Cisco Cisco Firepower Management Center 4000 User Guide
第
章
10-1
FireSIGHT 系统用户指南
10
使用网关 VPN
虚拟专用网络 (VPN) 是一种网络连接,通过诸如 Internet 或其他网络之类公共资源在终端之间建
立安全隧道。可将 FireSIGHT 系统配置为在思科受管设备的虚拟路由器之间构建的安全 VPN 隧
道。系统利用互联网协议安全 (IPSec) 协议套件建立隧道。
立安全隧道。可将 FireSIGHT 系统配置为在思科受管设备的虚拟路由器之间构建的安全 VPN 隧
道。系统利用互联网协议安全 (IPSec) 协议套件建立隧道。
在思科 VPN 部署中,只有思科受管设备可用作终端。不支持第三方终端。
建立 VPN 连接之后,本地网关后台的主机可通过安全 VPN 隧道连接至远程网关后台的主机。连接
包括两个网关的 IP 地址和主机名、网关后台的子网以及供两个网关互相进行身份验证的共享密钥。
包括两个网关的 IP 地址和主机名、网关后台的子网以及供两个网关互相进行身份验证的共享密钥。
各 VPN 终端利用 Internet 密钥交换 (IKE) 版本 1 或版本 2 协议相互进行身份验证,为隧道创建安
全关联。系统使用 IPSec 身份验证标头 (AH) 协议或 IPSec 封装安全载荷 (ESP) 协议验证进入隧道
的数据。除具有与 AH 相同的功能之外, ESP 协议还可以对数据加密。
全关联。系统使用 IPSec 身份验证标头 (AH) 协议或 IPSec 封装安全载荷 (ESP) 协议验证进入隧道
的数据。除具有与 AH 相同的功能之外, ESP 协议还可以对数据加密。
如果部署中有访问控制策略,系统在通过访问控制前不会发送 VPN 流量。此外,在隧道关闭时,
系统不向公共资源发送隧道流量。
系统不向公共资源发送隧道流量。
为了配置和应用 VPN 部署,必须在每个目标受管设备上启用 VPN 许可证。此外, VPN 功能仅适
用于 3 系列设备。
用于 3 系列设备。
有关创建和管理 VPN 部署的详细信息,请参阅以下各节:
•
•
•
了解 IPSec
IPSec 协议套件定义如何在 ESP 或 AH 安全协议中散列、加密和封装通过 VPN 隧道的 IP 数据包。
FireSIGHT 系统使用安全关联 (SA) 的散列算法和加密密钥,安全关联 (SA) 通过 Internet 密钥交换
(IKE) 协议在两个网关之间建立。
FireSIGHT 系统使用安全关联 (SA) 的散列算法和加密密钥,安全关联 (SA) 通过 Internet 密钥交换
(IKE) 协议在两个网关之间建立。
安全关联 (SA) 在两台设备之间建立共享安全属性并使 VPN 终端支持安全通信。 SA 可使两个
VPN 终端处理相关参数,确保在两终端之间建立 VPN 隧道。
VPN 终端处理相关参数,确保在两终端之间建立 VPN 隧道。
系统在协商 IPSec 连接的初始阶段,采用 Internet 安全关联与密钥管理协议 (ISAKMP) 在终端建立
VPN 并实现已验证的密钥交换。 IKE 协议驻留在 ISAKMP 之内。有关 IKE 协议的详细信息,请
参阅
VPN 并实现已验证的密钥交换。 IKE 协议驻留在 ISAKMP 之内。有关 IKE 协议的详细信息,请
参阅
AH 安全协议为数据包标头和数据提供保护,但不能对其进行加密。 ESP 为数据包提供加密和保
护,但不能保护最外层的 IP 标头。在许多情况下,并不需要此保护,由于 ESP 具有加密功能,
大多数 VPN 部署更频繁地使用 ESP,较少使用 AH。由于 VPN 仅在隧道模式运行,因此,在
ESP 协议中,系统从第 3 层向上对整个数据包进行加密和身份验证。在隧道模式下, ESP 可对数
据进行加密,并具有 AH 的加密功能。
护,但不能保护最外层的 IP 标头。在许多情况下,并不需要此保护,由于 ESP 具有加密功能,
大多数 VPN 部署更频繁地使用 ESP,较少使用 AH。由于 VPN 仅在隧道模式运行,因此,在
ESP 协议中,系统从第 3 层向上对整个数据包进行加密和身份验证。在隧道模式下, ESP 可对数
据进行加密,并具有 AH 的加密功能。