Cisco Cisco Firepower Management Center 2000 User Guide
10-2
FireSIGHT 系统用户指南
第 10 章 使用网关 VPN
了解 VPN 部署
了解 IKE
FireSIGHT 系统使用 IKE 协议对两个网关共同进行身份验证,并为隧道协商 SA。此流程包含两
个阶段。
个阶段。
IKE 阶段 1 通过使用 Diffie - Hellman 密钥交换建立一个安全的经验证通信信道,生成一个预共享
密钥对 IKE 通信进行进一步加密。此协商促成一个双向的 ISAKMP 安全关联。系统允许您使用预
共享密钥执行身份验证。阶段 1 在主模式中运行,力图在协商期间保护所有数据,同时保护对等
体的身份。
密钥对 IKE 通信进行进一步加密。此协商促成一个双向的 ISAKMP 安全关联。系统允许您使用预
共享密钥执行身份验证。阶段 1 在主模式中运行,力图在协商期间保护所有数据,同时保护对等
体的身份。
在 IKE 阶段 2 中, IKE 对等体使用在阶段 1 中建立的安全隧道代表 IPSec 协商安全关联。此协商
促成至少两个单向的安全关联,一个为入站关联,一个为出站关联。
促成至少两个单向的安全关联,一个为入站关联,一个为出站关联。
了解 VPN 部署
VPN 部署指定纳入 VPN 的终端和网络及其如何互相连接。配置 VPN 部署之后,可将其应用于受
管设备或由另一防御中心管理的设备。
管设备或由另一防御中心管理的设备。
系统支持三类 VPN 部署:点对点、星型和网格。有关这些 VPN 部署的详细信息,请参阅以下各节:
•
•
•
了解点对点 VPN 部署
在点对点 VPN 部署中,两个终端彼此直接通信。将两个终端配置为对等设备,任一台设备均可
启动安全连接。在此配置中,每台设备必须为支持 VPN 的受管设备。
启动安全连接。在此配置中,每台设备必须为支持 VPN 的受管设备。
以下图表显示了一个典型点对点 VPN 部署。
有关详情,请参见
了解星型 VPN 部署
在星型 VPN 部署中,中央终端(集线器节点)建立与多个远程终端(叶节点)的安全连接。集线器
节点与每个叶节点之间的每条连接均为独立 VPN 隧道。任何叶节点后台的主机均可通过集线器节
点相互通信。
节点与每个叶节点之间的每条连接均为独立 VPN 隧道。任何叶节点后台的主机均可通过集线器节
点相互通信。
星型部署通常代表通过互联网或其他第三方网络建立安全连接,将公司总部和分公司相连的
VPN。星型 VPN 部署为所有员工提供对公司网络的受控访问权。
VPN。星型 VPN 部署为所有员工提供对公司网络的受控访问权。