PIX Firewall使用手册(12)

　　这就是使用CA的原因。这种公共密钥证书，或称数字证书，用于将公用/专用密钥对与某个IP地址或主机名称联系在一起。认证机构（CA）在某段时间发行公用密钥证书。CA可以是自己内部机构运作的专用（内部）CA，也可以是公共CA。VeriGign等公共CA由客户信任的第三方运作，它将负责核实获取证书的每台客户机和服务器的身份。

　　IKE协议使用数字证书生成第一对SA，为协商IPSec SA提供安全通道。为使用证书协商IKE SA，两台IPSec对等设备都必须产生公用/专用密钥对，请求和接收公用密钥证书，并确保信任发行证书的CA。

　　默认状态下，多数浏览器都信任来自著名CA的证书，例如VeriSign，并提供用于增加CA的选项，以便产生和请求数字证书。用户还可以在将浏览器分布给用户之前为浏览器软件预先配置CA和必要的证书。

　　如果想了解配置PIX Firewall以便使用IKE和数字证书的步骤，请参见“基本VPN配置”中的“使用认证机构”。

　　使用站点到站点VPN（Using a Site-to-Site VPN）

　　站点到站点VPN是一种WAN基础设施，能够代替和增强使用租用线路、帧中继或ATM连接远程和分支办公室和中央站点的现有专用网络。对于站点到站点VPN，PIX Firewall可以与任何Cisco VPN型网络设备互操作，例如Cisco VPN路由器。

　　站点到站点VPN在PIX Firewall与远程IPSec安全网关之间建立。远程IPSec安全网关可以是PIX Firewall、Cisco VPN集中器或者VPN型路由器，也可以是符合IPSec的任何第三方设备。要想了解配置指令，请参考“基本VPN配置”；要想了解配置实例，请参考“站点到站点VPN配置实例”。

　　使用远程接入VPN（Using a Remote Access VPN）

　　PIX Firewall支持混合型VPN部署，包括站点到站点流量和远程接入流量。远程接入VPN使用模拟、数字、ISDN、DSL、移动IP和有线技术将移动用户、远程员工及其他独立系统与PIX Firewall保护的网络安全地连接在一起。借助以下Cisco远程接入VPN应用，可以接入到受PIX Firewall保护的网络中：

　　Secure VPN Client，第1.1版本或更高

　　Cisco VPN 3000 Client，第2.5版本或更高

　　Cisco VPN Client，第3.0版本

　　注意 建议您使用Cisco VPN Client第3.0版本。