VPN

Posted on Posted in 业务整合

虚拟专用网络 (VPN) 是一种计算机网络,它使用公共通信线路为远程最终用户访问公司网络建立安全路径。VPN 使用一系列加密方法来确保数据传输的安全性。在本部分中,你将了解 iOS 支持哪些 VPN 加密协议以及如何设置服务。

 

iOS 开箱即可支持以下 VPN 协议:

  • Cisco IPSec
  • IPSec 上的 L2TP
  • PPTP
  • SSL VPN

 

如果你顾客的 IT 部门支持以下协议之一,那么他们可在设备上设置加密。

iOS 设备还可访问 Juniper SA 系列、F5 BIG-IP Edge 和 Cisco AnyConnect SSL VPN 服务器。SSL VPN 加密可通过 App Store 的应用程序或通过配置描述文件进行配置。Cisco IPSec 和 SSL VPN 的某些设置需要配置描述文件。

iOS 4 能够与多数现有 VPN 网络集成,因此设备可在进行最少配置的情况下访问你顾客的网络。在部署 iOS 设备之前,你的顾客应该确保 iOS 支持他们现有的 VPN 协议和身份验证方法。

支持的协议和鉴定方法
iOS 设备可以使用多种鉴定方法建立 VPN 连接。某些协议需要特定的鉴定方法。如果您的客户使用证书对 VPN 网络进行鉴定,IT 部门可以在配置描述文件中捆绑这些证书。有关部署配置描述文件的详细信息,请学习本系列中的“配置和部署”课程。
Cisco IPSec

Cisco IPSec 使用 Internet 协议安全性 (IPSec) 鉴定和加密方法来保护传输的每个数据包。Cisco IPSec 支持使用密码、双因素令牌进行用户鉴定,以及使用共享密钥或证书进行机器鉴定。

Cisco IPSec VPN 基于证书的鉴定需要行业标准 X.509 证书。使用基于证书的鉴定还意味着您的客户可以使用按需 VPN,它为客户的企业网络提供无缝、安全的无线访问。您将在本课程的稍后部分了解有关按需 VPN 的更多信息。

对于 Cisco IPSec VPN 上的双因素、基于令牌的鉴定,iOS 4 支持 RSA SecurID 和 CryptoCard。要建立 VPN 连接,最终用户在其设备上输入 PIN 和令牌生成的一次性密码。

iOS 4 与运行 8.0.x 或更新版本软件的 Cisco ASA 5500 Security Appliances 兼容,并与配置了 7.2.x 或更新版本软件的 PIX Firewalls 兼容。iOS 还支持运行 IOS 12.4(15)T 或更新版本的 Cisco IOS VPN 路由器。iOS 与 VPN 3000 系列集中器不兼容。
有关如何配置 Cisco IPSec VPN 进行 iOS 设备整合的详细信息,请参考资源页面课程上的“iOS 的 VPN 服务器配置”文章。

IPSec 上的 L2TP

第二层隧道协议 (L2TP) 是支持 VPN 的会话层协议。L2TP 本身并不保密。但是,将其与 IPSec 一起使用时,通过加密数据包为内部专用网络信息提供保护。

IPSec 上的 L2TP 支持使用 MS-CHAPv2 密码、RSA SecurID 或 CryptoCard 进行用户鉴定,并使用共享密钥进行机器鉴定。

PPTP

点对点隧道协议 (PPTP) 是实现虚拟专用网络的另一种方法。PPTP 使用传输控制协议 (TCP) 上的控制信道和通用路由封装 (GRE) 隧道来封装点对点协议 (PPP) 数据包。

PPTP 要求最终用户使用 MS-CHAPv2 密码或双因素令牌进行鉴定。

SSL VPN

SSL VPN(安全套接字层虚拟专用网络)还可以为客户的 VPN 增加一个权限层。借助 SSL VPN,您客户的 IT 部门可以限制特定最终用户可以访问的目录或应用程序。例如,IT 部门可以配置权限,以使在财务部门工作的最终用户只能访问财务文件,而不能访问人力资源文件。

iOS 支持以下 SSL VPN 客户端:Juniper IPSec Pulse、F5 BIG-IP Edge 和 Cisco AnyConnect。这些客户端都要求最终用户从 App Store 下载并安装应用程序,然后才能建立 SSL VPN 连接。应用程序为内置的 iOS SSL VPN 支持提供用户鉴定。最终用户可以使用它来配置自己的设备。

要为每个 SSL VPN 客户端定义 SSL VPN 设置,客户可以手动配置设置,或者由 IT 部门为其提供配置描述文件。要了解有关配置描述文件的更多信息,请学习本系列中的“配置和部署”课程。接下来看一下各个应用程序。

Juniper Junos Pulse

iOS 支持包含 Juniper Networks IVE package 7.0 和更新版本的 Juniper Networks SA 系列 SSL VPN Gateway 6.4 或更新版本。

要使用 Juniper Pulse 客户端连接到 SSL VPN,最终用户必须安装 Juniper Junos Pulse 应用程序,该应用程序通过 App Store 提供。

要了解更多配置信息,请参阅课程资源页面上来自 Juniper Networks 的文章“Junos Pulse for Apple iPhone iOS 4.1”。

 

F5 BIG-IP Edge

iOS 支持 F5 的 BIG-IP Edge SSL VPN 解决方案。

最终用户必须安装 F5 BIG-IP Edge Client 应用程序才能连接到 F5 SSL VPN。从 App Store 下载此应用程序。
Cisco AnyConnect

iOS 支持运行 8.0(3).1 或更新版软件映像的 Cisco Adaptive Security Appliance (ASA)。

要使用 Cisco AnyConnect 客户端连接到 SSL VPN,最终用户必须安装 Cisco AnyConnect 应用程序。从 App Store 下载此应用程序。

要了解更多 VPN 设置细节(包括 IPSec 设置和证书要求),请参阅课程资源页面上的文章“iOS 的 VPN 服务器配置”。

按需 VPN

按需 VPN 是 iOS 的功能之一,在访问预定义的域时,使用基于证书的鉴定动态地建立自动连接。由于在初始设备配置后,最终用户不需要输入密码或令牌,因此按需 VPN 为 iPhone 和 iPad 用户提供无缝的 VPN 连接体验。

由于按需 VPN 是 iOS 的功能之一,因此您的顾客可以在所有支持的 VPN 配置中使用它。IT 人员必须使用配置描述文件来配置按需 VPN 设置。要了解有关配置描述文件的更多信息,请学习本系列中的“配置和部署”课程。

有关更多设置细节(包括 IPSec 设置和证书要求),请参阅课程资源页面上的文章“iOS 的 VPN 服务器配置”。

VPN 代理设置

最终用户还可为任何 VPN 配置指定 VPN 代理。VPN 代理服务器充当 VPN 链中的中介,可提供更快的响应时间和更高的安全性。

最终用户可使用 iOS 设备上的“手动”设置,为所有连接配置一个代理,也可以输入 URL 来访问代理自动配置 (PAC) 文件。还可以使用配置描述文件配置 VPN 代理。有关特定设备配置说明,请稍后学习本系列中的“配置与部署”课程。

活动 – 进一步了解 VPN 和认证服务器如何控制 iOS 设备对网络的访问。

活动:典型 VPN 部署方案

iOS 设备请求访问网络服务。

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注