飞塔防火墙是个相当全面的产品系列,涵盖从小公司到大中型企业的业务需求。以飞塔防火墙310B为例,它是一款针对中型企业的产品。功能上整合了路由(支持 RIP, OSPF, BGP和多播),统一威胁管理(UTM), ×××, 广域网优化,网关代理和无线控制,相当强悍。

 飞塔防火墙支持IPSEC ××× 和SSL ×××, 配置和监控上都有其独到的一面。本文将详细讲述配置SSL ×××所将遇到的一个选择 SPLIT TUNNELING 即隧道分离是如何影响或受益终端用户,以及配置该选项时所要注意的问题。

首先看看隧道分离是个什么意思。一般情况下,所有从远程用户发出的网络数据全部封装在IPSec Tunnel里,即使是浏览公司外部的网站,数据包也要先经过×××网关然后再提交到因特网上的主机,远程用户所请求的浏览数据返回时得先经过××× 网关然后再经由IPSEC  Tunnel传回到主机。SSL ×××同理,见下图

 

 

而配置了隧道分离之后 ,情况就演变为:

显而易见的是,远程用户的网络体验将得到改善,访问外网的网络流量将不经过××× 网关,同时访问内网的数据依然封装在××× 隧道内。隧道分离的利弊将放在本文最后讨论论,接下来看看飞塔的配置和验证。

飞塔SSL ×××隧道分离选项在SSL 门户里的隧道模式点击铅笔图标后展开可见:

 

具体到远程用户的电脑上,产生了什么样的变化呢?一句话:更改了默认网关路由。看下图,这截图是在已连入×××但没有启用隧道分离的远程用户的电脑上敲入netstat -r 的结果:

注意看第二条路由,192.168.250.166 是连入×××后分配到的一个内网地址,Metric比第一条小得多,说明默认网络路由是经过这个×××的。

 

再看下图,是在连入×××并且启用隧道分离的远程客户机上得到的结果:

 

 

之前那条默认路由已经不在路由表里了,多出来的是一个个到端的路由。而这些到端的路由全部是在建立×××连接后,远程用户端依据预先制定的防火墙策略(外部网络->内部网络) 所更新的路由项目。这种情况下,所有策略外的数据包全部经由默认网关发送而非×××。

验证起来很简单,只需要用 tracert 或者pathping  一个外网IP就可以了,具体过程就不赘述。

总之,无论什么都有利弊,隧道分离也不例外。它加强了远程用户的网络体验减少了×××网关的负荷,但是却降低了远程PC的网络安全性。通过无保护的因特网链接***可以经由远程电脑进入×××隧道直抵内部网络!所以在勾选配隧道分离这个选项之前,权衡利弊是必要的。