實務範例: 防火牆友善 VPN

狀況

假設您是一家位於明尼阿波利斯的大型業主保險公司，您剛剛在芝加哥開設了新分行。 您的芝加哥分行需要從明尼阿波利斯總部存取客戶資料庫。 您想要確定所傳送的資訊是安全的，因為資料庫包含客戶的機密資訊，例如姓名、地址及電話號碼。 您決定使用虛擬私密網路 (VPN) 透過網際網路連接兩個分支。 這兩個分支都在防火牆後面，並使用網址轉換 (NAT) ，將其未登錄的專用 IP 位址隱藏在一組已登錄 IP 位址後面。 不過， VPN 連線與 NAT 有一些已知的不相容。 VPN 連線會捨棄透過 NAT 裝置傳送的封包，因為 NAT 會變更封包中的 IP 位址，從而使封包失效。 不過，如果您實作 UDP 封裝，則仍然可以使用 NAT 的 VPN 連線。

在此實務範例中，來自芝加哥網路的專用 IP 位址會放入新的 IP 標頭中，並在通過防火牆 C 時進行轉換 (請參閱下列影像)。 然後，當封包到達防火牆 D 時，它會將目的地 IP 位址轉換為 System E 的 IP 位址，因此封包會轉遞至 System E。最後，當封包到達 System E 時，它會除去 UDP 標頭，留下原始 IPSec 封包，它現在會通過所有驗證並容許安全 VPN 連線。

目標

在此實務範例中，當芝加哥 (用戶端) 的閘道與明尼阿波利斯 (伺服器) 的主機之間都有防火牆保護時，大型保險公司想要建立 VPN。

此實務範例的目標如下:

• 芝加哥分行閘道一律會起始與明尼阿波利斯主機的連線。
• VPN 必須保護芝加哥閘道與明尼阿波利斯主機之間的所有資料流量。
• 容許芝加哥閘道中的所有使用者透過 VPN 連線存取位於明尼阿波利斯網路中的 IBM® i 資料庫。

詳細資料

下圖說明此實務範例的網路性質:

芝加哥網路-用戶端

• 閘道 B 以 IP 位址 214.72.189.35 連接至網際網路，並且是 VPN 通道的連線端點。 閘道 B 會執行 IKE 協議，並將 UDP 封裝套用至送出的 IP 資料包。
• 閘道 B 和 PC A 位於子網路 10.8.11.0 中，遮罩為 255.255.255.0
• PC A 是流經 VPN 連線之資料的來源及目的地，因此它是 VPN 通道的資料端點。
• 只有閘道 B 可以起始與系統 E 的連線。
• 防火牆 C 具有 Masq NAT 規則，其公用 IP 位址為 129.42.105.17 ，會隱藏閘道 B 的 IP 位址

明尼阿波利斯網路-伺服器

• System E 的 IP 位址為 56.172.1.1。
• System E 是此實務範例的回應者。
• 防火牆 D 具有 IP 位址 146.210.18.51。
• 防火牆 D 具有靜態 NAT 規則，可將公用 IP (146.210.18.15) 對映至系統 E (56.172.1.1) 的專用 IP。 因此，從用戶端視景中， System E 的 IP 位址是防火牆 D 的公用 IP 位址 (146.210.18.51)。

配置作業