Безопасность сетей

    0f1a9e67   

Понятие стандартных технологий функционирования VPN - часть 2


Это обстоятельство необходимо принимать во внимание при построении систем.

VPN-сервер должен быть расположен в сети. Сервер может быть межсетевым экраном или пограничным маршрутизатором (см. рис. 11.7), что упрощает размещение VPN-сервера. В качестве альтернативы сервер может являться и отдельной системой. В этом случае сервер должен быть расположен в выделенной демилитаризованной зоне (DMZ) (см. рис. 11.8). В идеальном случае демилитаризованная зона VPN должна содержать только VPN-сервер и быть отдельной от DMZ интернета, содержащей веб-серверы и почтовые серверы организации. Причиной является то, что VPN-сервер разрешает доступ ко внутренним системам авторизованным пользователям и, следовательно, должен рассматриваться как объект с большей степенью доверия, нежели почтовые и веб-серверы, доступ к которым может быть осуществлен лицами, не пользующимися доверием. Демилитаризованная зона VPN защищается набором правил межсетевого экрана и разрешает передачу только того трафика, который требует VPN.

Архитектура сети VPN, в которой межсетевой экран является VPN-сервером

Рис. 11.7.  Архитектура сети VPN, в которой межсетевой экран является VPN-сервером

Архитектура сети VPN для отдельного сервера VPN

Рис. 11.8.  Архитектура сети VPN для отдельного сервера VPN




Содержание  Назад  Вперед