某电子商务公司除了有1台为用户提供在线购买商品的Web服务器之外,还有许多业务服务器,这些内部业务数据的安全性非常重要。为保证内部业务数据的安全,该企业采用IPSecVPN技术部署企业虚拟专用网,将企业总部的Intranet网与异地分部1的Intranet网通过公共Internet安全地互连起来。在该企业IPSec VPN网络架构会议中,有两名网络规划设计师分别提出了图22-13(a)、(b)两种设备部署方案。
根据该电子商务公司的实际情况,规划师最可能采用的部署方案和理由是______。规划师所选用的部署方案可能带来的新问题及其相应的解决措施是______。
A.内部业务数据失密问题,在防火墙1和防火墙2的连接Intranet侧各增加一台网闸设备
B.网络广播风暴问题,在防火墙1和防火墙2的连接Internet侧各增加一台路由器
C.IP地址冲突问题,在防火墙1(或防火墙2)上启用NAT功能
D.Internet黑客攻击问题,在防火墙1和防火墙2的连接Intranet侧各增加一台上网行为管理设备
参考答案:C
解析: 通常在企业内联网Intranet与Internet网的连接点上同时配置防火墙和VPN设备。如果把防火墙作为区分内外网的安全边界,那么将VPN设备置于此逻辑边界的内侧或外侧,将会使其安全性能发生很大变化。在图22-13(a)中将IPSec VPN设备配置在防火墙与Internet网的中间,两台IPSec VPN设备所建立的隧道称为“外侧型隧道(Outside Tunnel)”。而在图22-13(b)中将IPSec VPN设备配置在企业内联网Intranet与防火墙的中间,两台IPSec VPN设备所建立的隧道称为“内侧型隧道(Inside Tunnel)。
对于图22-13(a)的部署方案,在外侧型隧道的情况下,以IPSec VPN设备作为端点(加/解密及隧道化)的IP分组要进入企业内联网Intranet就必须穿过防火墙。这种部署方案的优点是能够利用防火墙的访问控制和过滤等安全功能,但其缺点是只能提供防火墙所规定的应用业务。
对于图22-13(b)的部署方案,配置在防火墙内侧的IPSec VPN设备之间将不利用防火墙的安全功能,在两端点间建立透明的隧道连接。这种部署方案的优点是只要是TCP/IP的应用服务,就能提供任何业务服务。其缺点是旁路了防火墙的安全功能,不能对通过IPSec VPN隧道的IP分组进行过滤。
结合题干中给出的“这些内部业务数据的安全性非常重要”等关键信息。在图22-13拓扑结构中,该电子商务公司的内联网Intranet连接到的是公共的Internet网,基于Internet网的特点并结合(a)、(b)两种部署方案的优、缺点,建议采用图22-13(a)的部署方案。而对于图22-13(b)的部署方案通常适用在统一管理、统一安全策略下的网点间互连的场合。
在图22-13(a)的拓扑结构中,如果两个企业内联网Intranet的内部IP地址块分配相同,例如企业总部Intranet内部IP地址采用192.168.0.0/24,而企业分部1的Intranet内部IP地址也采用192.168.0.0/24,那么经过两台IPSec VPN设备互连后将会产生地址冲突问题。解决这种地址冲突问题的一种方法是,对图22-13(a)结构中的防火墙上启用NAT地址变换功能,即利用防火墙的NAT地址变换功能屏蔽两个Intranet网的内部地址。