除非它們可以識別聲音通信并動態(tài)的允許這種通信。在控制訪問中使用Cisco PIX安全防火墻，在使用時應該注意兩點：一、如果防火墻代理安裝在未實施保護措施的防火墻外的網絡，且有記錄路由功能，則允許訪問的IP地址列表應該很小且是可管理的。地址列表是由外部SIP代理服務器的IP地址構成的。以此獲得可控的安全性。二、外部用戶不能呼叫防火墻內部的網絡，除非這些用戶被明確允許。另外在VoIP網絡中提供訪問控制非常有用的Cisco IOS軟件的功能有支持SIP的防火墻、無令牌呼叫認證、為MGCP綁定特定網關接口和SIP綁定特定的網關接口。
　　VoIP網絡和其他網絡要求相似，需要最小的停機時間，甚至在遭受DoS攻擊時仍能提供通話服務。如果VoIP服務成為某個給定網絡環(huán)境下通信的關鍵性設施，那么在VoIP的網絡基礎設施中不允許存在任何單點失效點。提供專門基于電話的冗余功能，SRS(Survivable Remote Site)電話功能結合本地網路上的路由和呼叫管理(Call Manager，CM)為IP電話提供了可靠的支持。當IP電話與遠程配置的主、二級或者第三級的CM失去連接或者WAN連接中斷時，該功能使用本地網絡的路由器來處理IP電話的呼叫。
　　總結
　　確保VPN、無線及VoIP網絡的安全時要考慮的各種因素以及相關的技術。同時利用有效的功能結合實際情況來配置高效安全的VPN、無線及VoIP網絡。無線和VoIP網絡的許多安全技術還在發(fā)展之中，應該考慮在網絡中使用更新版本的軟件，以實現最新的安全功能。

ZDnet (www.zdnet.com.cn)