Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec VPN 概述

IPsec VPN 提供了一种通过公共 WAN(如互联网)与远程计算机安全通信的方法。VPN 连接可以使用站点到站点 VPN 或远程拨号用户和 LAN 链接两个 LAN。在这两点之间流动的流量通过共享资源,例如路由器、交换机和构成公共 WAN 的其他网络设备。要保护通过 WAN 的 VPN 通信,您需要创建 IPsec 隧道。

瞻博网络 Security Director Cloud 简化了 IPsec VPN 的管理和部署。通常,在大量 SRX 系列防火墙上进行部署时,VPN 配置既繁琐又重复。借助瞻博网络 Security Director Cloud,您可以使用 VPN 配置文件对常用设置进行分组,并将这些配置文件应用于跨多个 SRX 系列防火墙的多个 VPN 隧道配置。您可以部署站点到站点和中心辐射型 VPN。 瞻博网络 Security Director Cloud 确定必要的部署方案,并发布所有 SRX 系列防火墙所需的配置。

瞻博网络 Security Director Cloud 在 SRX 系列防火墙上支持基于策略和基于路由的 IPsec VPN。基于策略的 VPN 仅在配置两个端点的站点到站点部署中受支持。如果您有两个或更多 SRX 系列防火墙,则基于路由的 VPN 可提供更高的灵活性和可扩展性。要允许在分支机构和公司办公室之间安全地传输数据,请配置基于策略或基于路由的 IPsec VPN。对于企业级部署,请配置中心辐射型 IPsec VPN。

在以下情况下,请使用基于路由的隧道模式:

  • 参与的网关是瞻博网络的产品。

  • 当流量遍历 VPN 时,必须发生源或目标 NAT。

  • VPN 路由必须使用动态路由协议。

  • 设置中需要主 VPN 和备用 VPN。

在以下情况下,请使用基于策略的隧道模式:

  • 远程 VPN 网关是非瞻博网络设备。

  • 对于特定的应用程序流量,必须限制对 VPN 的访问。

创建基于策略或基于路由的 IPsec VPN 时,将显示拓扑表示形式。您需要单击图标以配置远程网关。

注意:
  • 瞻博网络 Security Director Cloud 将每个逻辑系统视为任何其他安全设备,并拥有逻辑系统安全配置的所有权。在瞻博网络 Security Director Cloud 中,每个逻辑系统都作为唯一的安全设备进行管理。

  • 瞻博网络 Security Director Cloud 可确保将隧道接口专门分配给设备的各个逻辑系统。不会将隧道接口分配给同一设备的多个逻辑系统。

  • 瞻博网络 Security Director Cloud 不支持以太网点对点协议 VPN (PPPoE)。

IPsec VPN 拓扑结构

支持以下 IPsec VPN:

  • 站点到站点 VPN — 将组织中的两个站点连接在一起,并允许站点之间的安全通信。

  • 中心辐射型(建立所有对等方)— 在企业网络中将分支机构连接到公司办公室。您还可以使用此拓扑通过中枢发送流量,从而将分支连接在一起。

  • 中心辐射型(按辐射建立)— Auto-VPN 支持称为中心的 IPsec VPN 聚合器,该聚合器用作通往称为分支的远程站点的多个隧道的单个端点。Auto-VPN 允许网络管理员为当前和未来的分支配置中心。添加或删除分支设备时,无需在中心更改配置,这使管理员可以灵活地管理大规模网络部署。

  • 中心辐射型 (自动发现 VPN) — 自动发现 VPN (ADVPN) 是一种技术,允许中央集线器动态通知分支两个分支之间的流量更好路径。当两个分支都确认来自中心的信息时,分支将建立捷径隧道并更改路由拓扑,以便主机到达另一端,而无需通过中心发送流量。

  • 远程访问 VPN(瞻博网络安全连接)— 瞻博网络安全连接为用户提供安全的远程访问,以使用互联网远程连接到公司网络和资源。瞻博网络安全连接从 SRX 服务设备下载配置,并在建立连接期间选择最有效的传输协议。